主题:【原创】IT八股:闲聊信息安全 (之一.基本概念) -- 昔杨今雨
现在多核处理器普及了,是不是可以用软件来取代?
而人也是安全管理中的一环,甚至可以说是最重要的一环,所以安全绝对是一个动态的过程。
实话说, 我目前生产的产品就是一个类似UTM但是方向又和UTM有区别的东东, 关于这方面请容我单独蒸个包子.
但是这东西讲多了就有点类似广告, 让我琢磨一下怎么写.
但是似乎更加从策略和商业目标的角度看待问题。第一章就在讲IT治理的问题,你觉得信息安全和IT治理之间是什么样的关系?
比如同时并发有1000个连接, 专用硬件芯片也许一个时钟周期就处理完了, 但是并行软件需要特别的编程方式, 增加开发难度不说, 时钟周期一定用得比ASIC芯片多.
另外采用ASIC的一个重要原因是专用芯片可以带来的高性能和低成本, 在这种系统里面, 主CPU可以相对较弱, 因为不需要太高的处理能力, 负载都给ASIC了. 通用CPU不管怎么说, 在这种专用系统里面还是有点要苹果给桔子的意思.
ASIC的扩充性也比cpu强, 现在cpu有4个核已经挺牛的了, 但是你打开个老款交换机一看, 里面的网络处理芯片(例如网卡芯片)一块板上放几十个都很常见.
我们这里说的ASIC是习惯称呼, 现在的趋势好像是用FPGA来做, 连流片都省了.
第一章就是IT治理, 这就已经说明了, IT治理是信息安全的基础. 信息安全是IT治理的目标之一.
原以为可以(至少部分地)取代ASIC。但是从你的答复看来,ASIC/FPGA在这一行里依然是主流。
难道说软件作并行处理的难度比设计ASIC或者FPGA作并行处理的难度还要高?
如果能写得更通俗一点就更好了!信息安全在信息时代,对谁来说都是很重要的啊!
确实是IP包的脑袋。唉!说来惭愧,7层结构就只剩下一些application了,俺郁啊俺。
闲言少叙, 书接上文. 这第三个火坑历史悠久, 杀伤无数, 更加威名赫赫, 那就是著名的入侵检测(Intrusion Detection System). 以大众认知的普及程度来说, 信息安全产品排名防火墙, 防病毒, 不是第一就是第二, 接下来就是IDS和VPN了. IDS通常分两种: 网络入侵检测和主机入侵检测. 网络入侵检测一般并联在网络中, 监听并抓取网络中的数据包, 通过类似防病毒的指纹对照等方式, 检测是否存在对一些已知系统漏洞的已知攻击行为. 而主机入侵检测, 则是通过监视与分析主机的审计记录来检测入侵行为. 说实话, 主机入侵检测我接触得不多, 而且我觉得这玩意儿的目标效果完全可以通过使用类似Tripwire这样的系统完整性工具来实现, Tripwire这样的东东不仅可以发现入侵, 还可以阻止入侵的后果发生, 相比而言, 主机入侵检测是把力气使错了方向.
相比防病毒, IDS的技术发展可以说是相当的缓慢, 目前似乎还是停留在白名单, 黑名单的层次上, 这也难怪, 作为外挂式的检测手段, 想要实现类似防病毒里面的沙盒(Sandbox), 以目前的软硬件架构, 基本上是不可能的. 检测技术停滞不前, 而攻击手段日新月异, IDS成为火坑的种子就这么深深地埋下了, 一天天茁壮成长.
IDS我也给它四个字的评语, 叫做\"力不从心\". 这里面有两层意思, 既指厂商力不从心, 也指用户力不从心.
对厂商来说, IDS要解决的重点技术问题, 在于\"误判\"和\"漏判\". 指纹对照本身就使这两者不可避免. 网络数据千变万化, 仅仅从指纹上来判别, 合法数据被判断成非法数据的可能性非常大, 例如我们认为出现\"打铁手\"是恶意攻击领导, 那么\"天天打铁手臂吃不消\"这样的句子也会被判断成恶意数据. 而漏判更加容易理解, 一方面, 对于新的攻击手段, 没有指纹可以比照; 另一方面, 改头换面, 例如咱们的口号改为\"打Tie手\", 指纹比照对于攻击手段的变种来说也是无能为力的. 虽然IDS的判别技术并非如此简单, 但是缺乏突破性的技术使得厂商只能在螺蛳壳里做道场, 茶杯里面玩风暴, 搞来搞去也搞不出新名堂. 怎么办? 技术不够, 维护来凑, 什么东西需要靠不断的维护在凑合的时候, 这东西基本上也已经是火坑了.
对用户来说, 同样要解决\"误判\"和\"漏判\"的问题. 回顾<基本概念>里面提到的PDR模型, IDS基本属于D(监测), 这个D(t)是一个关键的指标, 要想提高系统安全性, 我们需要把D(t)尽量减小. 在实际应用中, IDS检测到入侵行为后, 通过手机, E-mail, IM等及时报警是最常见的方法, 可是误判的后果是, 管理员的手机短信转眼就满了, 千万不要小看误判的威力, 我曾经在某银行信息中心网络里面, 看着IDS监控屏上报警信息几秒钟跳一个(里面误判其实不多, 大多是一些攻击的初期准备, 例如端口扫描之类的), 想着管理员的小手机如何承受这样饱和轰炸. 可是比误判更可怕的是漏判, 千里之堤, 溃于蚁穴, 1%的漏判率在信息安全里面也是不可忍受的, 而降低漏判率必然会带来误判率的提高 (G.C.Firewall的管理者肯定了解其中的关系, 不过他们不在乎). 悟空还可以在八卦炉里找个地方猫着, 用户在这两者之间两头受气, 连个躲的地方都没有.
因此最后的结果, 往往是没人愿意去管IDS, 去机房看, 上面灰最多的往往就是IDS设备, 有的甚至机器都不开. 作为厂商, 其实我很愿意生产这样的产品, 多好啊, 又能收钱, 用户还不用, 无故障免维护, 哪里去找比这更爽的事情? 用户即使一开始会较真, 最后会明白这是给双方挖坑.
IDS的坑边树着信息安全里面的两个重要的原则, 一个是动态的原则, 信息安全不存在一成不变, 无论从用户还是从厂商的角度, 技术的持续更新必须要跟上信息安全发展的脚步; 另一个就是所谓的\"信息安全, 三分技术, 七分管理\", 在进行信息安全规划的时候, 一定要充分考虑到管理是否可以跟上的问题, 例如, 如果您还没有打算配备专职的IDS报警分析员, 那就拜托不要琢磨上IDS这样的信息安全产品.
多说两句, 我对IDS的后续的技术发展有两个思路: 一个是是否可以利用新的CPU虚拟技术来模拟Sandbox, 达到通过行为监控来实现动态检测的效果. 另一个是干脆把IDS的方向改变为专门监视内网中是否存在木马(Trojan), 把重点放在监控由内到外的数据流上面去.
----------------------华丽的分隔线(重装上阵)----------------------
这第四个火坑有两个候选人, 一个是所谓主动式的入侵防御(Intrusion Prevention System), 另一个是单点登录(Single Sign On), 最后SSO落选了, 是因为SSO虽然是火坑, 但是这个坑主要集中在工作量上, 从原理和可行性方面来看, 也就算半个火坑.
IPS概念出现得很早, 根据Wikipedia, 1990年就已经有了商用产品, 但是目前似乎又时髦起来, 原先做IDS的厂商纷纷提出自己的解决方案和产品, 包括Snort.(难道是因为被Checkpoint收购后, 也要走商业化的道路?) 从<基本概念>里面的例子, 有人想到, 既然警察叔叔来得太慢是个大问题, 干吗不直接给看门老头一把AK47, 发现有毛贼就直接突突了. 这就是IPS画的饼.
开枪从来都不是问题, 问题是向谁开枪?
如果给IPS四个字的评语, 那就是\"空中楼阁\". 可不是吗, 连误判和漏判的问题都没有解决, 你打算向谁开枪啊? IPS作为火坑来说是一整个, 对于本文来说, 和IDS难兄难弟. 大部分内容上面已经论述过了, 就不再赘述了.
----------------------华丽的分隔线(成双成对)----------------------
信息安全行业其实是一个寂寞的行业, 因为信息安全的投资一般不会小, 而且不会产生直接的效益, 干的是幕后英雄的活, 还带来很多管理上的要求. 但是信息安全产业是个不甘寂寞的产业, 每隔一段时间就会炒作出一些概念, PMI, 网闸(这玩意儿我都懒得去说它), IPS, 每个都说得天花乱坠, 俨然是潮流所向, 大势所趋. 然而细细分析, 都存在原理上或者实现上难以逾越的障碍, 其实都在给自己或者用户挖坑.
信息安全行业又是一个朝阳行业, 因为IT技术越是发展, 以数字和网络为载体的资产价值越高, 信息安全也就越重要.
预告: IT八股:闲聊信息安全 (之三.威胁来自何方)
本帖一共被 2 帖 引用 (帖内工具实现)
我打算在IT八股:闲聊信息安全 (之三.威胁来自何方) 中再详细阐述.
简直是胡扯。即使Machine Learning也是Data sensitive的,特别是要实时的情况下几乎是不可能的,除非有很强的运算能力,这显然是不可能普及的。
关键是防病毒产品的技术更新跟上了软硬件发展的脚步,例如在Sandbox里面虚拟执行, 通过实际发生的行为来判断是恶意还是善意. 指纹比照早已是过时的技术.
此外防病毒基本上是本机操作, 需要处理的数据量和网络比那是小太多了. 这也是防病毒实施效果较好的一个原因.