安全现状的喜与忧
我花费大量时间思考蓝帽会议前的博客主题,最终决定评论当前的安全态势。虽然安全领域有许多令人振奋的进展——例如意识提升、厂商响应速度改善(尽管部分仍滞后)、全球安全关注度提高等,但仍有诸多值得担忧的问题。
新旧威胁的交织
过去的安全问题很少真正消失。我们不断见证新进展:新型漏洞、对抗老问题的新方法…但旧威胁也总在卷土重来。
新型攻击向量包括:
- GIFAR/内容所有权问题
- 混合型威胁
- 基于Hypervisor的攻击
- 点击劫持(Clickjacking)
- Dowd的空指针漏洞利用
- ASLR/DEP等内存防护技术(以及Dowd和Sotirov突破这些防护的惊艳技术)
重现的历史威胁如:
- Dan的严重DNS漏洞
- SNMP漏洞
- IP协议栈缺陷
- Apache Tomcat目录遍历漏洞(令人想起古老的Unicode IIS漏洞)
技术演进带来的挑战
新技术的威胁版图正在扩大。移动设备、虚拟化等技术带来全新挑战。曾有客户焦虑地问我:“我们连看得见摸得着的物理机都保护不好,如何保护可能通过网络被窃取的虚拟机?"——这是个尖锐的问题,而我当时几乎无法作答。
安全研究的使命
虽然我担忧漏洞的周期性重现和新技术可能引发的更大风险,但我绝不反对创新。作为安全研究者/从业者/顾问,我们必须保持警惕,抢在恶意攻击者之前发现漏洞。全球安全研究进展令人振奋——今年我在东京Black Hat Japan演讲时,日本研究者关于字符编码的讨论就给了我新的研究启发。
永不停歇的攻防战
安全永远是场军备竞赛。我们可能永远无法完全获胜,但通过保持警惕,或许能大幅缩小差距。
——Nate Mcfeters,安永会计师事务所