再谈网络安全的自动化

…工欲善其事,必先利其器… -《孔子.论语》

“这些技术代表了INTERNET软件的一种发展趋势,一种能够改变因特网整体安全水平的趋势。未来的安全软件将走向在线销售、更新、甚至租赁,尤其是桌面级安全产品,因为面对的大部分用户属于对网络安全技术知之甚少的网络服务使用者,这样,只有简单易用的软硬件和服务才有可能真正地提高因特网的整体安全水平。

当然,这种在线技术向计算机安全提出了新的挑战,也同时引入了新的安全风险。例如,网络在线扫描存在的合法性、以及技术的可靠性都有值得怀疑之处,而在线更新技术也在用户参与交互的程度方面难于取舍,自动加固技术在操作系统平台和生产运行环境适应性及智能性方面还有很长的路要走。“

这是笔者在2000年撰写一篇短文“安全的自动化杂谈”中的议论,15年春秋如白驹过隙,互联网和网络安全已改天换地,对更高自动化水平的渴求更加迫切。

自动化代替手工操作意味着成熟、高效、低成本,对安全而言,还意味着时间窗口、以至于最终的“成败”。记得有一篇严肃反思人工智能的文章,将人工智能分为三个阶段 – ANI(基本人工智能)、AGI(通用人工智能)、ASI(超级人工智能)。模仿这个分段法,笔者认为安全的自动化也可分为三个阶段:

  • 1 效率阶段(对应ANI),通过脚本和工具等将手工操作逐步自动化,例如服务器打补丁、安全设备巡检等;在该阶段,机器执行、人工反馈,基本上所有安全决策活动都由“专家”进行,真正的“人工“智能,☺

  • 2 效果阶段(对应AGI),在较为普遍的工具和自动化基础上,可以针对安全措施的成效,针对性的调整,实现基于数据和安全情报的、及时的安全决策;该阶段实现了决策、反馈、行动等的部分自动化,但需要“专家”建立并训练模型、设置和校正参数、观察和评价效果等。

  • 3 智慧阶段(对应ASI), 安全“自动化”系统可以观察系统行为,学习并建立“安全”的目标和基线,根据“主人”设定的安全风险取向,主动判断和呈现风险,给出建设性的行动提议。

从行业的实践来看,我们大致处于“效率阶段”,并在向“效果阶段”努力的过程中。因为安全实践同时受限于成本和风险取向,单个安全操作效率的提升、成本的下降,就可以使在固定的成本下,实施更多的安全控制措施,从而降低安全风险。 量变的积累将带来质变,让我们共同为安全的“自动化”而战!


以下转贴一下2000年的小文,怀怀旧.

安全的自动化杂谈 赵 粮 http://infosec.top263.net

前言

网络安全技术是当前最为活跃的研究领域之一,充满智慧和挑战,成千上万的INTERNET专家、学生都沉浸其中。当前的INTERNET已经从原来的学院研究、“美国人的高级玩具”彻底地转变为全球性的、有着亿万普通用户(包括家庭主妇、幼童、三教九流各种从业人员)的无所不包的“网上社会”。 今年年初分布式拒绝服务攻击(DDOS)肆虐,给网络界、甚至全球经济带来一场大地震。这场地震给业界的一个重要启示就是:绝对不可以将网络安全限制为某些关键网络、关键主机的特殊照顾,彻底消除DDOS攻击的根本还在于每个连入因特网的计算机的安全水平都大幅度提高,以防止其被攻击者利用来攻击第三方受害网络或主机。因特网需要“整体安全”。

网络安全可以划分为许多技术领域:系统主机安全、防火墙、风险评估、入侵探测、反病毒、加密等。它们往往都要求很高的专业技术以及资金、人力投入。网络安全和反病毒技术中的关键:攻击特征码、病毒特征库都需要及时的更新,才能有效。这些都妨碍了“整体安全”水平的提高。 为降低网络安全的成本、解决越来越快的安全技术更新带来的实施过程中的难题,当前的网络安全技术将表现出越来越多的自动化趋势,逐步减少对因特网用户的安全方面的专业要求和在产品更新方面花费的代价。

本文下面尝试着从系统自动加固(hardening)技术和在线技术两个方面来阐述因特网安全技术发展的这种趋势。

1 系统自动加固技术 一个称职的系统管理员一定应该同时是一位安全专家。安装一个操作系统,在将它连入网络之前,要安装最新的补丁,还要对它进行安全加固,包括不需要服务的关闭、不必需帐号的删除、内核的网络参数设置、访问控制设置(tcpwrapper等)、X系统安全、系统日志的安全设置、文件签名(完整性检测tripwire等)等等,这中间可能会碰到不少错误和失败,排除错误的过程是体现管理员水平的时候。 这样的过程对于全世界的系统管理员来说,日复一日,年复一年,不知道每天在世界各地会重复多少遍,高级的系统管理员也是在这样的一遍一遍的实践中成长起来的。但是,应该看到,这其中有许许多多重复的步骤。一方面,这些重复劳动浪费了许多优秀系统管理员的宝贵时间;另一方面,这些烦琐、复杂的配置过程也使一些系统管理员望而却步,阻碍了安全水平的普遍提高。 为此,许多网络安全专家开始开发自动加固软件,将上面提到的系统加固过程自动化,以此来解放管理员的劳动,推广系统安全技术。当前较为成熟的软件主要包括下面几种,它们是工作于SOLARIS之上的TITAN、YASSP,以及工作于LINUX之上的BASTILLE项目。注意,这里提到的系统加固并不是指一些操作系统的安全版本(例如Trusted Solaris),或者将C级操作系统加固以提升安全等级的商业软件(例如CA公司的SeOS),昂贵的价格以及美国政府的出口限制注定这些软件不可能对因特网的整体安全水平产生帮助。下面分别简要介绍一下这几种自动加固软件。

  • YASSP:http://yassp.parc.xerox.com,当前的版本是5.0beta#5,支持Solaris2.6、2.7平台,对Solaris8的支持正在开发中。其主要工作包括:关闭服务、改变所有者、访问权限等属性、打开日志、调节网络堆栈参数、改变系统参数等。在“主题”或“内容”中添入“subscribe”向下面地址发送电子邮件可以申请加入其邮件列表,以获得其最新的开发动态:secure-sol-request@parc.xerox.com.

  • BASTILLE:工作于LINUX平台之上。可以从http://sourceforge.net/download.php/bastille-linux/Bastille-1.0.4.tar.gz。并且,在安全焦点网页http://focus.silversand.net/可以找到其简单的中文说明。

  • TITAN:其主页位于http://www.fish.com/security/titan.html。当前的最新版本号为3.7。

2 在线技术

由于当前各种安全漏洞层出不穷,而反病毒软件、入侵探测、风险评估软件的根本是对病毒特征码、入侵攻击特征、漏洞的表现特征库等。所以,传统的更新手段,例如到专卖店更新软盘、邮寄更新库、甚至INTERNET下载更新的方式都已经不能很好的为客户服务。因为,从管理的角度讲,没有办法能够确保企业网用户都有足够的警觉来自觉地、及时地去相应的网址去下载。这种需求环境促使安全厂家纷纷推出了更为易于使用、更加快捷的在线更新方式,简单列举一下:

λ X-Press(业界领先的入侵探测和风险评估厂商ISS) λ LiveUpdate(安全反病毒厂家Symentec) λ BackWeb(加密和反病毒厂家F-Secure安防讯基) λ 等 另外,越来越多的网站开始推出在线杀毒、在线安全扫描等服务。

例如ATT为用户提供免费的垃圾邮件和病毒防火墙服务、国内天网安全公司推出在线安全评估服务、263首都在线推出在线邮件杀毒服务等等。

结束语

有关自动和在线的安全技术不能一一列出,应该看到,这些技术代表了INTERNET软件的一种发展趋势,一种能够改变因特网“整体安全”水平的趋势。未来的安全软件将走向在线销售、更新、甚至租赁,尤其是桌面级安全产品,因为面对的大部分用户属于对网络安全技术知之甚少的网络服务使用者,这样,只有简单易用的软硬件和服务才有可能真正地提高因特网的“整体安全”水平。

当然,这种在线技术向计算机安全提出了新的挑战,也同时引入了新的安全风险。例如,网络在线扫描存在的合法性、以及技术的可靠性都有值得怀疑之处,而在线更新技术也在用户参与交互的程度方面难于取舍,自动加固技术在操作系统平台和生产运行环境适应性及智能性方面还有很长的路要走。 总之,网络安全技术在整个互联网的发展中已经成为越来越重要的影响因素,脆弱的网络安全水平是整个互联网走向商业化、社会化的制约瓶颈。

互联网中不存在“安全孤岛”,只有聚集整个社会的智慧和力量,在法律、教育、社会意识、安全技术等领域进行大量的艰苦的努力后,才有可能看到一个安全的、值得信赖的互联网。

Spread the word. Share this post!

Meet The Author

Leave Comment