貴公司安全措施失效的五個原因
原創【51CTO.com快譯自12月15日外電頭條】因特網安全行業出現過各種各樣失敗的安全解決方案。雖然也有例外,但是一個人可以根據事情失敗的原因學到一些通用的原理。下面則是一些這方面意見的總結。
最薄弱環節
“安全措施的好壞只取決于最薄弱環節的強度”。這可能是最著名的格言。然而令人驚訝的是,很多安全措施都是因為這個而失敗的,因為最薄弱的環節往往不能很明顯的看出來。加密業務的幾個例子很好的證明了這一點。拿你可以找到的具有最長密鑰長度的最好加密算法做例子。我們假設它百分之百安全。那么在選擇加密鍵值的時候你使用同樣級別的技術了嗎?如果你的加密鍵值是基于一個密碼,舉個例子,可能只是基于一個位數較少的數字,然后通過加密軟件擴充到位數更多的密鑰。然而,它的安全性能還是取決于那個較少位數的數字,比你想象的要脆弱的多。
然后就是你怎么拿這個密鑰跟別人通信的問題。很多時候,通信交流是最薄弱的環節。一個經典的例子就是OTP的使用,這個東西在第二次世界大戰時期就已經開始用了。OTP密鑰基本上跟普通加密的文檔一樣長,因此能夠證明OTP可以提供完美的安全。那么真是這樣的嗎?不是的,弱點存在于你怎么跟別人通信交流這個OTP的過程中,以及你以后怎樣使用它。
即使你給別人發送了一個攜帶那個密鑰的消息而且保證沒有被破解,然而一旦在運行過程中出現普通的問題都會讓這個過程變得非常的脆弱。如果由于某些原因,你不止一次的使用了某些OTP,那么就會有簡單的解密方法允許第三方破譯并閱讀你的交流內容。美國能夠破譯蘇聯的一個間諜網絡靠的就是這個原理。就像你所看到的,弱點經常存在于安全措施主要部分(你知道或者認為非常穩固的)的周邊。
行業標準vs專用解決方案
使用專用解決方案可能會有些優點由于“無名安全(隱蔽運作安全)”,但是使用沒有廣泛驗證的解決方案會很危險。加密又是一個很好的例子。
使用像AES這樣的行業標準意味著很多的專家已經研究過這個算法,而且沒有發現嚴重的問題。如果他們確實發現過問題,你也會知道。拿第一代的WiFi加密方法做例子。這個方法很快就被發現存在嚴重的漏洞。由于他是一個標準,所以很快就被禁止了,并且被更加強有力的方法代替。尤其是要警惕那些不公開算法而對其技術實力信口開河的的供應商。——51CTO鮮橙加冰:以前一直覺得公共安全算法沒有自己寫的安全,后來發現自己寫的未經嚴格論證過的算法,在職業破解人員面前完全不堪一擊,一反就反出來了。
文不對題
如果想使安全措施有效,那么你需要清楚的確定到底是什么問題。否則,你最后只能發現你自己有一個好的方案但是卻不能解決你的真正問題。以防火墻為例。雖然它對于某些問題來說是較好的解決方案,但是如果你有個數據庫在防火墻后面運行,那么它將不能阻止應用層的攻擊,比如SQL滲透。這些雖然是普通的危險攻擊,但是大多數防火墻技術都不能搞定他們,這個問題需要專門的解決方案。
人的因素
“如果你依賴用戶處理,那么安全問題會很多。”如果你依靠最終用戶,而且最終用戶對此不是很懂或者不能被打攪,那么安全就會嚴重滯后。下面的幾個例子可以說明這個問題。首先,我發現大多數的個人防火墻沒有用處。什么是一個好的防火墻,如果問一個沒有經驗的用戶“你想允許微軟MAPI協議嗎?”用戶應該說什么呢?想?不想?如果你回答錯了,你可能會阻擊一個重要的服務,也可能會給攻擊者敞開大門。
一個更嚴重的問題是網絡釣魚欺詐。這可能是最難防御的。基本上,如果有人能夠利用網上的假表格來騙你輸入你的銀行賬戶密碼,或者甚至通過電話能得手的話,那么這無疑會成為id盜賊的欺詐方法。為什么這個很難防御呢?因為這涉及到人的因素。現在你不可能控制或者知道這種花招是否是在行騙,如果你只用密碼進行認證的話那么就遭了。就算是你在銀行網站使用兩重因素認證系統,你還是可能會把有價值的信息(比如你的社保號碼)泄露給錯誤的人。
可用性
安全措施必須能夠使用才能成功。最好的安全是切斷所有的鏈接,然而這是極端的做法,而且一點用也沒有。所有,配置簡單和使用簡單是讓他安全的東西。畢竟,如果你不能或者將來不能使用它,也就沒有安全性可言了。
我腦袋里馬上想到的一個例子就是入侵檢測系統(IDS)。雖然這個系統很重要,但是很多人已經不用他們了,因為他們會產生太多的輸出和日志。所以,這個解決方案不是非常的有效,除非你有足夠的帶寬來查看所有的這些日志。類似的,很多入侵防護措施和數據丟失防護措施會產生錯誤肯定,因此可能阻止授權的網絡流量。這就是為什么很多公司不會 “成行的(in-line)”使用他們。通常情況下,只有最基礎的、最明顯的流量是通過“成行的”進行控制的,其余大多數流量只是寫入日志以便管理員日后查看。很明顯,這也不是一個理想的方案。
總結
上面所講的內容都是說起來容易做起來難。安全是難以捉摸的,而且一直在變化。然而,在做安全決定的時候記住這些原理是非常有幫助的。好好的確認你的問題,找到最薄弱環節,符合行業標準,盡量減少用戶的參與并且盡量讓使用變得簡單。
【51CTO.com譯稿,非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com,且不得修改原文內容。】
原文:Top Five Reasons For Security FAIL 作者:Adi Ruppin
