林海谐缘

 找回密码
 审核注册
搜索
查看: 1499|回复: 1

浅谈互联网公司安全的发展方向

[复制链接]
发表于 2009-11-12 17:08:11 | 显示全部楼层 |阅读模式
最近写blog的技术文章越来越少了,主要是由于最近忙的事情和公司关系比较紧密,不能写在blog上,这种趋势以后可能会越来越多,包括今天的这点感想,只是“浅谈”,因为不能深谈、详谈。

讨论范围限定在互联网公司,是为了避免和一些安全公司打口水战。因为我一向认为互联网公司的安全做到极致后,是不太需要购买什么安全软件或解决方案的,因为一个大的互联网公司,发展到一定程度后,其规模和复杂程度决定了世界上没有哪一家安全公司能够提供这样的解决方案了,一切都得自力更生。当然这句话也不是绝对的,一些非关键领域或者是基础安全领域,还是需要安全厂商的支持,比如防火墙设备、桌面安全设备、防DDOS设备等。

但我今天要说的是互联网公司安全的方向。我的命题是:我们今天做了什么,做的够不够,接下来我们还需要做些什么?

在过去的很长时间内,无论是漏洞挖掘者还是安全专家们,都在致力于研究各种各样的漏洞,以此为代表的是 OWASP 每隔几年就会公布的 Top 10 威胁List。所以在很长一段时间内,互联网公司的安全专家们,包括安全厂商的产品专家们,都在致力于做一件事情:不管是产品还是方案,尽可能的消灭这些漏洞。

因此,我把互联网公司安全的第一个目标,定义为:让工程师写出的每一行代码都是安全的!

为了达到这个目标,微软有了SDL,基于对软件工程的改造,SDL可以帮助工程师编写出安全的代码。微软的SDL达成了“让微软的工程师写出的大部分代码都是安全的”这一目标。所以我认为SDL是伟大的创造,他在无限接近终极目标。

在这个SDL中,我们就有很多东西需要去完善,也促进了相当多的衍生技术研究和技术产品。比如代码安全扫描工具的研究,仅此一项,就涉及到语法分析、词法分析、数据关联、统计学等诸多问题,再比如fuzzing,则涉及到各类协议或文件格式、统计学、数据处理、调试与回溯、可重用的测试环境建设等诸多复杂问题。把每一项做精,都不是那么容易的事情。

所以SDL是一项需要长期坚持和不断完善的工作。但是光有这个,还无法100%保证不会出现安全问题,于是我定义互联网公司安全的第二个目标:让所有已知的、未知的攻击,都能在第一时间发现,并迅速报警和追踪。

这第二个目标也挺宏伟的,涉及到许多IDS、IPS、蜜罐方面的研究,但光有现有的这些技术,还是远远无法完成这个目标的,因为现在已有的商业的、开源的IDS、IPS,都存在着种种局限性,而互联网公司的海量数据和复杂需求,也对这些现有产品提出了严峻的挑战。只有借助大规模超强的计算能力,实施有效的数据挖掘和数据关联工作,或者是建立更加立体化的模型,才能逐渐逼近这一目标。

这个目标也是需要无限逼近,去完成的一个宏伟目标。我目前在公司做的部分事情,就是在向着这个目标进行努力,所以无法在这里详谈、深谈。

光前面两个目标,就不知道需要投入多少人力、时间来努力,但我还有点不满足,所以我定义了第三个目标。

第三个目标:让安全成为公司的核心竞争力,深入到每一个产品的特性中,能够更好的引导用户使用互联网的习惯。

在一开始,我们使用电脑的时候,是不需要安装任何杀毒软件的。但是到了今天,如果一个普通用户新买了电脑,却没有安装任何的杀毒软件或者桌面保护软件,那么大家都会担心他会不会中病毒或木马。这种需求和市场,就完全是病毒和杀毒软件厂商培养和熏陶出来的。所以在今天,很多电脑生产商甚至在电脑出厂的时候就会预装一个杀毒软件。

前两天我去超市,看到乐事的薯片在捆绑销售一盒小的番茄酱。我马上想到了肯德基和麦当劳。我不知道在他们之前是否还有别的速食品是把薯条和番茄酱配在一起销售的,但是我认为肯德基和麦当劳改变了人们吃薯条的习惯:是要蘸着番茄酱吃的。所以乐事的薯片捆绑销售番茄酱,也可以看做是被肯德基做出来的需求和市场。

所以,我认为做互联网公司安全需要达成的一个目标是让安全成为深深植入产品骨髓的一个功能和特性,引导用户使用互联网的习惯,把这个需求和市场做出来。这更是一个需要长期投入和坚持的事情。

我还有最后一个目标:能够观测到整个互联网安全趋势的变化,对未来一段时间内的风险作出预警。

这个预警的目标也是我们部门当初草创时的目标之一,我至今还没有很好的头绪来想这些问题。但是这个目标反而是今天列举的这些目标中最容易达到的一个,因为已经有公司在做了,而且比较成功。比如McAFee 和赛门铁克,每隔段时间都会有互联网威胁报告,国外一些组织比如SANS等也有类似的报告。腾讯这几年一直在做挂马检测方面的工作,所以他们也能在一定程度上预警挂马方面的趋势。

由于有前人的榜样,再借助大规模的客户端或者是强力搜索引擎的海量数据,要做这件事情的路线和方法还是非常清晰的,只是要想做好,还得花上很多的时间和精力。


安全技术一直是依附于技术发展的,不光是技术发展开辟了新的需要安全的领域,技术发展也能给安全技术带来一些更多的想象空间。

比如10年前,甚至是5年前,可能我们都不需要去想手机是否需要安全这件事情,但是在今天,手机安全已经成了刻不容缓的一个战场,比如前两天报道的在澳洲传播的iphone蠕虫,这些已经是实实在在的威胁。

而手机反过来也促进了一些新的安全技术,比如手机认证能够起到与客户端证书类似的作用,甚至比客户端证书更进一步,因为手机不是装在电脑上的,是放在用户的裤兜里的。类似的还有随着计算能力的提升,已经能够处理更大规模的数据,从而使得安全分析会有一些新的发展和变化,这些都是在过去不敢想象的。

在互联网公司做安全一定要有想象力,同时需要紧密关注其他技术领域的发展,这样就不会止步于几种漏洞的研究,而会发现有非常多的有趣的事情正等着去做,这是一个非常宏伟的蓝图。
发表于 2009-11-12 22:46:05 | 显示全部楼层
很有见地!
您需要登录后才可以回帖 登录 | 审核注册

本版积分规则

QQ|手机版|小黑屋|林海谐缘论坛 ( 豫ICP备07015145号 ) |
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论 | 管理员:linker(QQ:80555546) 群:3067918

GMT+8, 2024-11-21 18:39 , Processed in 0.025169 second(s), 14 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表