2016年 May月 25日
IT安全领域的进化论–第二部分:接种”BS疫苗”
朋友们,大家好!
正如前一篇系列博文中提到的,我们将就《进化论》和网络威胁防御技术发展之间的联系做进一步讨论。
直到目前,对于生物体基因突变的确切原因依然未知。有些观点新颖的专家则将其归结于病毒有意对基因进行重组(没错,病毒才是这个世界的主宰者!)但无论真相到底如何,类似的”基因突变”过程也在IT安全领域进行着–有时同样是借助病毒的力量。
与”生存竞争”法则的优良传统相一致的是,安全技术也在不断进化中:在各种新产品类别出现的同时,原有的产品不是彻底退出市场,就是并入了其他类别中。比如,在上世纪90年代中期,文件完整性检查器曾是当时的一项重大科技突破,但现在只占终端解决方案类别中很小的一块。新市场细分的出现(例如,反APT产品)是对现有安全保护技术库的补充–也是创造良好共生环境的正常过程。但与此同时,网络黑客同样也在不断开发出新的恶意软件和木马病毒。”IT安全领域”和”自然界法则”显然并无差别,同样我们也无力改变。
为了在IT安全领域占据更多的市场份额,定期会出现一些所谓的”先知”预测某些’传统’技术即将走向消亡,同时–恰如其分地–(时间刚好)推出革命性的”万能解决方案”(前五名顾客将享受优厚折扣)。
但这并不是什么新鲜事:你们谁还记得反间谍软件?在2000年代初,许多旨在帮助摆脱间谍软件的安全产品都是一下子冒了出来。由于消费者认为”传统反病毒程序”无力应对网络间谍问题,因此纷纷转向了许多BS产品,但事实上从一开始就是编造出来的谎言。
安全产品市场早已对各类”先知”心生厌烦;因此售卖’万能解决方案’需要更多的投入和营销效果。
大卫–与戈培尔和唐·德雷柏–共同抵御哥利亚巨人
为在政府或隐私领域(美国广告业作风)保持优良的宣传传统,BS产品唯一做的就是瞄准人类心理中某些最基本的弱点(从儿童时便已产生);尤其是相信奇迹和阴谋论。
新一代安全产品的广告剧本可以这么写:一群贪婪堕落的老家伙们–坏人–长期霸占着一个如童话般美丽的社区。坏人们不断给社区中善良的人们灌输愚昧的思想,并禁止任何进步言论。这时出现了一群’革新派’–好人–拯救了整个社区。显然,观众看了这段广告以后肯定会同情并站在’革新派’一边,而坏人的一方只会让观众厌恶。影片最后,好人战胜坏人,然后未来一片光明。
好吧,让我们调整情绪,仔细看看真实世界的情况…
表象背后的真相
过去十年,BS安全产品开发商一直念念不忘并且从未放弃一样东西,那就是被称为”人工智能”的’AI’。
AI被誉为是一种奇迹般的技术,无需用户输入指令就能自动完成各种任务– 因此能为用户节省大量的精力和时间!嗯,听上去真是棒极了。如果你有幸看到这一神奇科技宣传广告的话,你一定会’认为’这是未来前进的方向:如同魔法般地让我们从此摆脱恶意软件、垃圾邮件、定向攻击和其它各种网络威胁!
我们总喜欢让表面蒙蔽自己的双眼。我们总是愿意相信未来更高的科技将会拯救人类–因为这样的幻想能安慰人心,而不是从其性能的可靠性出发。为此,我们希望发现更多,并更深入地了解。我们甚至”掘地三尺”…但却发现下面什么都没有。任何更深层次的问题,只能寻求技术专家的帮助,而剩下的–只是一种”赶时髦”。永远都是如此。
透过显微镜看本质
好吧。让我们再往下探究…
所有的BS产品均对’传统安全保护方法’不削一顾,但对非传统的安全解决方案却赞不绝口,例如:人工智能。有点类似于电影《终结者》中的人工智能防御系统-天网,不是吗?
但似乎相比天网更是”有过之而无不及”。BS产品所谓的创新包括:”使用独一无二的机器学习方法”、”无需升级更新”、”占用很少的内存”、”后台运行,不影响正常操作”、”工作效率高于传统产品”、”误报率低”以及”相比其他安全产品能更有效地拦截高度复杂的网络间谍攻击”。但只有一个小纰漏:它们从不告诉你是怎么做到的。甚至从未进过第三方独立测试验证过。
当有人问及有关该安全防御方法的详细内容时,BS产品开发者则表示恕不能奉告;因为一旦泄露很可能将被不法分子利用– 或者让竞争对手争相模仿。但凡透露有关这一”魔法”的一丁点线索,都有可能让客户、投资者或新闻记者知道这一切背后的真相。
将过分夸大的功能印在精美的宣传册上,制作精良的网站,甚至一场奢华的新闻发布会,都无助于提升产品的品质。为了销售产品或吸引投资者,开发者还需提供一些更具说服力的内容–比如,来自一家信誉可靠的第三方公司的测试结果。
对于BS产品的开发商而言,这实在是一个沉重的打击。那他们又作何回应呢?他们绝不会让自己产品进行独立测试,就算他们愿意的话–也会保持测试营销的一贯传统 –只会测试几款精心挑选的产品,与正式推出市场的产品完全是两码事。而在独立测试过程中,他们只会提供自己的效率’证据’–完全是采用模糊不清甚至公然作假的方法。
AI传统
BS产品营销的核心理念是抛弃一切’传统方法’,支持全新的先进方法。”昨日英雄们只是在不断出售过时的技术,他们没有能力再发明新的兼具高科技和实用的安全产品”。
好吧,还是让我们来检验一番。首先说说机器学习。难道真的像BS产品开发商所宣称的那样,”机器学习”是最新的高科技吗?
事实上,早在2000年代初,”机器学习”就已广泛运用于IT安全系统。
例如,99.9%检测到的新恶意软件,实际上都是由具有机器学习能力的机器人完成 –这就是AI的前身;只有一小部分最复杂的恶意软件–需要专家人工介入。事实上,任何主动安全保护技术都需要具备基本的机器学习能力,没有任何例外。”机器学习”能够:(1)利用系统监视器监控系统活动,追踪系统变化并阻止发现的任何恶意活动;(2)提供自动保护功能,免于利用未知漏洞的漏洞利用工具的攻击;(3)在各种不同模块内采用”启发”方式,以基于隐式线索捕获恶意软件;(4)进行仿真,在独立’沙盒’环境内运行可疑文件;以及(5)对复杂的定向攻击采用定向攻击分析器。对于上述这5点,我们有几十个实例可以证明。
安全行业核心理念
安全保护技术可持续的发展是IT安全行业核心理念中最主要的组成部分。不断挖掘安全保护的潜力,安全技术的不断升级换代,以及推出新的功能…是在与网络犯罪做斗争中生存下来的唯一方法。同时也激励着我们最终战胜网络犯罪分子。而新开发出的技术能提高保护效率、降低资源消耗以及让产品使用起来更方便和简单。谁能占据更多的市场份额?无一例外,都是在传统基础上进行创新的安全产品。
所谓的安全保护技术的持续发展,其真正含义是”智能技术”的可持续发展,比如:”机器学习”。但绝不会向反方向发展:一天内,手动处理成百上千个新恶意代码样例,这根本做不到。既然这样,为什么还要亲自动手呢?利用我们聪明的大脑设计出一种智能系统,然后让系统可靠地进行自动化工作。就这么简单。这就是所谓的技术进步。并没有什么新意。
我们要知道”机器学习”是IT安全的必要组成部分,这一点相当重要,但也仍存在不足。IT安全要求对各种设备进行多层保护,以免于各种类型的网络威胁。而在所有基础设施层面,则要求能够对新出现的难题快速做出反应,并适应真实世界的商业IT安全需求。当然,对于’如何在现在及今后永远保护所有系统和设备的安全?’这个问题,这显然不是最终的答案。但迟早,网络黑客会找到攻破自适应模型的方法;但千万不用担心,我们一定会想出更好的方式,让他们悲痛欲绝并付出巨大的代价。
我个人认为,开发商开发各种”人工智能”产品的激情将持续很长一段时间。这显然是件好事:有越多的公司参与进来为”生存而战”,就越能取得技术的突破性进展,而最终设计出更具智慧”人工智能”的公司将成为最后的赢家。
一方面,安全软件开发商将继续不断增强自动处理恶意软件的技术能力,以及提升基于”机器学习”的主动保护功能。但另一方面,市场还必须忍受各种所谓的”未来万能解决方案”,因为有些安全产品描述中含有’人工智能’字样,很可能是具有欺骗性和虚构的。有时,必须夸大功能才能引起注意。
可惜目前还没有普遍的疫苗可以”抵御”BS产品。同时,我并不排斥那些真正的新兴超级技术,如果真有能力将IT安全市场来个彻底变革,到时我绝对举双手支持。对于AI概念,切勿不分青红皂白,全盘否定或全盘接受都是不可取:应该有甄别良萎的眼光。因此,我决定采用比喻的方式来告诉亲爱的读者们,希望你们能够分辨出AI的良萎好坏(或更进一步…),要始终对大多数以AI为卖点的产品抱怀疑态度。
永恒的”物竞天择”法则
人类的好奇心和求知欲总是让我们习惯于未雨绸缪–预测并了解未来。我们投入了大量的时间和资源探索、了解并战胜未来的挑战–越来越多,越来越深,越来越近。
似乎人类的这一”缺陷”没任何解决方案:从理性的角度看,利用有限资源感知无限的可能性不仅毫无作用,同时也愚蠢透顶。而我们人类则在不断刻苦钻研,仍然认为我们的世界就像俄罗斯套娃一样,必须彻底拆掉一层才能看到下一层。
每个人对于未来的态度都是一个具有哲学性且纯个人的问题。我个人的观点是:我们应该更深入地探究下去,不管发生什么都要坚持。从乱到治以及提高认知永远是人类最高的目标。以往的经验告诉我们,这将十分有趣,并会对人类的灵魂、身体和社会带来有益的帮助。对于IT安全而言也同样重要:新一代的网络攻击每周都会出现,因此我们必须想出应对措施,加大网络犯罪分子实施攻击的难度和成本。
与计算机地下王国类似的是,IT安全行业的”物竞天择”法则尽管公平但也竞争激烈。网络攻击的无孔不入及不可预知性(只会越来越严重),要求我们安全行业人士必须改变思维方式,想出能让网络犯罪分子提高攻击成本和难度的应对措施,这显然是对抗网络攻击的唯一办法。
