作者:那罡
在首届于中国举办的RSA 2010信息安全国际论坛上,信息安全领域最具影响力的五大思想家之一赫伯特·H·汤普森指出:“黑客正在不断改变攻击方式,人们只有同样具备‘黑客式’的思维方式,从黑客的角度去看安全,才能发现潜藏的威胁。”
黑客更关心应用
整个信息安全领域正在产生巨大的变化,信息安全的主题从终端安全、网络安全向应用安全转变。以前人们可以通过参数决定网络的安全性,而现在网络安全的评估标准是数据的安全,应用漏洞才是风险的根源。软件的安全性变得越来越重要,它正快速延伸到个人应用。以前黑客还仅仅是攻击Windows系统,而现在像Flash这样的应用才是攻击者的最爱。
赫伯特·H·汤普森表示:“信息安全领域中出现了很多非常有意思的问题,有的问题是逻辑性很强的,有的是完全没有逻辑的。对于现在的黑客来说,他们总是在不断进行改进。由于软件设计越来越复杂,我们不能再按照以前的态度去对待黑客,反而要重视一些极端的例子。而且,我们要不断地向自己提问,比如我所研究的应用和系统将会出现什么样的问题。我们要怀有这样的热情,打破以往固有的范式,像黑客一样思维。当前,在美国的大学里,我们已经开始向学生们灌输‘黑客式’的思维方式。”
当前许多关于应用安全的标准定义都仅限于应用的保密性、一致性等问题,但赫伯特·H·汤普森认为,信息安全的脆弱性更多源于应用与安全的不匹配关系。比如,软件设计者如何能够合理地使用户得到相应的信息,如何让软件起到合理的作用。
就某些方面而言,软件开发者的“坏习惯”是让应用不够安全的根源之一,绝大多数开发者在编写代码的过程中都没有考虑安全性。赫伯特·H·汤普森表示,已经有许多大型企业、机构开始对开发人员进行安全培训,培训自己的开发者正确编写安全的代码,增强开发者的安全意识。此外,现在还有对源代码进行安全漏洞扫描的工具,开发者可以利用这些工具,发现其所开发应用的安全隐患。
云计算的双面刃
EMC全球执行副总裁、RSA全球总裁亚瑟·W.·科维洛表示,新一轮经济增长的动力是云计算,但是由于安全问题没有解决,目前人们对云计算缺乏信心。解决云计算的安全问题,需要采取综合的、系统化的、内嵌的安全方式。正如黑客形成地下产业链一样,全社会的企业、厂商和政府也要协同工作,形成针锋相对的产业链,才能击败黑客犯罪集团。
CIO们往往会担心当企业业务与云结合后,要考虑更多的动态因素,以及资源的可控性。毕竟虚拟机可以在不同的物理机上通过某种机制进行转移,这一动作甚至会连带防火墙或者整个安全策略发生变化。
赫伯特·H·汤普森解释说:“云计算在给人们带来便利的同时,也会给黑客带来‘便利’。黑客可以利用云计算资源,研究出更有创新性、更高效的攻击方法。比如个性化的定制攻击,会伪装成人们的朋友、亲人,通过Twitter、Facebook、开心网等发起让人难以察觉的网络攻击。现在的IaaS和PaaS都存在一定的安全隐患,但人们已经开始关注这个问题了。 ”