五千年(敝帚自珍)

主题:【原创】IT八股:闲聊信息安全 (之一.基本概念) -- 昔杨今雨

共:💬106 🌺268
分页树展主题 · 全看首页 上页
/ 8
下页 末页
        • 家园 呵呵,人本性懒呀。

          用户自己设置的密码很少有复杂的,记得遇见有密码的机器经常用什么a,aa,aaa,111,试几次就出来了,这设置和不设置有什么区别。

    • 家园 【原创】IT八股:闲聊信息安全 (之二.四大火坑(下))

      闲言少叙, 书接上文. 这第三个火坑历史悠久, 杀伤无数, 更加威名赫赫, 那就是著名的入侵检测(Intrusion Detection System). 以大众认知的普及程度来说, 信息安全产品排名防火墙, 防病毒, 不是第一就是第二, 接下来就是IDS和VPN了. IDS通常分两种: 网络入侵检测和主机入侵检测. 网络入侵检测一般并联在网络中, 监听并抓取网络中的数据包, 通过类似防病毒的指纹对照等方式, 检测是否存在对一些已知系统漏洞已知攻击行为. 而主机入侵检测, 则是通过监视与分析主机的审计记录来检测入侵行为. 说实话, 主机入侵检测我接触得不多, 而且我觉得这玩意儿的目标效果完全可以通过使用类似Tripwire这样的系统完整性工具来实现, Tripwire这样的东东不仅可以发现入侵, 还可以阻止入侵的后果发生, 相比而言, 主机入侵检测是把力气使错了方向.

      相比防病毒, IDS的技术发展可以说是相当的缓慢, 目前似乎还是停留在白名单, 黑名单的层次上, 这也难怪, 作为外挂式的检测手段, 想要实现类似防病毒里面的沙盒(Sandbox), 以目前的软硬件架构, 基本上是不可能的. 检测技术停滞不前, 而攻击手段日新月异, IDS成为火坑的种子就这么深深地埋下了, 一天天茁壮成长.

      IDS我也给它四个字的评语, 叫做\"力不从心\". 这里面有两层意思, 既指厂商力不从心, 也指用户力不从心.

      对厂商来说, IDS要解决的重点技术问题, 在于\"误判\"和\"漏判\". 指纹对照本身就使这两者不可避免. 网络数据千变万化, 仅仅从指纹上来判别, 合法数据被判断成非法数据的可能性非常大, 例如我们认为出现\"打铁手\"是恶意攻击领导, 那么\"天天打铁手臂吃不消\"这样的句子也会被判断成恶意数据. 而漏判更加容易理解, 一方面, 对于新的攻击手段, 没有指纹可以比照; 另一方面, 改头换面, 例如咱们的口号改为\"打Tie手\", 指纹比照对于攻击手段的变种来说也是无能为力的. 虽然IDS的判别技术并非如此简单, 但是缺乏突破性的技术使得厂商只能在螺蛳壳里做道场, 茶杯里面玩风暴, 搞来搞去也搞不出新名堂. 怎么办? 技术不够, 维护来凑, 什么东西需要靠不断的维护在凑合的时候, 这东西基本上也已经是火坑了.

      对用户来说, 同样要解决\"误判\"和\"漏判\"的问题. 回顾<基本概念>里面提到的PDR模型, IDS基本属于D(监测), 这个D(t)是一个关键的指标, 要想提高系统安全性, 我们需要把D(t)尽量减小. 在实际应用中, IDS检测到入侵行为后, 通过手机, E-mail, IM等及时报警是最常见的方法, 可是误判的后果是, 管理员的手机短信转眼就满了, 千万不要小看误判的威力, 我曾经在某银行信息中心网络里面, 看着IDS监控屏上报警信息几秒钟跳一个(里面误判其实不多, 大多是一些攻击的初期准备, 例如端口扫描之类的), 想着管理员的小手机如何承受这样饱和轰炸. 可是比误判更可怕的是漏判, 千里之堤, 溃于蚁穴, 1%的漏判率在信息安全里面也是不可忍受的, 而降低漏判率必然会带来误判率的提高 (G.C.Firewall的管理者肯定了解其中的关系, 不过他们不在乎). 悟空还可以在八卦炉里找个地方猫着, 用户在这两者之间两头受气, 连个躲的地方都没有.

      因此最后的结果, 往往是没人愿意去管IDS, 去机房看, 上面灰最多的往往就是IDS设备, 有的甚至机器都不开. 作为厂商, 其实我很愿意生产这样的产品, 多好啊, 又能收钱, 用户还不用, 无故障免维护, 哪里去找比这更爽的事情? 用户即使一开始会较真, 最后会明白这是给双方挖坑.

      IDS的坑边树着信息安全里面的两个重要的原则, 一个是动态的原则, 信息安全不存在一成不变, 无论从用户还是从厂商的角度, 技术的持续更新必须要跟上信息安全发展的脚步; 另一个就是所谓的\"信息安全, 三分技术, 七分管理\", 在进行信息安全规划的时候, 一定要充分考虑到管理是否可以跟上的问题, 例如, 如果您还没有打算配备专职的IDS报警分析员, 那就拜托不要琢磨上IDS这样的信息安全产品.

      多说两句, 我对IDS的后续的技术发展有两个思路: 一个是是否可以利用新的CPU虚拟技术来模拟Sandbox, 达到通过行为监控来实现动态检测的效果. 另一个是干脆把IDS的方向改变为专门监视内网中是否存在木马(Trojan), 把重点放在监控由内到外的数据流上面去.

      ----------------------华丽的分隔线(重装上阵)----------------------

      这第四个火坑有两个候选人, 一个是所谓主动式的入侵防御(Intrusion Prevention System), 另一个是单点登录(Single Sign On), 最后SSO落选了, 是因为SSO虽然是火坑, 但是这个坑主要集中在工作量上, 从原理和可行性方面来看, 也就算半个火坑.

      IPS概念出现得很早, 根据Wikipedia, 1990年就已经有了商用产品, 但是目前似乎又时髦起来, 原先做IDS的厂商纷纷提出自己的解决方案和产品, 包括Snort.(难道是因为被Checkpoint收购后, 也要走商业化的道路?) 从<基本概念>里面的例子, 有人想到, 既然警察叔叔来得太慢是个大问题, 干吗不直接给看门老头一把AK47, 发现有毛贼就直接突突了. 这就是IPS画的饼.

      开枪从来都不是问题, 问题是向谁开枪?

      如果给IPS四个字的评语, 那就是\"空中楼阁\". 可不是吗, 连误判和漏判的问题都没有解决, 你打算向谁开枪啊? IPS作为火坑来说是一整个, 对于本文来说, 和IDS难兄难弟. 大部分内容上面已经论述过了, 就不再赘述了.

      ----------------------华丽的分隔线(成双成对)----------------------

      信息安全行业其实是一个寂寞的行业, 因为信息安全的投资一般不会小, 而且不会产生直接的效益, 干的是幕后英雄的活, 还带来很多管理上的要求. 但是信息安全产业是个不甘寂寞的产业, 每隔一段时间就会炒作出一些概念, PMI, 网闸(这玩意儿我都懒得去说它), IPS, 每个都说得天花乱坠, 俨然是潮流所向, 大势所趋. 然而细细分析, 都存在原理上或者实现上难以逾越的障碍, 其实都在给自己或者用户挖坑.

      信息安全行业又是一个朝阳行业, 因为IT技术越是发展, 以数字和网络为载体的资产价值越高, 信息安全也就越重要.

      预告: IT八股:闲聊信息安全 (之三.威胁来自何方)

      关键词(Tags): #IDS(当生)#信息安全

      本帖一共被 2 帖 引用 (帖内工具实现)
      • 家园 SSO评价这样差:-)

        本来今年的bonus就指望它了啊:-)

        • 家园 一家之言, 一家之言

          SSO如果我来评价, 也是属于力不从心类的. application的种类太多了, 从架构到具体实现差别很大, 因此SSO一到具体实现, 除非有足够的投资(资金, 时间和决心), 否则往往只能延伸到一小部分的应用, 完成一个半吊子工程.

          另外我觉得SSO缺乏一个公共的标准, (IBM自己有一套, 我估计CA以及其它SSO厂商都有自己的一套), 但是对于这种胶水型融合性的产品, 缺乏公共标准是很痛苦的事情.

          我仅仅在CA (Computer Association)看到有SSO的产品. 老兄既然从事这方面的工作, 是否可以说说体会.

          祝老兄bonus顺利入手.

          • 家园 说的很是

            SSO如果我来评价, 也是属于力不从心类的. application的种类太多了, 从架构到具体实现差别很大, 因此SSO一到具体实现, 除非有足够的投资(资金, 时间和决心), 否则往往只能延伸到一小部分的应用, 完成一个半吊子工程.

            一针见血啊, 我们已经开始差不多6年了, 基本上离完成是遥遥无期, 相当部分的application还没有集成, 不过慢慢来吧, 反正是不用担心失业了, 呵呵:-)

      • 家园 俺觉得这个让机器判断的东西(matching)

        简直是胡扯。即使Machine Learning也是Data sensitive的,特别是要实时的情况下几乎是不可能的,除非有很强的运算能力,这显然是不可能普及的。

        • 家园 这也不能一概而论, 防病毒产品就是个很好的例子

          关键是防病毒产品的技术更新跟上了软硬件发展的脚步,例如在Sandbox里面虚拟执行, 通过实际发生的行为来判断是恶意还是善意. 指纹比照早已是过时的技术.

          此外防病毒基本上是本机操作, 需要处理的数据量和网络比那是小太多了. 这也是防病毒实施效果较好的一个原因.

    • 家园 这个主题很好!

      如果能写得更通俗一点就更好了!信息安全在信息时代,对谁来说都是很重要的啊!

      • 家园 在那遥远的森林里生活着一群蓝精灵

        如果能写得更通俗一点就更好了!

        把复杂的事情用通俗的语言讲得深入浅出需要大智慧, 在下的水平恐怕也只能这样了, 待俺good good study, 再接再厉.

    • 家园 如果管理上有漏洞,再安全的设计也不安全

      而人也是安全管理中的一环,甚至可以说是最重要的一环,所以安全绝对是一个动态的过程。

    • 家园 俺看错了,还以为是八卦呢

      乐颠颠跑进来一看。。。。还真晕啊,不过概念性知识扫扫盲,也挺不错,昔杨兄是个好老师,花之!

    • 家园 【原创】IT八股:闲聊信息安全 (之二.四大火坑(上))

      在本文里面, 我将探讨4种安全技术或产品, 作为反面教材, 这些安全技术或产品被我归入火坑一类. 所谓的火坑, 顾名思义, 就是跳进去出不来, 投入巨大, 但是收益不成比例. 这里的投入既指的是厂商, 也指的是用户. 而这些技术或产品之所以成为火坑, 是因为他们或多或少都违反了一些信息安全方面的原则.

      上文结尾的时候, 我提到了认证和授权, 那么第一个火坑, 就从授权开始. 前文提到, 在认证方面, 目前已经发展出了一些目前看来比较有效的方法. 常见的用户名+口令方式的脆弱性大家已经有了共识, 因此在认证技术上, 发展出了例如Kerboro(源自MIT, MS Windows的用户管理就使用了这一技术), 双因子身份认证(RSA公司的SecureID动态令牌卡是我最早接触到的采用这一技术的安全产品), PKI(利用非对称密码算法构建的信任基础设施)等等. 在国内, PKI技术受到大力的追捧, 目前全国已经建立了二十几个省级电子商务CA中心(类似VeriSign, Entrust), 提供数字证书技术服务, 其他行业性大小CA也很多. PKI技术确实有很大的优势, 无论从安全性, 经济性, 适用性, 可管理性方面来说, 都非常适合电子商务和电子政务系统的需求. 目前这种诸侯割据的局面在某些\"砖家\"看来很不爽, 总是琢磨着要搞全国大一统, 但是在我看来真这么干才是脑子坏了的表现, 为了片面地追求全国一盘棋, 而把风险增大到无法承受的地步. 不过这不是本文所要讨论的内容, 还是先留个坑在这里吧.

      PKI技术如火如荼地发展着, 有人就开始琢磨能否模仿PKI的模式, 实现统一授权管理, 这就有了第一个火坑, PMI(Privilege Management Infrastructure).

      PMI是在PKI提出并解决了信任和统一的安全认证问题后提出的,其目的是解决统一的授权管理和访问控制问题。PMI的基本思想是将授权管理和访问控制决策机制从具体的应用系统中剥离出来,在通过安全认证确定用户真实身份的基础上,由可信的权威机构对用户进行统一的授权,并提供统一的访问控制决策服务。能够实现统一的策略管理功能、统一的资源管理功能、统一的授权管理功能、属性证书管理功能、访问控制决策支撑功能和安全审计功能。

      这里我不打算讨论PMI的具体实现, 在PMI的具体实现里面, 有很多值得借鉴的地方, 但是PMI之所以成为火坑, 是因为四个字\"越俎代庖\". 授权之所以是信息安全体系建设里面最难的部分, 是因为:

      [*] 授权的复杂度太高. 假设有N个主体, M个客体, 认证的复杂度是N, 而授权的复杂度会是N*M. 通常情况下, M>>N. 再加上授权的流动性, 如此高的复杂度, 即使在一个企业内部, 想要通过技术手段统一起来也是不可想象的. 作为旁证, 大家也可以留意一下, 在目前市场上, 以授权管理为核心的产品有几个;

      [*] 在实际生活中, 授权原本就来自不同的管理者, A公司的管理者不会听命于B公司的管理者, 更不用谈政府部门之间. 授权是真正的权力的体现, 没有人会拱手相让, 让一个\"可信的权威机构对用户进行统一的授权\";

      [*] 统一授权的风险太大, 大到无法承受的地步. 请问, 如何保证这个授权权威机构可信? 授权系统的崩溃造成的损害远大于认证系统的崩溃, 因为授权是最接近保护对象的环节, 这个环节如果出问题会直接把保护对象暴露在无情的风雨之下. (越接近保护对象的环节越重要, 在生活中也是如此, 核心身边都是中南海保镖, 而外围的就可以交给地方捕快了) 而统一授权系统的崩溃就是整个安全体系的彻底崩溃, 谁能够承担这样的后果?

      记得在4~5年前, PMI是个很时髦的话题, 虽然是老外提出来后一直仅仅停留在理论探讨的阶段, 但是国内的热情却一下子走到了实际应用. 从厂商的角度, 似乎又看到忽悠客户大干快上的机会; 对客户来说, 乍听之下, 前景非常诱人, 似乎是一个\"一劳永逸\"的解决方案. 而结果是双方都掉到火坑里面去了, 授权的高复杂度, 使的厂商的开发投入居高不下, 但是距离产出可用的系统遥遥无期, 而客户发现, 上了这个系统和现有的管理模式格格不入, 推行的难度恐怕胡哥亲自下令都搞不定.

      简单小结一下, 对于信息安全技术或者产品或者方案, 第一要避免复杂, 第二要符合现有的管理模式, 第三要注意风险的可控和可承受.

      ------------------------华丽的分隔线(学来的:-)---------------------------

      PMI只能归入信息安全技术的范畴, 因为根本不可能出得来产品. 但是接下来的两个火坑是实际的产品, 不但是产品, 还是目前应用很普遍的产品. 这样的东西怎么会是火坑呢? 请容我细细道来.

      第二个火坑是目前挺时髦的病毒防火墙, 或者说防病毒网关. 这东西Symantec, Trendmicro等等都有产品, 卖得也挺起劲. 对厂商来说是件好事, 但我说它是火坑主要是针对用户而言, 也用四个字来说, 就是\"屋上架屋\".

      防病毒网关的价格很高. 这么高的价格其实不能全怪厂商, 因为实时防病毒本来就耗资源, 网关防病毒更加需要很高的配置和性能, 这东西布置在网络通道上, 一方面要完成把网络数据包先做协议分析, 再组包, 再扫描, 再拆包向后传的过程, 能不需要高配置吗? 另一方面, 网络通信本身存在不可靠性, 例如由于数据包丢失重发, 网络阻塞等等, 都会造成扫描效率的下降, 大马都拉不了的大车, 怎么办? 只能把大马整成大大马, 这一整成本自然上去了, 所以有的时候有朋友问我某个防病毒网关如何, 我一般就先问价格, 百兆环境下的低于20w免谈.

      但是问题是, 花了这个钱, 可以获得什么样的效果呢? 问任何一个防病毒网关的厂商, 上了网关之后是否可以不再需要使用桌面的防病毒软件? 我打赌没有一个厂商敢回答\"不需要\", 因为病毒的来源不仅仅是网络, 光盘, U盘, 临时接入网络的电脑, 个个都有可能成为病毒的来源, 光是防网络有什么用? 不但要上桌面防病毒, 而且定时更新, 定期扫描, 一个都不能少. 既然如此, 防病毒网关的效益又体现在哪里呢, 更何况一旦遇到ARP欺骗这样以网络为攻击目标的病毒, 防病毒网关也无能为力? 用户得到的产出和投入不成比例, 这不是火坑是什么?

      防病毒网关的问题在于, 它有意或者无意地隐藏了信息安全里面整体性全方位的原则. 信息安全概念里面的\"木桶\"理论, 阐述浅显而重要的原则: 一个桶能够装的水量不取决于最高的那块板, 而是取决于最短的那块木板的高度. 安全的强度取决于其中最为薄弱的一环. 单纯加强某个方面, 或者加强了某个方面, 造成可以替代其他方面的假象, 在信息安全里面, 都是值得警惕和注意的.

      ------------------------华丽的分隔线(再来一个)---------------------------

      写着写着发现已经很长了, 为了让大家看起来不累, 看来要分两篇了.

      关键词(Tags): #信息安全

      本帖一共被 1 帖 引用 (帖内工具实现)
分页树展主题 · 全看首页 上页
/ 8
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河