Hold住迎面而來的安全威脅

Stuart McClure

近期我很榮幸地在RSA 2012大會上進行了主題演講。本屆大會的主題是“密碼如同利刃”(The Cipher is Mightier than the Sword)——這一主題源于Great Cipher的故事，該密碼在 1893 年被破解前已經使用了近 200 年。對我而言，這則故事的啟示是：密碼（及所有信息）關乎生死，而且沒有任何東西是牢不可破的，只是時間問題。

在此前我準備主題演講時，偶然發現了《羅賓漢》（Robin Hood）這部電影。Russell Crowe（羅素·克洛）扮演的角色回想起父親的教誨：不斷成長，直至羊羔變成獅子。當他問及含義時，父親回答到：“絕不放棄。”

不過，我認為這句話的含義更深遠。它意味著，人們可以主宰自己的自由，就像皇室（獅子）那樣，而且應該不斷成長，直至徹底實現。

好萊塢向來能夠以小窺大，一直以來，它就通過各種影片警示人們未來的安全挑戰。最早是 1968 年出品的影片《富豪之家》（Hot Millions），該片刻畫了一個騙子、貪污犯形象，此人利用保險公司計算機程序員職務之便挪用了數千美金。該片凸顯了社會工程學、身份欺騙、內部權限濫用和徇私枉法等問題。

類似的影片還有展現黑客高超技能的《戰爭游戲》（War Games）、讓我們擔心隱私和網絡恐怖主義的《國家公敵》（Enemy of the State），以及《東西戰爭》（Jumping Jack Flash）、《通天神偷》（Sneakers）、《黑客帝國》（The Matrix）、《虎膽龍威4》（4Die Hard 4）等。

實際上，好萊塢編劇們之所以會編寫與安全相關的“影視大餐”，是因為安全方面具備極大的可看性，并且具備一定的真實性。主要原因有：第一，大量的機會。如今的設備數以十億計，而且將在這個十年末攀升至 500 億，因此，絕不缺少機會。第二，動機。因為這與金錢、信息（信息就是力量）、目的（可成為極為強大的動力）或破壞（例如，意在延遲伊朗核計劃的行動）直接相關。最后，能力。由于工具和技術的可獲取性以及可以承受的學習成本，使得黑客們能夠較為容易得獲得成功。

我們已從大型機和集中計算發展到 Windows、Apple 和 Linux，進而發展到實時操作系統和嵌入式系統。互聯設備數量正呈爆炸式增長……而且未來注定是嵌入式設備的世界，由此帶來的風險可謂前所未有地高。

以一型糖尿病患者為例，約 50% 的患者需要使用胰島素泵來自動調節血糖。胰島素泵是微小的嵌入式設備，內置必要的操作系統和芯片，用來控制移動部件，包括以所需速率調整胰島素的泵。但是，很多人并不知道所有這些設備都是微小的計算機系統……它們甚至也能置人于死地。

為了實現讓非保護對象更安全的目標，我們必須承認我們的不足。每當我們認為我們的保護已經足夠完善時，都會發現在安全防護能力方面仍然差距不小。于是，我們會采取一些“非常規手段”來加以應對。然而，簽名和黑名單已成為過去時。我們必須邁向白名單的世界——確切而言，是灰色的世界。要能夠了解什么是安全的、什么是危險的、什么樣的需求亟待解決，讓用戶來決定我們的聲譽。

我們需要更深層次的安全保護。我們生活在操作系統、應用程序的世界里，我們已經進入了虛擬世界。但威脅并不止于此處，它們更加深入地滲透到了 BIOS、固件和輔助芯片中。這里正是我們的用武之地，有太多的領域等待我們挖掘，如安全管理、設備完整性（安全引導）、身份（確保使用鍵盤的人是設備所有者）、隱私（保護個人信息）和彈性（發生事故時快速恢復）。因此，新一代安全將以“控制”為核心——控制權限、控制執行、控制恢復。

2012 年，我們將看到各類攻擊相對 2011 年會有增無減。我相信，一些攻擊可能是您已想到的，而一些攻擊可能是您始料未及的。無論何種攻擊，請記住，您是它們“命運”的主宰者。絕不放棄，絕不要忘記這條教義——不斷成長，直至羊羔變成獅子。