Computer Science and Techology,Science与Techology兼备实在是博大精深,越学越心虚。半瓶醋的水准原本应当是继续老老实实的看手册、查资料、抠代码,不应当发表宏篇大论。既然终究还是写出来了,那就做个留档吧。日后见到此文,大概又要羞愧难当了。
安全是一个古老的话题。没错,非常的古老。从人们明白了隶属关系的那一刻起,安全问题就诞生了。人们具备了生命的意识时,开始去保证生命的安全,人们拥有了财物之后,开始去保证财物的安全。 现在人们拥有了信息,开始去保证信息的安全。在英文的资料中提到网络安全的时候经常使用到一个词语是cyberspace。 cyberspace是人们在短短的几十年中成功创造出的一个新的空间,它根植于物理世界,是一个与物理世界产生交互的崭新的空间。 如同物理世界一样,这个空间也经历了最初的蛮荒、纯真无我的时代。 在比它年长N个时代的物理世界的影响下,飞快的诞生了隶属的概念,安全的问题随之出现。
虽然Cyberspace以不同于物理世界的姿态存在着,但它并不具备自主演化的能力,它只能被动着接受物理世界中的人们的指导。所以Cyperspace可以说是对物理世界的粗略模仿,它的创造者无法摆脱生存其中的物理世界,它控制者更是在物理世界中生存着的人类,因此Cyberspace其中必然存在物理世界的影子。Cybespace中的安全问题与物理世界的安全问题会不会是极其的相似呢?在Cyberspace中,我们要保护我们的电子设备(手机、PC、服务器等)能够在我们允许的情况下被查看,正如我们不允许我们的住所被随意的参观。 在Cyberspace中,我们要保护我们的数据不能被篡改,正如在人们参观我们的居所的时候,不希望他们偷走我们的床垫。那么我们是否可以用物理世界中的安保方式来保证Cybespace中的秩序呢?
事实上,我们已经这样做了。在物理世界中,我们修建起了围墙,用门或者窗户上的一把锁达成了我们的心愿。Cyberspace中我们建立了权限之门,登陆之锁,密码之钥。 在物理世界中,我们有住所、省界、国界,用哨所保证出入的秩序。 Cybersapce中我们建立了高密级网络之界、低密级网络之界,用防火墙哨所、ACL哨所保证出入的秩序。两者面临的威胁也是出奇的一致。 在物理世界中,梁上君子们翻墙入室、撬锁开门、借道入室,Cyberspace中黑客小子们搜寻权限不当、各种漏洞、搭建跳板。物理世界中,可以搞定物业公司拿到各种钥匙,Cyberspace中可以搞定管理员随意穿梭。如果说物理世界中没有打不开的锁,大概也就意味着Cyberspace中没有搞不定的系统。使用过开锁服务的人可能都曾有过这样的感受,坚固的铁门上看似牢不可破的一把大锁,在开锁匠手中两根小铁丝的拨弄之下,咔嚓开启。然后目瞪口呆、五味杂陈的掏出钱包付账。而开锁匠则在异样眼光的注视下,迅速收款低头溜走。这情景与黑客在小白面前秀完手艺后的场景是何其相似啊!
哈哈,罗嗦了这么多,也不知道是否已经引发你的赞同,我继续自娱自乐的自编自演下去了。
物理世界中不安全的的因素是非常多的。你的门锁是不可靠的; 你的邻居的门锁是不可靠的,两家的窗户又紧挨着; 小区的门卫大爷犯瞌睡; 晚上睡觉的时候忘了关窗户; 你的朋友带来了一个不靠谱的朋友;你的钥匙丢失了;出门的时候忘了锁门等等等。Cyberspace中不安全的因素同样非常多,层出不穷的漏洞,各种坑爹的代码,各种奇葩的绕过,各种不靠谱的服务商等等等。为什么我们在物理世界中并没有时刻感觉到不安全呢?物理世界用什么方式做到了这一点?
第一点或许也是最重要的一点是,掌握高超技艺同时无节操的人是稀缺的,而我们又是微不足道的,所以普普通通的一把锁足以给大多数人提供所需的安全,而且大多数人终其一生都可能不被惦记上。第二点,家庭、学校、社会轮番的道德教育和稳定富足的生活条件,使得绝大多数人们根本不会产生作恶的想法。第三点,人民警察的高度专业化,物理世界中的众多眼睛,对惯犯的跟踪备案,足以破获一些简单的安全事件。
然而这其实只是最最普通的场景了: 对一般性目标提供一般性的安全防护。 对应到Cyberspace中,就是对各种普通用户、各种普通网站等一般目标的防护。物理世界中需要的是一把兼具象征性和基本防护能力的锁。Cyberspace中则是基本的访问控制、基本的防火墙、基本的杀毒软件等。经过这么多年发展以及对用户教育,人们已经开始如同买锁一样,开始购买安全防护产品,而微软等软件开发商更是免费提供各种安全机制。所以虽然人们在Cyberspace中买锁的意识远远不如在物理世界中买锁的意识。但是也足以确保大多数人不违背秩序了。当然,物理世界和Cyberspace还是有一定差异的,物理世界中要打开上万把锁是非常耗资源的,而Cyberspace中打开一把锁成本和打开一万把锁的成本是相同的! 在Cyberspace中掌握了高超技艺的坏小子们对一个普普通通的目标并不感兴趣,但是如果是一大群这样的目标就会兴致勃勃了,不过这时目标已经不是一般性目标了,也不能做一般性的防护了。这种情况在物理世界中对应的就不是开锁的问题,而是一种更高超的技艺——煽动。还有一种情况,在物理世界中不同的锁的钥匙都是不一样的,在Cyberspace中则习惯性的使用大量相同密码,这时的防护也不再是一般性的防护。 因为要像物理世界中所有的钥匙都是独一无二的那样,Cyberspace中需要做到的是在人们习惯使用大量相同密码的既定事实下提供防护,这两个都是要耗费不少资源的。总之,对一般性的目标只需要提供一般性的安全防护,就可以保证Cyberspace中基本秩序。哈哈,如果一般性的防护没有做到的话,那一定是因为对重要目标的防护没有做好。有点像是诡辩啊,哈哈。
接下来的那就是非常复杂高深的场景了。在这个场景里,一般性的防护是如同纸一样的,没有丝毫的作用。因为这里的目标蕴藏了巨大的价值,吸引大量技艺高超甚至资本雄厚的玩家。在这里,没有任何的道德信义可讲,需要的就是不惜代价、不择手段。道德信义从来就是让普通人遵守的。在物理世界中,这样的目标有银行、商业机密、核心技术、政治意图、军事情报等等。针对这些目标的攻防对抗情景,远远不是我们这些普通人可以接触到的了。我们只需要试着想一下,如今的洲际的导弹的威力已经达到了什么程度,核弹都足以毁灭地球了,有多少超出普通人意识的武器正在实验室里进行研发? 试问,各国政府对情报机关的重视程度会低于对武器系统的重视程度吗?武器系统已经达到了这种程度,那么那些情报机构掌握的手段已经达到了什么程度?开锁什么都上不了台面了吧。很多领域中公开的研究内容对绝大多数人来讲都已经是不可以理解的了,我们就更不知道各个领域中有多少智力超群的人正在暗地里研制着什么东西。这些巨大的黑影恐怖狰狞的注视这个世界,庆幸的是我们连续几辈子也不会成为他们的目标。物理世界已然如此,那么Cyberspace中已经是一种什么景象了呢?我们只需要自问作为程序员或者研究人员的我们到底对组成Cyberspace的设备以及技术了解了多少,芯片技术、各种有线无线的通信技术、磁盘、网卡、BIOS、编译器、OS、加解密中的各种数学技术等等诸如此类的技术,我们真正的了解吗?别忘了,这些可都是同样生活地球上的同类制造出来的,倘若这些人们在其中做了些许的手脚,我们这些普通人压根就不具备发觉的能力。当然,和物理世界中的情形一样,我们中的绝大多数不会成为这些人目标,所以继续乐呵呵的上上网看看片。哈哈,这就是平民的欢乐。
不过呢,作为从业者,我们还是要在欢乐之余多做一些防御之道的思索,毕竟还是要养家糊口的。况且相比历史无比悠久物理世界,Cyberspace毕竟只有几十年的历史,在这个空间中努力的跳一下,没准在未来也能够快乐的享受下通讯被监听、出行要审查、安保随身行的烦恼呢。这个貌似有点想多了啊。言归正传,既然都是安全问题,那么我们是不是可以直接复制物理世界中防护方式?在过去的日子里,我们已经在Cyberspace中创建了锁,我们需要持续的增加锁被打开的难度,确保制锁技术与解锁技术的均衡。除此之外呢,我们还有那些手段可以塞到Cyberspace中。
先梳理一下在物理世界中我们拥有的资源:
1 具有安防意识的个体: 每一个人都懂得基本的安保方式。
2 具有智能的无数双眼睛: 每一个人都在用双眼观察着并记录着四周,并且明白周围的人们在做什么,一旦发现威胁事件迅速交送到专业人员。
3 个体间复杂的社会关系和评价系统: 每一个人都会和多个人发生关系,并形成评价。
4 专业化的防护力量: 保安、门卫、安保公司专门从事防护。
5 专业化的侦察力量: 民警同志从上任到退休一直与犯罪分子们做斗争。
6 大规模的信息交流: 遭遇威胁的个体迅速反馈威胁事件情形,新型的威胁事件立即获得大量关注,迅速普及。
7 大规模的监视系统,抹除不掉的痕迹: 每个人都在记忆中存放了自己看到、听到的信息,遍布的探头记录下了人眼不及的地方,任何一件物品都能够被溯源。
8 个体的唯一标记以及档案: 每个人都有的身份证号码,公安部门的背景记录。
9 大量历史事件: 公安部门丰富的档案,并将各种经验传授给每一个民警。
物理世界中,我们拥有的可能远远不止这些,至少我们不知道黑影中正在发生些什么。但就上面列举的那些来看,物理世界使用了四个动作: 防范、记忆、追查、传播。
防范:
个体采用各种防范措施,一般性目标采用一般的防护,重要的目标会雇佣强大的专业的防护。
记忆:
普通的个体在记忆周边的各种事件,各种监控设备拓展了记忆的范围和能力。
专业的个体记忆各种事件,例如安保公司记住了各个被突破事件,办案民警记忆了大量的历史案件。
追查:
物理世界中记忆了大量的信息,提高了丰富的追查方式。现场取证、现场走访、历史案件比对、嫌疑人口碑调查等等。
传播:
个体遭遇了可疑事件,立即上报,专业个体立即进行调查。 新奇事件立即在个体之间形成传播,专业媒体扩大传播范围。
在物理世界中我们是这样做的,在Cyberspace中,我们当前做到了哪些呢?
防范:
必然能被绕过的防范。各种特征码,基本是必然能够被绕过。防的住蟊贼,防不住神偷。和物理世界一个德性。
记忆:
有限的数据采集。Cyberspace中的数据量非常大,要全部记录下载需要不菲的代价。所以只能选择性的记录。记录的信息必然比不过芸芸众生五感记录下的内容丰富。
追查:
有限的追查手段,极度欠缺的追查人员。Cyberspace中有多少种追查方式?与物理世界中手段相比如何?各种安全专家、研究员的数目总和和人民警察的数量比起来如何?
传播:
一定的传播。各种基于云的安全产品,实现了可疑事件的提交。厂家的分享精神相比物理世界中的宣传机构如何?
鉴于本人虽然从业三年,实际上却没能获得见识业内专业厂商的防护策略,自责也未能深入学习太多东西,纯属痴混三年,憾事一件。所以上面的总结一定是偏颇的,业内专家一定要认真指正,在此先行谢过: 多谢指正!
最后一段扣题。本文乃是阅读了前主管积极推荐的一篇他自己写的文章《APT到底扒了谁裤子》之后引发的些许感悟。文中这位70末80初的勤勤恳恳耕耘多年老兵,热情高涨的大声疾呼,安全的新时代已经到来,在这分析的新时代,研发人员将大有用武之地,终于有了能够发挥出自己主观能动性机遇,再也不是被动的为安全做工具啦!令人唏嘘感慨涕流不已,这里面得有多少泪水…鄙人亦曾怀着极大的私心试图研究下安全大数据,醉翁之意不在安全也,意图运用下大数据的技术谋求份高薪而已。 哈哈,境界实在是不高。然而思索一番之后,却是难言乐观。运用数据挖掘等各种大数据技术将数据做大体分类尚且可以,毕竟只是大类划分,纵然有不少偏差,但是在一些领域内,只要大体正确就可以产生很大的价值,例如电商的推荐。而安全却要从亿万条记录中分离出个位数个异常记录,数据总量如此庞大,有些许偏差,就将被淹没在大量的记录当中,完全不可分析。读罢主管的文章之后,尤其是文末医疗体系类比之后深有启发,于是略作发挥,将其扩至整个物理世界。仔细考虑,这其中确实还有不少事情是可以做的。
如果无法根除,那么就好好的去做防范。如果突破不了物理世界的规章,那么就痛快的仿造,如果无法完整仿照,那么就老老实实的做好记录,只要你从此经过,必然会留下痕迹。
ps: 隐约有民科之嫌……