黑客式信息安全思维
来源:赛迪网 更新时间:2012-04-14

  2010年10月22日,RSA Conference CHINA 2010信息安全国际论坛在北京召开,会后赛迪网专访了People Security公司首席安全战略家Herbert H. Thompson先生。 

  Herbert Thompson,民众安全首席安全战略家,世界着名应用安全专家。曾参与撰写应用安全相关书籍,并在80多个学术和行业刊物上发表过安全性专题的文章。 2006年,他被评为“在资讯科技安全领域最具影响力的五大思想家之一”。目前,Herbert Thompson在纽约哥伦比亚大学兼职教授,主要讲授计算机安全的课程。

  变化中的信息安全

  Herbert H. Thompson先生认为,本次在中国召开的RSA大会是信息安全发展的里程碑。本次大会是一个混合型的大会,通过在大会中的交流,可以发现,整个信息安全领域正在产生很大的变化,安全正在从终端安全、网络安全向应用安全转变。以前人们通过参数决定网络的安全,而现在应用能决定数据的安全。软件的安全性变得越来越重要,这种安全性正在快速延伸到个人应用。以前黑客还仅仅是攻击Windows系统,而现在Adobe Flash这样的应用正在成为攻击者的最爱。

  安全业者需要“黑客式”思维

  Herbert H. Thompson先生认为,黑客正在不断改变攻击方式,这就需要人们同样要有“黑客式”的思维方式,从黑客的角度去看安全,这样才能发现潜藏的威胁。现在的软件愈发复杂化,黑客的攻击手段也愈发多样化,这就需要打破以往固有的范式,要像黑客一样思维。

云计算的双面刃

  云计算在给人们带来便利的同时,也会给黑客带来“便利”。黑客可以利用云计算资源,研究出更有创新性、更高效的攻击方法。比如个性化的定制攻击,会伪装成人们的朋友、亲人,通过Twitter、Facebook、开心网等发起让人很难察觉的网络攻击。现在的IaaS和PaaS都存在一定的安全隐患,但人们已经开始关注这个问题。

  应用安全的标准问题

  当前许多关于应用安全的标准定义都仅仅限于应用的保密性、一致性等等,但Herbert H. Thompson先生认为安全方面的脆弱性更多的在于不匹配关系,这个不匹配的关系指的是人们如何能够合理地使得用户得到相应的信息,如何让软件起到合理的作用。

  某些方面而言,软件开发者的“坏习惯”是应用安全的根源之一,现在绝大多数开发者在编写代码过程中都没有考虑安全性。好消息是,许多大型企业、机构已经开始对其开发人员进行安全培训,培训自己的开发者如何来编写安全代码,增强开发者的安全意识。另一方面,现在已经有诸如对源代码进行安全漏洞扫描的工具。开发者可以利用这些工具,发现其所开发应用中的安全隐患。

  国内与国际在安全上的异同

  Herbert H. Thompson表示,比较而言,在安全方面中美两国有着相同之处,也有不同之处。

  相同之处在于,中美两个国家在安全行业都面临着同样的驱动发展因素。比如说大家都面临着来自于黑客的威胁,在这方面是相同的。另外一个相同的安全威胁是,当前黑客更加看重对大型系统的攻击,大型系统会是今后一个安全防护的重中之重。

  不同之处主要是在法规方面,美国的安全行业一直在努力进行合规,近几年美国信息安全行业出现了很多的标准,这些标准包括数据、保护、应用、安全以及信用卡号等方面的标准要求。如何使标准化的过程或者是国家立法的过程能够非常地灵敏地适应技术的创新,是当前所有国家都在面临的问题。

  安全无国界

  Herbert H. Thompson最后表示,此次来多中国,Herbert H. Thompson先生发现,在美国所面临的安全问题也同样在中国会遇到。由此看来,安全是无国界的,技术成为了连接各个国家的纽带。