用“黑客式”思维思考安全问题

在首届于中国举办的RSA 2010信息安全国际论坛上，信息安全领域最具影响力的五大思想家之一赫伯特·H·汤普森指出：“黑客正在不断改变攻击方式，人们只有同样具备‘黑客式’的思维方式，从黑客的角度去看安全，才能发现潜藏的威胁。”

黑客更关心应用

整个信息安全领域正在产生巨大的变化，信息安全的主题从终端安全、网络安全向应用安全转变。以前人们可以通过参数决定网络的安全性，而现在网络安全的评估标准是数据的安全，应用漏洞才是风险的根源。软件的安全性变得越来越重要，它正快速延伸到个人应用。以前黑客还仅仅是攻击Windows系统，而现在像Flash这样的应用才是攻击者的最爱。

赫伯特·H·汤普森表示：“信息安全领域中出现了很多非常有意思的问题，有的问题是逻辑性很强的，有的是完全没有逻辑的。对于现在的黑客来说，他们总是在不断进行改进。由于软件设计越来越复杂，我们不能再按照以前的态度去对待黑客，反而要重视一些极端的例子。而且，我们要不断地向自己提问，比如我所研究的应用和系统将会出现什么样的问题。我们要怀有这样的热情，打破以往固有的范式，像黑客一样思维。当前，在美国的大学里，我们已经开始向学生们灌输‘黑客式’的思维方式。”

当前许多关于应用安全的标准定义都仅限于应用的保密性、一致性等问题，但赫伯特·H·汤普森认为，信息安全的脆弱性更多源于应用与安全的不匹配关系。比如，软件设计者如何能够合理地使用户得到相应的信息，如何让软件起到合理的作用。

就某些方面而言，软件开发者的“坏习惯”是让应用不够安全的根源之一，绝大多数开发者在编写代码的过程中都没有考虑安全性。赫伯特·H·汤普森表示，已经有许多大型企业、机构开始对开发人员进行安全培训，培训自己的开发者正确编写安全的代码，增强开发者的安全意识。此外，现在还有对源代码进行安全漏洞扫描的工具，开发者可以利用这些工具，发现其所开发应用的安全隐患。

云计算的双面刃

EMC全球执行副总裁、RSA全球总裁亚瑟·W.·科维洛表示，新一轮经济增长的动力是云计算，但是由于安全问题没有解决，目前人们对云计算缺乏信心。解决云计算的安全问题，需要采取综合的、系统化的、内嵌的安全方式。正如黑客形成地下产业链一样，全社会的企业、厂商和政府也要协同工作，形成针锋相对的产业链，才能击败黑客犯罪集团。

CIO们往往会担心当企业业务与云结合后，要考虑更多的动态因素，以及资源的可控性。毕竟虚拟机可以在不同的物理机上通过某种机制进行转移，这一动作甚至会连带防火墙或者整个安全策略发生变化。

赫伯特·H·汤普森解释说：“云计算在给人们带来便利的同时，也会给黑客带来‘便利’。黑客可以利用云计算资源，研究出更有创新性、更高效的攻击方法。比如个性化的定制攻击，会伪装成人们的朋友、亲人，通过Twitter、Facebook、开心网等发起让人难以察觉的网络攻击。现在的IaaS和PaaS都存在一定的安全隐患，但人们已经开始关注这个问题了。 ”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友