IT安全领域的进化论:适应或者死亡

“生存下来的物种不是最强壮,却是最能够适应改变的。”
– 查尔斯·达尔文

我已经很久没在这里就我喜欢的话题”IT安全的未来”发表见解了,今天我就来弥补这一遗憾。可能会涉及不少内容–希望不会太跑题–最新的信息安全科技、市场和趋势,同时再加上点事实数据和个人思考。准备好爆米花,我们马上开始…

下面我将就理想的IT安全和未来安全行业的发展趋势(以及伴随未来发展而可能发生的安全事件)谈谈我的看法,并借用达尔文的《进化论》阐述我的全部观点。”物竞天择”如何让某些物种占据支配地位,其他物种则被无情淘汰–还是留给古生物学家以后来解决吧。拿什么是共生,什么又是寄生呢。

首先从一些定义开始今天的内容…

接近完美就是不完美,并存在缺陷

完美的保护–100%安全–是不可能存在的。IT安全行业的目标是实现尽可能的完美保护,并不断努力开发出保护能力最佳的系统,但每向100%完美靠近一点就要付出巨大的成本–付出的保护成本还要远高于一次成功网络攻击所可能造成的损失。

理想的安全保护是:不法分子成功实施一次网络攻击的成本要远高于收益

因此,现实中(可达成)理想安全保护就可以这样定义(从潜在受害人角度看):理想的安全保护就是不法分子黑客入侵的成本要超过造成的潜在损失成本。或者反过讲:理想的安全保护是成功实施一次网络攻击的成本超过网络攻击者获得的收益

当然,有时候攻击者实施网络攻击时根本不惜成本;比如,由政府资助的网络战争贩子。但这并不代表我们就此放弃。

那么,我们该如何开发出能在现实中(可达成)提供理想(最大)安全保护的安全系统呢?

适用于IT领域的适者生存理论

达尔文《进化论》的核心原理就是基因变异。由于基因重组、基因突变和其它未知原因,生物体获得了新的特性。并推着时间的推移,那些获得新特性的幸运儿们(最适应环境的群体)能成功继续繁殖下去,而该物种剩下的群体则逐渐被边缘化并最终走向消亡。这也是为什么北极熊是白色,勘察加棕熊是棕色的原因。

与生物进化的蜗牛速度相比,IT安全行业的进化速度可以说火箭级。

但也有一个共同之处:那就是网络不法分子总是在不断寻找计算机系统的新漏洞,并发明出新的攻击方法从个人用户或公司用户那儿窃取数据或资金。

在所有网络黑客团伙中,最具智慧同时攻击速度最快的那些黑客团伙–最适应环境–才能接到”工作委托”并始终处在网络地下王国金字塔的最顶端,同时还凭借自己的”专利”犯罪专知而获得巨额报酬。而这个最顶尖的黑客团伙则不断进化变得更强大,而其他的同行最终只能选择退出。与达尔文《生物进化论》唯一的区别是:变异速度的不同–生物进化可能需要几千年,而网络威胁只需几个月时间就能进化出好几代。

为了研发出能提供理想(最大)保护能力的卓越安全系统,从设计一开始,开发者就需要将所有的最大困难考虑在内–有些即使觉得现实中不太可能发生的,也需要考虑周全(即使有1%的可能也不放过)。建立安全保护机制同时还需将”末日攻击”考虑在内,这样可以确保两点:避免盲目乐观以及总是往好处想的习惯。此外,从一开始就做最坏的打算,不仅有助于发现问题,还能了解其规模大小,从而制定出最佳的应对策略。一旦你了解自己的弱点,你就不再是被捕猎的对象,而成为捕猎者了。

尽管从理论上讲,这一切的确可行且合情合理,但如果真的运用到实际中呢?我们如何才能永远领先黑客一步并猜到他们的下一步行动呢?

适应–或死亡

进入普遍熵环境的明智之举是提出自适应行为模型。基于有限数量的确认数据(通常缺少)和众多研究假设,从分析普遍情况/环境出发进行自我行为表现。每次’分析-行动-结果’的循环过程都会减少歧义同时提高表现的合理性、性能以及对于企业至关重要的其他参数。

卡巴斯基实验室则于2013年开始采用此类针对IT安全的自适应模型。2014年,我们发现这一方法与高德纳公司的’自适应安全架构’愿景有许多相似之处。这一架构基于循环应用工具,涵盖4个与网络攻击有关的阶段:防御、检测、回溯和预测。利用此类模型能设计出符合网络攻击循环周期(对应模型能快速自我调整以适应不断改变的内部和外部条件)的最佳安全保护工具。


资料来源:设计适应高级攻击的安全保护架构,高德纳公司(2014年2月)

自2013年以来,自适应安全架构已成为我们产品战略的基石。尽管初期我们遇到了不少麻烦,但最后还是坚持了下来;卡巴斯基实验室知道如何更好保护企业客户网络和解决客户关切问题的正确方法。尽管时间不长,但我们已成功实施了大部分的计划。

休斯顿,我们有个问题。

将自适应架构运用于现实中企业的结果又是怎样的呢?

老实说,真的不怎么样。

一方面,几乎没有一家供应商能将所有因素考虑在内,从而创建出不间断的自适应安全循环。不同的因素之间无法”和谐共处”,因此很难整合到一个单独的控制中心系统内。

那些宣称能开发出应对所有网络威胁的万能方法的某些供应商,也反过来让IT安全的不完美性变得更糟。

另一方面,客户则专注于循环中的特定阶段(最关注的是防御),对其它阶段的重要性和整体的复杂性则认识不够。那些宣称能开发出应对所有网络威胁的万能方法的某些供应商则让客户的错误观念更为加重。

最近发生的安全事故让我们对网络安全性产生了困惑和迷茫,紧急-事故-整理的恶性循环和持续不断针对企业的威胁也让IT安全方面的支出不断增加,同时IT系统的价值也不断下降。

而根据达尔文的理论,改变是生物发展的推动力之一。改变同样也是IT安全的推动力–推动着整个行业总是能赶在不法分子之前推出应对解决方案,如果典范转移有必要的话,那就顺其自然吧。而这样的转移,正在有条不紊地进行中:IT安全行业和客户正在认识到问题所在(必要的’第一步’),并向着正确的方向改进。在卡巴斯基实验室,我们为做出关键改变而想出的特殊方法如下所示。

燃力助推,就在当时–但也要记住”欲速则不达”这句话。

首先,我们推出了各种不同的服务,以增强我们在模型中各阶段的地位。如今,我们的产品组合包括:任何级别的人员培训、安全威胁情报、渗透性测试、事故分析和垃圾清理推荐等等,从而形成’防御、检测、反应和预测’的完整循环。

从产品角度而言,我们依然在传统的’防御’阶段占据市场领先地位,同时在’检测’阶段也拥有一款强大解决方案(Kaspersky Anti Targeted Attack Platform),能有效防范定向攻击,且集成SIEM系统。很快,我们就将推出功能完善的EDR(端点检测和响应)解决方案,将能从一个网络中的所有计算机中收集不同事件并整合到一起。

很快,我们就将推出一整套安全产品和服务,以便创建并持续支持自适应安全架构。其主要的功能是卓越的敏感威胁分析系统:凭借遍布网络各个角落的传感器,我们能在任何节点向客户提供比过去多几倍的数据,从而帮助客户做出最明智的决策。从此以后,无论是我们人类本身、基于计算机的专知还是应对复杂定向攻击的能力,都将得到大幅增强。

关键问题在于:当我们考虑推出这样一种系统时,客户不需要–也不应该–想着一下解决所有问题。而是应该分阶段进行,稳步净化,因为每一家公司、每个IT基础设施都有着的特殊需求。根据以往的经验,客户更倾向于选择服务(培训和现场报告),并在实际使用中再慢慢添加新的自适应安全因素。

未完待续…

这里,我并不想隐瞒什么,卡巴斯基实验室并非唯一持续开发新一代自适应IT安全架构的公司。但我们可以很自豪地说,卡巴斯基实验室始终走在最前沿,这的确鼓舞人心并激励着我们不断前进。

客户对于产品的名字、外形是否炫酷以及宣传材料做得是否精致根本毫不关心。在其它条件同等的情况下,他们唯一关心的就是:能否有效避免安全事故和伴随而来的损失。这意味着我们在自适应安全方面还有很长的路要走–但最终推出的产品一定会超出市场预期。

伙计们,今天的内容就到这里结束了。很快就会推出本系列博文的第二篇,到时我会用更多的笔墨阐述IT安全领域的物竞天择法则,以及如何为生存而战–当然还有不可或缺的…”基因突变”。

@e_kaspersky,一同讨论自适应安全模型和IT安全的未来。Tweet
阅读评论 0
请留言