安全的过程

  • 布鲁斯·施奈188滚球网站尔
  • 信息安全
  • 2000年4月

我为这本杂志写密码韵律专栏已经一年多了。几个月前,当编辑和我坐下来讨论2000年的话题时,我告诉他我想把重点从特定于加密的主题扩展到更广泛的信息安全主题。所以,尽管专栏仍然落在了密码节奏的旗帜下,您可以期望今年的专栏中的一些(但不是全部)能够解决更广泛的安全问题,这些问题在某种程度上包含了密码技术。本月的文章就是这么写的,关注安全过程。

如果我们从过去几年学到了什么,计算机安全缺陷是不可避免的。系统中断,媒体报道了漏洞,还有很多人相信下一个产品,或者下一次升级,或者下一个补丁。“这次很安全。”到目前为止,还没有。

安全是一个过程,不是产品。产品提供一些保护,但是,在一个不安全的世界中有效地开展业务的唯一方法是建立识别产品内在不安全的流程。诀窍是降低暴露的风险,不管产品或贴片是什么。

我们会学习吗?

考虑拒绝服务攻击。DoS攻击是本书中最古老和最简单的攻击之一。即便如此,二月份协调,分布式DoS攻击很容易导致多个高流量网站瘫痪,包括雅虎,易趣网,亚马逊和CNN。

考虑缓冲区溢出攻击。早在20世纪60年代,分时系统就受到了这一问题的困扰,安全学者早就知道了这一点。在20世纪70年代,它们经常被用作攻击早期联网计算机的攻击点。1988年,莫里斯蠕虫利用unix-fingerd命令中的缓冲区溢出:这种攻击的一种非常公开的用途。

今天,在莫里斯和这些袭击被首次发现35年后,您可能认为安全社区已经解决了基于缓冲区溢出的安全漏洞问题。再想一想。1998年,超过三分之二的CERT咨询是针对缓冲区溢出造成的漏洞。1999年平均一周,rsaref cryptographic toolkit(oops)中发现缓冲区溢出漏洞;惠普的操作系统;Solaris操作系统;以及Microsoft IIS 4.0,站点服务器3.0,Windows NT和Internet Explorer。最近的一项研究称缓冲区溢出是最常见的安全问题。

考虑加密算法。专有的秘密算法定期发布和破坏。一次又一次,市场知道专有的秘密算法是个坏主意。但是像微软这样的公司和行业,DVD联盟,移动电话提供商等继续选择专有算法而不是公共算法,免费的替代品。

有人注意吗?

悲哀地,这个问题的答案是,不是真的。或者至少,关注的人远远少于应该关注的人。对数字安全产品的巨大需求需要人们设计,开发和实施它们。对人才的巨大需求将比技术人员的数量还要多,因此,人们关注的比例会变得更小。

大多数使用安全性的产品都不是由任何具有安全专业知识的人设计的。即使是特定于安全性的产品,通常也由只有有限安全专业知识的人设计和实现。安全性不能被功能性测试,任何测试版测试都不会发现安全缺陷——因此缺陷最终会出现在已部署的产品中。

我经常对破坏安全产品的东西感到惊讶。我看到过一个带有用户界面的文件加密产品,它意外地将密钥保存在“清除”中。我看到过vpn,在这里,电话配置文件意外地允许一个随机的人对服务器进行身份验证,或者允许一个远程客户机查看另一个远程客户机的文件。有无数种方法可以使产品不安全,制造商们一次又一次地发现了很多这样的方法。

没有人注意,因为没有人必须注意。

时尚模特

计算机安全产品,就像一般的软件一样,有一个非常奇怪的产品质量模型。这完全不同于汽车或摩天大楼的质量控制过程…甚至是一盒炸鸡。如果你买了一个产品,因为制造商的缺陷而受到伤害,你可以起诉……你会赢的。汽车制造商无法摆脱制造在撞击中爆炸的汽车;卖炸鸡的小店总是卖着一桶掺了老鼠的炸鸡。建筑承包商说这样的话是行不通的,“哇哦。还有一个。对不起的。但等着摩天大楼1.1;它将100%无倒塌!”

软件是不同的。它出售时没有任何索赔。你的应收账款数据库可能崩溃,让你的公司破产,你对软件公司没有任何索赔。你的文字处理器可能会意外损坏你的文件,你没有追索权。你的防火墙可能会完全失效几乎比什么都没有要好,但这是你的错。微软在hotmail上安装了一个bug,允许任何人读取大约4000万用户的帐户,密码或没有密码,从不道歉。

软件制造商不必生产高质量的产品,因为如果他们不生产,就没有责任。这对安全产品的影响是制造商不必生产真正安全的产品,因为没有人可以起诉他们,如果他们做了一堆虚假的安全声明。

结果就是市场不奖励真正的安全。真正的安全更难,更慢更贵,设计和实现。因为买房的人没有办法区分真正的安全和糟糕的安全,在这个市场上赢得胜利的方法是设计出一种尽可能不安全的软件。

微软知道可靠的软件是不划算的。根据研究,90%到95%的虫子是无害的。用户从未发现过,它们不会影响性能。发布bugy软件和修复人们发现和抱怨的5%到10%的bug要便宜得多。

微软也知道真正的安全性是不划算的。他们每周都会遭受几次新的安全漏洞的打击。他们能修好的,写一些误导性的新闻稿。等待媒体的热情消退(它总是这样)。六个月后,他们发布下一个具有新特性和各种新的不安全性的软件版本,因为用户更喜欢酷的功能而不是安全性。

恐惧产品;拥抱过程

没有完美的安全感。有趣的是,这不一定是个问题。美国信用卡行业每年因欺诈损失100亿美元。独自一人,然而,维萨卡和万事达卡都没有显示出任何停业的迹象。在美国的商店行窃估计目前每年在95亿到110亿美元之间,但是当一家商店倒闭的时候,你永远不会看到“缩水”(如它所说)被认为是原因。最近,我需要公证一份文件。这是我很久以来见过的最愚蠢的安全协议。仍然,不管是什么,它都能正常工作。

安全不一定要完美,但风险必须是可控的。信用卡行业对此了如指掌。他们知道如何估计欺诈造成的损失。他们的问题是,电话信用卡交易造成的损失大约是面对面的交易(出示信用卡时)造成的损失的五倍。互联网交易的损失大约是面对面的交易的10倍。维萨卡和万事达卡正推动建立互联网支付机制,正是因为风险越来越大。

我对网络空间最担心的是人们不了解风险,他们过于相信技术能够排除它们。产品本身不能解决安全问题。

前瞻性思维

数字安全产业迫切需要感性的转变。反担保品被作为避免威胁的方法出售。好的加密技术是用来防止窃听的。一个好的防火墙被作为一种防止网络攻击的方法来销售。PKI作为信托管理出售,所以你可以避免错误地信任你真正不信任的人。等等。

这种思维方式是完全落后的。安全老了,比电脑老。而老保安行业则把防范对策作为规避风险的手段。这种区别是巨大的。避免威胁是黑白分明的:要么你避免威胁,或者你没有。避免风险是持续的:你可以接受一定程度的风险,还有一些你不能。

安全流程是避免风险的方法。正如企业使用复式簿记的过程一样,企业需要使用一系列安全流程来保护其网络。

安全流程不是产品的替代品。更确切地说,它们是一种有效使用安全产品的方法。它们是降低风险的一种方法。网络安全产品会有缺陷;程序是捕获利用这些缺陷的攻击者所必需的,并在缺陷公开后加以修复。会发生内部攻击;检测攻击的过程是必要的,修复损害并起诉攻击者。大的系统性缺陷将危及整个产品和服务(比如数字手机,微软Windows NT密码协议或DVD);流程是从妥协中恢复并保持业务状态所必需的。

以下是两个如何关注企业网络安全过程的示例:

1.注意已知的漏洞。大多数成功的网络安全攻击都针对已知的漏洞,这些漏洞的补丁已经存在。为什么?因为网络管理员没有安装补丁,或者因为用户重新安装了易受攻击的系统。对前者很容易聪明,但对后者保持警惕同样重要。有很多方法可以检查已知的漏洞。网络漏洞扫描器,如netect和satan测试。电话扫描器,比如电话扫描,检查公司内部是否有流氓调制解调器。其他扫描器查找网站漏洞。经常使用这些产品,注意结果。

2。持续监控您的网络产品。网络上的几乎所有内容都会产生连续的审计信息流:防火墙,入侵检测系统,路由器,服务器,打印机等。大部分都无关紧要,但其中一些包含成功攻击的足迹。注意这一切对安全至关重要,因为绕过一个产品的攻击可能会被另一个产品接受。例如,攻击者可能利用防火墙中的漏洞绕过ID,但他在内部服务器上获取根访问权限的尝试将出现在该服务器的审核日志中。如果您有一个适当的进程来监视这些日志,您将捕获正在进行的入侵。

在这些网页和其他地方,我写了一篇关于计算机安全未来的悲观文章。计算机的未来是复杂的,复杂性是对安全的诅咒。唯一合理的做法是尽可能降低风险。我们无法避免威胁,但我们可以降低风险。

我们在社会上没有其他地方对技术有如此多的信心。从来没有人说过,“这个门锁非常有效,我们不需要警察保护,或者违反和进入法律,“产品在某种程度上起作用,但您需要有适当的流程来利用它们的有效性。

安全过程

预防

限制特权。不要给任何用户超过他完成工作所需的权限。就像你不会随便给一个员工CEO办公室的钥匙一样,不要给他CEO档案的密码。

固定最薄弱的连杆。将安全预算用于确保最大的问题和最大的漏洞。太频繁了,计算机安全措施就像在地上埋下一根巨大的木桩,希望敌人能直接撞上它。试着建一个宽阔的栅栏。

使用阻流点。通过引导用户通过阻塞点(想想防火墙)。你可以更小心地保护这几点。绕过这些阻塞点的系统,像桌面调制解调器一样,使安全更加困难。

提供纵深防御。不要依赖单一的解决方案。使用多种互补的安全产品,所以一个人的失败并不意味着完全的不安全。这可能意味着防火墙,入侵检测系统和重要服务器上的强身份验证。

安全地失败。设计你的网络,当产品失效时,他们以安全的方式失败。当ATM失效时,它关闭;它不会把钱从槽里吐出来。

利用不可预测性。你了解你的人际网络;你的攻击者没有。这是你的最大优势。通过伪装使他的工作更加困难,加上蜜罐和诱饵,等。

登记用户。如果用户不在您这边,安全性就无法工作。社会工程攻击通常是任何攻击中最具破坏性的,只有通过用户教育才能抵御。

拥抱简单。尽可能简单。安全是一条链条;最薄弱的环节会破坏它。简单意味着更少的链接。

检测和响应

检测攻击。注意安全产品。寻找攻击的迹象。太频繁了,来自防火墙的重要警报,服务器甚至IDSE都被忽略了。

响应攻击者。仅仅检测攻击是不够的。当攻击者发现漏洞时,您需要关闭漏洞,调查事件并起诉攻击者。我们需要建立一个这样对待罪犯的世界。

保持警惕。安全需要持续监控;看周报是不够的。尽快阅读有关新攻击的信息。立即安装所有安全补丁和升级。

观察观察者。审核您自己的流程。有规律地

类别:计算机和信息安全

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.