安全領域的五大重要變化 十年歷程回顧

自從十年前安全顧問職位的首次出現，威脅形勢如今已經發生了徹底轉變——而且隨著防御機制的不斷完善，計算機安全水平已經達到前所未有的新高度。安全變化之一：黑客活動呈現出專業性走勢當初剛剛進入安全行業時，我所接觸到的幾乎所有威脅都屬于惡意程序（包括病毒、蠕蟲以及木馬等等），且通常屬于年輕人們惡作劇的產物

自從十年前安全顧問職位的首次出現，威脅形勢如今已經發生了徹底轉變——而且隨著防御機制的不斷完善，計算機安全水平已經達到前所未有的新高度。

安全變化之一：黑客活動呈現出專業性走勢

當初剛剛進入安全行業時，我所接觸到的幾乎所有威脅都屬于惡意程序（包括病毒、蠕蟲以及木馬等等），且通常屬于年輕人們惡作劇的產物。雖然其中一部分惡意程序確實造成了實際危害，例如格式化磁盤或者擦除數據文件等等，但大部分只是單純對受害者進行騷擾。但如今我們面臨的是一大幫專業甚至由國家負責資助的黑客，而且他們可絕對不講什么規矩。

十年時間，正所謂物是人非、斗轉星移。

現在幾乎所有惡意軟件都擁有極為明確的犯罪目的，例如竊取錢財或者偷盜重要商業機密。那些只知道鼓搗腳本的年輕人已經不見蹤跡，取而代之的是一大幫訓練有素的黑客團體——他們每天從個人及企業受害者處竊取的資金以百萬美元為單位，而且幾乎從未被逮捕或者起訴。惡意軟件已經由過去那些無害甚至頗為有趣的病毒及蠕蟲發展成了專門進行身份竊取或者實施勒索計劃的工具。

任何一位持有信用卡的朋友都面臨著財務身份遭到竊取及偽造的風險。當財務記錄的泄露規模達到上億條之巨時，任何人都沒辦法獨善其身。時至今日，還有人敢信誓旦旦地保證自己的信用自由沒有受到監控嗎？答案恐怕是否定的。

高級持續性威脅（簡稱APT）正在以正式或者非正式途徑窺探國外政府的一舉一動，而這已經成為新的常態。其背后的操縱者們肆無忌憚地偷盜隱私文件與郵件、甚至是專利與合同資料，就像孩子們在田野中采摘花朵般輕松愉快。

各個國家目前都在利用自己的攻擊性網絡安全手段窺探其它國家領導人的電子郵件——或者直接摧毀其有形資產（例如核物質離心機）。而哪個國家擁有最為強大的黑客，其就能在這場新時代的冷戰當中成為最后的勝利者。

我真懷念當初那個只存在無害的引導區病毒與腳本少年的純潔年代。

安全變化之二：每個人皆受到安全威脅

時至今日，每個人皆受到安全威脅。這樣的說法毫不夸張，事實上每家值得黑客們襲擊的企業都已經或者可能即將受到攻擊?；谶@種狀況，新的防御戰略規范被建立起來，也就是所謂“攻擊假定”，這意味著我們已經承認自己無力徹底消除持續存在的安全威脅。

事實上，安全態勢一直不容樂觀。我們從來都沒能有效阻止惡意人士的肆虐活動。真正改變的是，現在我們開始承認并積極面對這種令人憂心的狀況。當大家假定攻擊活動已經存在時，我們的防御戰略自然也需要隨之做出改變。

安全變化之三：漏洞檢測工具得到改進

曾幾何時，殺毒掃描軟件就是我們實現漏洞檢測的主要工具。但現在，多家新興企業及其產品已經構建起一整套全新的檢測體系，幫助我們及時識別出正在發生的惡意活動，甚至包括由“合法”用戶做出的惡意行為。

事件監控系統正不斷完善。很多企業現在開始對每天數以十億計的事件進行記錄與分析，而因此所使用的超大容量磁盤存儲陣列在不久之前還足以容納世界范圍內的所有數字化內容。

入侵檢測機制也不再滿足于檢測簡單的惡意活動，而是進一步對企業自身以及內部員工超出合理范圍的行為加以控制。指向已知且可能存在問題的網絡的連接會被全程追蹤，并像幾年前的殺毒檢測機制那樣將結果匯報給管理員。數據泄露防護（簡稱dlP）已經形成了一整套規?？捎^的生態系統。

十年之前，當時以文件附件為載體的蠕蟲病毒剛剛在網絡上出現，企業不得不通過關閉電子郵件服務器及網絡的方式加以應對。如今防御陣營則構建起更加穩固的計算機管理方案與高度隔離的管理環境，從而對被檢測出異?；顒拥木W絡區域進行封鎖。

盡管意外狀況仍時有發生（例如索尼影業遭遇的黑客攻擊），但目前計算機基礎設施與互聯網已經成為企業不可或缺的重要業務組成部分，而且幾乎沒有哪家企業會選擇全面離線的方式來應對哪怕最為嚴重的安全威脅。換言之，如今的防御者們必須在解決出血狀況的同時，保證病人繼續擁有穩定的生命體征。

安全變化之四：多因素驗證快速普及

當我剛剛涉足計算機安全領域時，只有政府機關或者極少數機密研究機構會強制要求員工利用智能卡或者其它多因素驗證工具來證明自己的身份?，F在我發現幾乎每一家企業都開始或多或少地使用這類方案。另外，大部分企業還擁有出色的物理安全保障制度，從訪客接待桌到停車場皆是如此，計算機房也已經變成了大門緊鎖的密閉空間——甚至連服務器都被罩在一個個鐵架之內。

每個人都擁有大量密碼需要管理，但多數企業以及最具人氣的各大社交媒體站點現在亦開始推廣雙因素驗證機制。移動手機與常見操作系統在默認情況下配備生物識別技術。最終，單純依賴密碼進行身份驗證的時代將徹底結束，就像其它曾經被淘汰的驗證機制一樣——例如紙質記錄方式以及不設用戶照片及芯片的信用卡。

我認為單憑多因素驗證還不足以解決所有潛在的安全問題，但這至少顯著提高了惡意人士的犯罪成本以及盜用我們身份的難度。接下來的發展目標是讓釣魚郵件與網站徹底消失，而我們這些從業者正在為此而積極努力。

安全變化之五：加密成為新的默認選項

盡管政府一直表示抗議，但默認加密機制已經開始快速普及。就目前來講，大部分主流操作系統、計算機以及移動設備都具備內置且默認開啟的磁盤加密機制。而且越來越多的網站也開始默認使用SSL（實際上是TLS）加密機制。

警方與政府機關一直在以避免兒童性騷擾乃至其它犯罪活動為理由號召我們放棄默認加密或者接受預設的后門，但據我所知，大多數民眾根本不買賬。

默認加密將意味著即使一臺計算設備遭到竊取，受害者保存在其中的數據也不會被泄露或者報告給監管機構（以及媒體）?？紤]到這一點，惡意人士以及未經授權的政治活動家也將不再熱衷于監聽我們的隱私對話及個人交易活動。

而從長遠角度看，我們必須回答這樣一個關鍵性問題：如何監管機構的判斷是正確的，我們該怎么辦？也許惡意人士真的能夠依靠默認加密機制以隱私之名行罪惡之實？但就個人而言，我對此并不認同。真正的犯罪分子已經擁有并一直在使用高強度加密手段，而且在大多數情況下監管機構仍然能夠揪出他們并加以鎖定。惟一的區別在于，在默認加密的世界當中、合法使用者的個人隱私也將得到確切保護。

未來是否更美好？

遺憾的是，以上提到的各類防御改進都無法讓計算環境真正變得更加安全。目前的惡意攻擊活動在數量與規模上要遠遠超過十年之前。而且相較于網絡安全防御機制，網絡犯罪活動的“改進”步伐及成效無疑更為顯著。

但我完全相信，代表正義的防御一方最終將讓互聯網成為更加安全的美好世界。每一個文明社會都需要經歷這樣的自然進程，而且其間也必然遭遇各種波折與阻礙。也許著眼于特定時間周期，形勢可能變得非常糟糕，但社會的反應與整個世界的進步一定會造就讓我們安心的光明未來。

不過惟一的問題在于：這樣的大同局面何時才能成真？如果運氣好，我可能會在下一個十的回顧當中見證這一點，或者繼續對安全保護領域的得與失作出回顧——也許得多些，也許失多些。相信大家對此一定有自己的觀點，請在評論欄中分享您的真知灼見！