很長時間一直想寫這篇文章,但一則由于雜事纏身,二則可能不想打擊很多人的信心,所以在躊躇中一直拖著。近來一小兄弟和我交流,立志做資訊安全,促使我決心寫這文章,希望他也能看到,僅供參考。
“不知攻焉知防”這句話從何而來難以考證,但在國內近幾年的一些大大小小安全峰會上,總被一些高大上的總監、大咖掛在嘴邊。首先我想反問:“不知防焉知攻”是否成立?好象也成立,但這和“不知攻焉知防”是個偽命題這個討論不相關。
在討論“不知攻焉知防”是否正確前,我想分析這句話的確切含意。估計大咖是想告訴我們攻擊很重要,或者說告訴我們如何做防護。那么資訊安全攻擊對防護真那么重要嗎?
1 攻擊、防護及漏洞的關系
從系統安全結構看,攻擊的產生是因為系統防護不行,或者存在脆弱性問題乃至漏洞,從而給攻擊者機會。所以,問題來了,在攻擊、防護之間有漏洞作為中介存在,這是關鍵,沒有漏洞,攻和防八桿子也打不著。由此可見,防護并不一定要關注攻擊,準確直接地說,防護應關注漏洞,系統產生的脆弱性問題等,這是提高系統防護的核心。
2 攻擊只能得到零散的資訊
也許有人說這是吹毛求疵:攻擊也是要發現漏洞,而后攻擊,攻擊肯定要研究漏洞,這樣看來說“不知攻焉知防”也說得通,談不上偽命題。那么我們再仔細分析,攻擊強調利用工具發現漏洞,其全程序包含刺探資訊、收集資訊、整理資訊,分析資訊,判斷資訊。更多的是利用已有漏洞挖掘經驗,漏洞的同質性特征發現漏洞。從整個程序看,受限于技術手段的限制,從攻擊的角度分析系統漏洞,永遠只能得到零散的系統漏洞資訊。當然,如果想系統、全面的從攻擊角度分析漏洞資訊,從理論上講可通過對系統運行時特征分析,特別是運行時記憶體結構、行程、執行緒等資訊進行處理分析,或對可執行檔案實施靜態分析。但顯然這些超出了國內許多大咖的研究視野。此外,由于技術本身和分析物件的限制,估計即使國外大牛對這些問題的分析也不能說對系統漏洞有全面掌握。
3 漏洞涉及面很廣
與攻擊收集資訊不同,漏洞研究從需求分析、架構設計、演算法設計、代碼撰寫等不同角度,以及從用戶層、配置管理層、應用層、邏輯層、代碼層、二進制層等不同層次發現違反機密性、可用性、不可否認性、最小特權原則、隔離原則、角色權限分離原則等安全理論,還有更多的違反系統設計者、開發者、使用者初衷的一些問題。顯然,從這一角度看,安全漏洞研究要求對系統安全理論基礎知識,系統特征建模分析有深入掌握。我想,搞清楚這些層面的漏洞成因,安全防護則是輕而易舉的。
4 做好防護的核心是什么
從防護實作技術看,系統安全防護分為兩個部分。其一是系統的應用邏輯功能部分本身的健壯性防護。它要求從分析、設計、實作各層面盡可能減少脆弱性問題,遵循安全原則。其二是安全增強邏輯功能部分,如訪問控制、加密、認證、簽名、日志管理等等。
顯然,做好上述方面的防護作業關鍵還在于對漏洞的掌握。如果按攻擊者的思路做防護,即使能列出全部CVE的漏洞并逐一加以控制,我也只能說是so-so而已。畢竟,方法的系統性、全面性無法保證,也就是防護中可能還有大量漏洞。說白了,沒有一套系統、全面的方法指導防護,漏洞永遠層出不窮。那這套理論方法是什么呢?個人認為它來源于系統安全理論以及系統分析方法論,特別是軟體分析方法論。較典型如源代碼撰寫中掌握代碼安全漏洞撰寫規范理論,從而認識代碼層面的漏洞及脆弱性問題。沒有這些,而關注于“實踐”和“奇思妙想”(國內某大型互聯網公司資訊安全招聘要求),國內資訊安全的現狀永遠只是現狀。
5 結論
到此為止,我想說明的攻防之間的關系已明確了,良好的防護應了解攻擊,但更直接的應掌握系統本身的安全特征、安全理論,分析系統的脆弱性及其成因,這才是根本。
從攻擊者角度看,很難想象,在攻擊程序中對系統本身的特征分析不夠,對安全原理及防護理論掌握不深,攻擊只會是盲人摸象。如一個盜墓賊想打開一個墓,他拿鎬頭、探桿等東敲敲、西打打,希望找到入口。但如果對墓地結構不清楚,可能永遠無法進入。相反,如知墓道結構,也許事半功倍。更有甚者,對于建墓地的工匠而言,如知墓地的薄弱之處,有針對性的加固墓地,則無論攻擊者用什么工具或手段,能奈我何?
另一方面,從防護角度看,攻擊者和防護者擁有的資訊和方法手段是絕然不同的。攻擊者的應用環境一般是不了解系統分析、設計思路、一般也無源代碼等,僅有系統運行時能進行一些刺探性訪問收集來的資訊。防護則知道需求分析、設計、演算法、配置等。顯然,防護者擁有的系統相關資訊豐富得多;同時擁有的手段也應有盡有。在這種背景下,用攻擊的手段指導防護,有如平民指導高官做事,風格、思路、資源、起點各不相同,從何指導?也許,江小魚的法子對花無缺而言永遠是不值一提的。
在此并不想否定各類黑客或紅客的作業,而是想提醒一下:(一)攻擊不是資訊安全的全部;(二)系統本身的特征分析,安全原理,脆弱性問題成因的深入研究才是資訊安全防護的王道,至于其它則是雕蟲小技而已。
林孟尼
2016年元月于北京
轉 自 個人博客 :http://blog.sina.com.cn/s/blog_14ecb0c6c0102w4cs.html
歡迎討論拍磚。
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/148198.html
標籤:安全技術/病毒
下一篇:windows