简体中文
科學家是人類最聰明的羣體!而科學家中,最善於彼此對抗者,又非信息安全專家莫數。但事實證明,正是這批人精中的人精,在保衛信息安全方面,卻辦了糊塗事,使得賽搏空間越來越不安全,甚至,如果再繼續錯下去的話,最終將導致“人人裸奔、個個自危”。
下面簡要羅列全球網絡安全界所犯的九大代表性戰略錯誤。
1 最基礎的錯誤:忽略了“返祖”現象。
構成賽搏空間的所有要素(計算系統、存儲系統、傳輸系統、採集系統等)都是人類文明精華的最先進成果,因此,按慣性思維,自然認爲賽搏空間本身也最文明!然而,我們錯了,並且大錯特錯,實事上,賽搏空間是最“返祖”的野蠻社會,在這裏,甚至連文明社會的最基本準則(道德準則、關係準則、秩序準則)都是空白,“弱肉強食”司空見慣,“損人利己”天經地義,“損人不利己”甚至“損人損己”也比比皆是。
因此,要想保衛禽獸不如的賽搏空間的安全,當然不能只用“文明手段”,必須勇敢地向遠古前進,由“叢林法則”開始,向原始人學習,踏踏實實地推進賽搏社會的生態文明建設。
2 最致命的錯誤:以君子之心,度小人之腹。
當今,所有信息安全技術都以“用戶是好人,一定會遵紀守法”爲前提,比如,只有當確認某款軟件幹了壞事後,才把它定爲“惡意代碼”,纔開始對其進行封殺或補漏;只有當某個用戶已被證明危害了安全後,纔將其定爲黑客,纔開始對他進行應急處置等。如果這種後發制人的“馬後炮”思路得不到根本改變,那麼,全球信息安全專家們將永遠處於被動、捱打的局面!
當然,由於歷史欠賬太多,我們也不可能一夜之間就把思路調整爲“人之初,性本惡”的有罪推論,畢竟現在的絕大部分信息安全技術和手段都主要在“亡羊補牢”,都是基於“人之初,性本善”的假設。該錯誤的根,顯然在錯誤1。
3 最受累的錯誤:全民被“魔道怪圈”綁架。
當前信息安全界的邏輯是:當個別黑客的“魔”高一尺時,全體網民的“道”就必須再高一丈,如此循環往復“冤冤相報”,永無止境!好像全體網民都被逼進了露天電影場,而且,因爲有人“站立”,便導致大家都不得不“踮着”受罪。爲什麼網民們不能舒服地坐着享受電影呢?我們也許會羅列許多理由來辯解這種無奈現象,比如,信息系統越來越複雜、黑客技術越來越先進等,因此,網民必須爲信息安全付出應有的代價。猛聽起來,這種“叫屈”好像有道理,但是,請注意,在現實社會中,敵我雙方的導彈等核武器系統也是在不斷“水漲船高”吧,請問你作爲普通市民,有沒有越來越被戰爭威脅的感覺?基本沒有吧!
因此,全體網民應該有希望,不再夜夜爲自己的信息安全“做惡夢”,假如我們真能打破“魔道怪圈”的話,當然,必須承認,我們至今還無計可施,但是,世上無難事,只怕有心人。提示:杜絕“露天電影效應”的辦法有兩個,其一,放映效果足夠好,使每個人都能清晰地享受,這樣就不會有“站立”者了;其二,對“站立”者嚴厲懲罰!
4 最不該的錯誤:忽略了黑客是人,這一最簡單的事實。
在過去數十年裏,全球信息安全界的研究重點幾乎都是“如何從技術上去對抗黑客”,但卻忽略了“黑客是人”這一最基本的事實!更準確地說,人、網絡和環境組成了一個閉環系統,只有保障了其中各環節的安全,才談得上真正的安全。適用於網絡和環境的安全保障措施,顯然不能照抄照搬用於人的安全保障。而對付人的最有效辦法就是心理學,具體說來是《黑客心理學》。形象地說,王陽明的“破山中賊易,破心中賊難”,在網絡安全界便可演繹爲“破網絡黑客易,破心中黑客難”,或者說是“攻城爲下,攻心爲上;攻網爲下,攻人爲上;如何攻城,假假真真;如何攻人,社會工程。”而對付黑客的心理戰術之多,可能出乎許多人的意料之外,包括但不限於充分利用感覺的漏洞、知覺的漏洞等各種漏洞,與黑客展開記憶博弈、情緒博弈、注意控制、動機誘惑等對抗,充分利用微表情泄密、肢體語言泄密、姿勢泄密、服飾泄密、習慣的泄密、愛好的泄密、喜歡的泄密等衆多潛信道等,最終實現對黑客的全方位圍攻。
幸好,剛剛結束的全球信息安全界的巔峯會議“RSA2020”,將今年的大會主題定爲“人的要素(Human Element)”。看來,全球信息安全專家終於開始意識到:“安全的核心在人,而不在物!”而人的要素卻在心,心的要素卻在心理。但願安全技術界將有更多的人關注黑客心理學。
5 最無奈的錯誤:忙於頭痛醫頭,足痛醫足。
不客氣地說,別看現在全球信息安全界的專家們忙得熱火朝天,好像大家都在甩開膀子大搞信息安全;其實,幾乎沒有一個人在搞“信息安全”,準確地說,大家都在搞“信息不安全”,即,哪裏出現了黑客,哪裏出現了“不安全”;於是,大家就一窩蜂地奔向哪裏,整個安全界好像都在“打怪”,都完全被黑客牽着鼻子走。不信你看,全球現有的所有信息安全產品、技術、理論等,都只是“武器”,都是針對某種“矛”的“盾”;但卻沒有“兵書”;對比一下古今中外的軍事對抗,武器雖然重要,但如何排兵佈陣更重要;否則就不可能有以弱勝強,而這正是兵書的神奇之處。
如今在全球網絡安全界,甚至連什麼是安全,什麼是黑客,紅客的任務是什麼,什麼是安全對抗,網絡攻防有極限嗎,網絡攻防的最佳策略存在嗎等最基本的問題,都沒能嚴肅回答,而只是像小木匠打傢俱那樣,匆匆給出了一些羅列式的經驗堆積。其實,網絡安全真的擁有一套完整的統一理論,真的可以像信息論那樣,成爲嚴謹的數學理論,即,《安全通論》;它將在AI機器黑客和紅客大規模普及後,扮演着類似於“香農信道編碼定理”的角色。
6 最仁慈的錯誤:未建信息安全別動隊。
如果把賽搏空間比喻爲金銀滿地、佳麗如雲的後宮,那麼,最合適的管理人選應該是“太監”。但是,錯誤1導致的現狀是:如今,管理該“後宮”的卻是衆帥哥,受某些規矩約束的衆帥哥。或者,換句話說,現在,信息安全界選用了一個股民來擔任“美聯儲”主席,想不出金融危機都難囉!事實上,當前,國內外,信息安全界攻守兼備的幾乎都是同一批人!這當然在無形中加劇了各利益方的相互對抗,並且殃及全體網民!如果有一支類似於“聯合國維和部隊”,他們完全中立地、盡心盡力地、一視同仁地爲全世界信息系統保駕護航,那麼,網民們的安全感將大幅度增強。
當然,要想糾正該錯誤,顯然不能僅僅依靠技術手段,而且這絕對是一個非常困難的問題。所幸,現在這樣的“別動隊”已經開始活躍於賽搏空間的某些局部,比如,出現了SAAS概念,即,信息安全即服務。
7 最具體的錯誤:黑名單管理。
當前,賽搏空間的行事規則是:非禁止,即允許。該規則在信息安全的攻防雙方也是通行的,其好處是極大擴展了各自的創新空間,但是,卻耗費了對抗雙方難以計數的人力、物力和財力等資源。如果把安全規則修改爲“白名單管理”方式,即,未被允許的指令均爲禁令,那麼,理論上,只需要由權威機構,在給定環境下,預先測試某些操作的安全性,然後,將安全操作寫入“白名單”中就行了。
當然,要想馬上、全面推廣“白名單”,幾乎是不可能的,但是,從局部開始,針對某些關鍵系統的核心操作,採用“白名單”也是值得嘗試的。
8 最機械的錯誤:動態性不足。
與現實社會類似,賽搏空間的“人”(實體)和“事”(進程)也應該是瞬息萬變的,而且,網絡社會的移動性、隱蔽性、不定性等更加嚴重,因此,既不能簡單地用身份認證方法,把用戶分爲“好人”或“壞人”;也不能把各種操作,機械地定爲“合法”或“非法”;更不能“以不變,應萬變”,必須綜合考慮時間、空間、事件等因素。當然,要想提高動態性,一定得付出相應的代價。
因此,針對一些特定的信息系統,在特殊情況下,完全可以借用現實社會中的衆多直觀思路,用時間的動態性、空間的動態性、事件的動態性等來換取賽搏空間的安全性。
9 最難糾正的錯誤:對中華武術精髓理解不深。
天下武功,唯快不破!安全的實質,就是紅客與黑客的對抗;而對抗的致勝法寶,其實只有一個字:快!但是,“快”的法寶,是兩個字:預測!即,若能精準預測對方的下一個動作,那麼,在激烈的對抗中,基本上就能處於優勢地位。但是,黑客的行爲能預測嗎?當然能預測,其實武林高手之所以能勝,就在於他能預測對方的下一個動作,從而以逸待勞輕鬆獲勝。如何預測黑客的行爲呢?嚮導彈學習!導彈之所以能精準擊中目標,完全依賴於它的六字預測箴言:反饋、微調、迭代。因此,只要用好了這六個字,你也完全能精準預測黑客的行爲。在各種各樣的具體情況下,到底如何預測黑客的精準行爲呢?也許《博弈系統論》能幫上你的大忙,當然,這絕非易事,更不是誰都能輕鬆掌握的武林祕笈;所以,網絡安全界還應該大量吸引若干數學家、系統科學家和控制論專家等,大家同心協力,才能儘早糾正該錯誤。
結語:
第一,客觀地說,以上九大錯誤不能完全歸咎於信息安全界,因爲,IT界的過度創新和失誤留下了太多急需彌補的漏洞,使得我們倉促上陣,根本沒時間和精力來統籌戰略;
第二,我們的信息安全專家,幾乎沒有能力和機會介入賽搏基礎設施的起步階段,致使信息系統的“建設”與“安全”始終是“兩張皮”;
第三,糾正上述九大錯誤,也絕不僅僅是我們信息安全專家的責任,更重要的是“全體IT專家必須行動起來”;
第四,“糾錯”將是非常困難的長期難題,不能另起爐竈,最多在特定情況下,從局部改起.
傳統的信息安全專家甚至都可以不理睬以上九大錯誤,而僅僅是等待今後的新人,在新系統中,採用新思路來糾錯,否則,我們將“雞飛蛋打”!
(來源:亞太日報)
