防火墙之父Marcus Ranum:安全就是关注细节

4月20日 编译Marcus J. Ranum是IT安全领域全球知名的专家和创新者在行业内备受赞誉。二十年前他设计并创建了 Digital Equipment Corporations (DEC) Secure External Access Link即很多人所认识的第一款商业防火墙产品。

  他曾经担任过多家知名企业的首席安全主管并曾经负责管理白宫的电子邮件系统。他曾经为财富500强中的多家企业提供过安全咨询服务。Ranum目前居住在宾夕法尼亚州的一个远离城市和宽带网络的农场里。他很希望看到IT安全领域的战争结束即使这意味着安全行业消失。

  近日Ranum接受了ZDNet的专访与大家分享安全领域所面临的问题。

  您为什么会加入信息安全行业?您最感兴趣的是什么?

  其实我进入这个行业是很偶然的那时候我在DEC的老板Fred Avolio让我负责公司的一个互联网网关并让我“建立一个像Brian Reid 和 Bill Cheswick那样的防火墙”。20年后的今天我觉得我还是在继续这个项目。老实说我没在计算机安全行业发现什么有趣的事情一旦你理解了策略的问题剩下的就是花大量精力关注细节。

防火墙之父安全就是关注细节

Marcus Ranum

  我在安全领域发现的最有趣的事情大概就是有关于人们面对安全问题时的反应他们总是想尽量安全的去做那些很危险的事情而当你告诉他们这样做不可以的时候他们通常都很愤怒。所以在我看来整个行业就是一面是希望和努力另一面是愤世嫉俗和无知这两者之间的博弈。

  您认为目前信息安全领域最普遍的问题是什么?该怎么解决呢?

  信息安全领域最常见的一个问题也是我们从来没有去过多关注的就是在终端系统上实现可靠的软件(安全性也是属于可靠性的)。这包含了操作系统设计和编码的可靠性目前这两个方面的趋势是反向发展的。因此也就出现了目前流行的“云计算”即将主框架虚拟化承认了目前终端设备具有很差的管理性能以及不可靠性将数据和处理过程交由更好的数据维护机构去维护和管理确保数据的可靠性并降低IT部门的成本。

  当然这只是痴人说梦。为什么呢因为令我们的终端系统出现不可靠性的因素同样出现在建立云服务的过程中。

  那么该怎么去解决这个问题呢?重申一下这个趋势的发展方向是错误的而解决之道需要先进的技术管理模式通过适度的投标需求良好的软件工程以及严谨的工作态度而不是只考虑投标价格最低的供应商。这样整个趋势才可能自己修复。

  我们需要做的就是全力关注可靠性即包括品质在内的各种内容。

  您并不赞赏黑名单模式但是业界很多公司都在经营基于黑名单的安全产品并且相当成功。您能解释一下您为什么不看好黑名单模式以及您是否认为未来白名单将占统治地位?如果白名单成为主流那么安全行业的收入状况将发生什么样的变化?

  不是这样的我本人是黑名单模式的大粉丝!这是一个非常重要的技术!只不过这个技术并没有回答广大用户的一个疑问即“这个软件到底好不好?”。黑名单是用来鉴定某个内容的最佳技术因为它不但可以回答“这货是坏的吗?”这个问题还能告诉我们“这货到底是神马?”这非常符合人性的特点即想对自己接触到的东西进行确认。这就是基于特征码的入侵检测/预防系统以及基于特征码的杀毒软件能得到广大用户支持的原因。这个技术很好理解实现起来也很容易并且可以持续不断的销售升级版本的特征库。

  当你听说像Symantec这样的大公司都说黑名单不灵光的时候我觉得这就是一个很重要的信号了而目前安全软件行业的大部分厂商还是停留在有盈利就万事OK的阶段。目前行业中存在一个趋势即建立一个基于云的完全混合的黑名单这似乎是可以得到不少用户的信赖和认可但是从长远看这种动态黑名单也不会比现在的静态黑名单强多少。这里我所述的强弱是指“帮助客户解决恶意软件问题”如果你的意思是指“帮助杀毒软件厂商解决他们自身的财务问题”那我肯定会说这个动态黑名单非常有效并且在相当长一段时间内都会让这些厂商眉开眼笑。

  另外我还问过很多IT经理相同的问题“你为什么要给客户一台电脑?如果你知道客户为什么想要一台电脑为什么你不将电脑设置成只能执行客户所需的那几种功能而其它功能一概不能执行。”这里所说的其它功能包括比如“加入僵尸网络散发垃圾邮件”。我一直很困惑为什么很多IT经理都说很难知道客户的电脑中到底运行了多少软件。我认为这是IT部门分内的事情。如果我的公司给我配了一台电脑让我能够收发电邮编辑公司的文档那么应该很清楚的知道我电脑里应该会有一些文本编辑工具或办公套件以及一个电子邮件客户端程序能让我顺利收发电子邮件除此以外应该就不会有别的程序了。有一段时间我觉得那些强大的智能手机上运行的软件商店是一个很不错的实现软件管理的方式完全可用于桌面电脑系帮助提高系统的安全水平。但是后来我发现软件店成为了黑客的首选目标软件店里的软件成为了黑客散布病毒的最佳载体。

  因此你还是需要一个黑名单系统这样你就可以告诉某人“你刚刚要安装的那个软件叫做 Stuxnet”这很不错而且很有用。但是你更需要的是白名单因为这样才能体现出你到底想要你的电脑做些什么。我们可以拿一个防火墙策略来说明这个问题传统的策略无非是默认拒绝和默认通过这两种。安全意识高的用户一般选择默认拒绝而那些选择默认通过的用户就要花很多时间来处理各种意外情况。二者的差别相当明显。

  至于安全行业收入的问题谁又会在意呢?就好像没有人会在意内燃机的出现对蒸汽机行业的冲击一样。事实上我觉得如果有一天我们都能从安全威胁中解放出来把安全工具扔到一边说“没问题了我们编个游戏玩吧!”那简直就太好了。不管你信不信在防火墙行业刚起步的时候我还打算把全部安全所需的产品开发出来呢那时候觉得无外乎就是基于策略的访问控制离线认证点到点加密以及提高这些软件的品质。而到了90年代末期疯子掌管了疯人院于是结果就不言自明了。
企业针对移动设备的安全策略

  你曾经说现在的企业没有毅力控制个人设备进入企业。真的是这样吗?目前企业平台的安全性不足以确保员工自己的设备的安全吗?

  让我来反问你一下好吗?你觉得如果美国政府宣布核导弹系统的控制软件已经移植到iPad上了并且导弹部队的官兵可以用自己的iPad来运行和管理导弹系统从而大大降低了导弹系统的管理成本。你觉得这事儿靠谱么?

  这是视情况而定的取决于事情的危机程度对象的可替代程度还有就是一旦出现问题能否及时清除问题以及你是否真的希望出现问题。只要是采访过公司数据泄漏银行信用卡信息泄漏之类新闻的记者都不会问你这个问题。

  你问我的问题应该是为什么企业能容忍制作的这么糙这么难以管理的系统和软件存在以至于他们都不知道该拿这些系统和软件怎么办了。但是他们还是让用户通过这些软件和系统登录自己的银行账户。他们这是不是脑残啊?这不可避免的带来了诸如不良的配置管理或不良的系统管理问题或者说企业根本不懂IT。

  没错我就是在痛斥如今IT管理领域的一些趋势。

  你还认为入侵测试和打补丁同样会让软件越来越安全吗?软件厂商会改变他们对于安全问题的态度吗?

  是的。对于雕刻家来说他可以一开始面对一块大理石逐步去掉所有不像天使的部分最后展现给人们一个天使雕塑但是对于软件来说就不是这样了。你不可能一开始就把一个设计的垃圾一样的产品归入企业级软件的行列然后不断的推出补丁进行修补慢慢让它符合企业软件的标准。不管你怎么修饰它还是垃圾。

  软件行业现在基本上认识到了这一点偶尔你还能看到某个软件重新编写了内核因为最初的版本太局限。随着软件越来越复杂功能越来越多开发人员一般都开始使用源代码版本控制工具单元测试工具回归测试工具等进行管理。

  问题在于现在的软件行业是一个以上市时间为首要目标的行业因为上市时间决定了回报大小要他们做一些会影响到上市时间的工作就好像在逼它们成为失败者一样。有时候可以通过一种模式来改变这一现状即“先开发一个测试版放到市场上吸引用户如果成功了就吸取其中的经验在稍后开发一套正式版本”但是我怕很多厂商会把第一个测试版的内核拿过来作为产品未来十年的内核用。实际上我们见到的很多软件都是这样的最终结果并不好。

  你曾经预测6-10年内黑客将不再是很酷的称号对非技术人员的安全培训将毫无成果。您现在怎么看?

  我想至少我要感谢一下恶意软件和僵尸网络以及职业化的网络罪犯正因为他们很多“正常人”都已经对黑客文化没什么印象了。而人们对于“灰帽子”社团的网络盈利模式也已经很清楚了因此我觉得黑客社团应该想办法处理一些名誉的问题了。

  至于对非技术人员的安全培训问题我可能是预测错误了。我的错误不在于说培训没用而是错在了我觉得新一代的领导层能更好的重视安全问题。而且在我看来好像更糟糕了。

  哪种手机平台或者您希望哪种手机平台会最终胜出是开源的安卓非开源的苹果系统还是黑莓。

南京公司安全培训

创新技术的应用不但不会降低对管理的要求反而会加强新的技术手段往往带来新的管理问题和挑战。“三分技术、七分管理”我们以此作为信息安全的基本原则实施和部署有效的管理和技术的预防、侦测、响应以及补救措施。http://www.isvoc.com/default.html

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s