但我今天要說的是互聯網公司安全的方向。我的命題是:我們今天做了什麽,做的夠不夠,接下來我們還需要做些什麽?
在過去的很長時間內,無論是漏洞挖掘者還是安全專家們,都在致力於研究各種各樣的漏洞,以此為代表的是 OWASP 每隔幾年就會公布的 Top 10 威脅List。所以在很長一段時間內,互聯網公司的安全專家們,包括安全廠商的產品專家們,都在致力於做一件事情:不管是產品還是方案,盡可能的消滅這些漏洞。
因此,我把互聯網公司安全的第一個目標,定義為:讓工程師寫出的每一行代碼都是安全的!
為了達到這個目標,微軟有了SDL,基於對軟件工程的改造,SDL可以幫助工程師編寫出安全的代碼。微軟的SDL達成了“讓微軟的工程師寫出的大部分代碼都是安全的”這一目標。所以我認為SDL是偉大的創造,他在無限接近終極目標。
在這個SDL中,我們就有很多東西需要去完善,也促進了相當多的衍生技術研究和技術產品。比如代碼安全掃描工具的研究,僅此一項,就涉及到語法分析、詞法分析、數據關聯、統計學等諸多問題,再比如fuzzing,則涉及到各類協議或文件格式、統計學、數據處理、調試與回溯、可重用的測試環境建設等諸多復雜問題。把每一項做精,都不是那麽容易的事情。
所以SDL是一項需要長期堅持和不斷完善的工作。但是光有這個,還無法100%保證不會出現安全問題,於是我定義互聯網公司安全的第二個目標:讓所有已知的、未知的攻擊,都能在第一時間發現,並迅速報警和追蹤。
這第二個目標也挺宏偉的,涉及到許多IDS、IPS、蜜罐方面的研究,但光有現有的這些技術,還是遠遠無法完成這個目標的,因為現在已有的商業的、開源的IDS、IPS,都存在著種種局限性,而互聯網公司的海量數據和復雜需求,也對這些現有產品提出了嚴峻的挑戰。只有借助大規模超強的計算能力,實施有效的數據挖掘和數據關聯工作,或者是建立更加立體化的模型,才能逐漸逼近這一目標。
這個目標也是需要無限逼近,去完成的一個宏偉目標。我目前在公司做的部分事情,就是在向著這個目標進行努力,所以無法在這裏詳談、深談。
光前面兩個目標,就不知道需要投入多少人力、時間來努力,但我還有點不滿足,所以我定義了第三個目標。
第三個目標:讓安全成為公司的核心競爭力,深入到每一個產品的特性中,能夠更好的引導用戶使用互聯網的習慣。
在一開始,我們使用電腦的時候,是不需要安裝任何殺毒軟件的。但是到了今天,如果一個普通用戶新買了電腦,卻沒有安裝任何的殺毒軟件或者桌面保護軟件,那麽大家都會擔心他會不會中病毒或木馬。這種需求和市場,就完全是病毒和殺毒軟件廠商培養和熏陶出來的。所以在今天,很多電腦生產商甚至在電腦出廠的時候就會預裝一個殺毒軟件。
前兩天我去超市,看到樂事的薯片在捆綁銷售一盒小的番茄醬。我馬上想到了肯德基和麥當勞。我不知道在他們之前是否還有別的速食品是把薯條和番茄醬配在一起銷售的,但是我認為肯德基和麥當勞改變了人們吃薯條的習慣:是要蘸著番茄醬吃的。所以樂事的薯片捆綁銷售番茄醬,也可以看做是被肯德基做出來的需求和市場。
所以,我認為做互聯網公司安全需要達成的一個目標是讓安全成為深深植入產品骨髓的一個功能和特性,引導用戶使用互聯網的習慣,把這個需求和市場做出來。這更是一個需要長期投入和堅持的事情。
我還有最後一個目標:能夠觀測到整個互聯網安全趨勢的變化,對未來一段時間內的風險作出預警。
這個預警的目標也是我們部門當初草創時的目標之一,我至今還沒有很好的頭緒來想這些問題。但是這個目標反而是今天列舉的這些目標中最容易達到的一個,因為已經有公司在做了,而且比較成功。比如McAFee 和賽門鐵克,每隔段時間都會有互聯網威脅報告,國外一些組織比如SANS等也有類似的報告。騰訊這幾年一直在做掛馬檢測方面的工作,所以他們也能在一定程度上預警掛馬方面的趨勢。
由於有前人的榜樣,再借助大規模的客戶端或者是強力搜索引擎的海量數據,要做這件事情的路線和方法還是非常清晰的,只是要想做好,還得花上很多的時間和精力。
安全技術一直是依附於技術發展的,不光是技術發展開辟了新的需要安全的領域,技術發展也能給安全技術帶來一些更多的想象空間。
比如10年前,甚至是5年前,可能我們都不需要去想手機是否需要安全這件事情,但是在今天,手機安全已經成了刻不容緩的一個戰場,比如前兩天報道的在澳洲傳播的iphone蠕蟲,這些已經是實實在在的威脅。
而手機反過來也促進了一些新的安全技術,比如手機認證能夠起到與客戶端證書類似的作用,甚至比客戶端證書更進一步,因為手機不是裝在電腦上的,是放在用戶的褲兜裏的。類似的還有隨著計算能力的提升,已經能夠處理更大規模的數據,從而使得安全分析會有一些新的發展和變化,這些都是在過去不敢想象的。
在互聯網公司做安全一定要有想象力,同時需要緊密關註其他技術領域的發展,這樣就不會止步於幾種漏洞的研究,而會發現有非常多的有趣的事情正等著去做,這是一個非常宏偉的藍圖。
留言列表
