2017 年08 月8日

Facebook首席安全官:安全专家应专注于解决实际安全问题,而不是假想问题

安全性 新闻

Facebook首席安全官Alex Stamos在2017黑帽安全技术大会所作的开场演讲中,讨论了每一位信息安全专家的必做工作 – 如何防止实际破坏,必要时进行一些妥协。Facebook的这位首席安全官总是精神抖擞:他带领团队保护着一个有着20亿用户宝贵数据的超复杂IT系统。

Stamos称,安全行业面临着几个青春期问题,其中一个主要问题是虚无主义。这意味着专家更偏重于”幻想”,即技术上复杂的安全问题和漏洞,而不是实际造成真正破坏并危及大量用户的问题。另外,这些专家也不愿意接受任何妥协,而把信息安全当成自己的唯一目标,同时假定每一个人都会受到最危险威胁攻击者发起的最可怕的攻击。

其中Stamos所举例子中最引人注目的是WhatsApp”后门”问题,实际上这根本就不是后门。为了让10亿WhatsApp用户可以使用安全加密,开发团队确定了聊天伙伴中有一人收到新的加密密钥后如何立即通知对方,这是非常合理的决策。对于这种情况,聊天中会显示一条额外的通知,聊天伙伴可以继续对话,无需采取任何行动。

信息安全虚无主义者认为这是为特殊服务创建的后门,他们可借此攻击聊天并访问对话历史记录。然而,实施这一功能的目的实际上恰恰相反,它是为了支持用户在某个聊天伙伴换手机或重新安装WhatsApp之后能继续进行对话。这种方式的使用频率比特殊操作高得多。

WhatsApp的例子体现了虚无主义的所有方面:假设所有用户都应该研究加密系统,并比较交谈伙伴之间的加密密钥;假设每个用户都受到特殊服务的密切监视,这些特殊服务肯定会通过复杂多样的中间人攻击来攻击用户的互联网流量。这实在想得太离谱了。

关注最复杂的攻击和最劳动密集型的安全措施,分散了专家们对解决真正破坏性问题的注意力。Stamos向大家展示了一张”威胁金字塔”图,塔尖几乎看不见,代表的是零日漏洞和由政府支持的复杂攻击。金字塔的其余部分则基本上被密码和个人数据窃取(包括银行数据)、网络钓鱼、金融威胁和社会工程相关的”平凡”问题所覆盖。

Stamos建议说,解决这些问题时别怕权衡取舍。如果一个解决方案不完美或部分有效,但是实施的用户数会增加10倍,那么这个解决方案比只保护为数不多的最高级用户,而不管其余用户的解决方案要好得多。

伟大的头脑总是不谋而合。早在Stamos的演讲之前,卡巴斯基实验室就出于这样的原因一贯遵循这些建议。我们最近推出的免费反病毒软件卡巴斯基免费版具备高质量的网络钓鱼、银行木马和其他”无聊”威胁防御,任何人的电脑都能免费使用。同时,同样免费使用的卡巴斯基安全软件安卓版也将在未来十年为将加入互联网大军的数十亿用户提供保护,并主要用于移动设备。