Roger Grimes

越來(lái)越多思考計(jì)算機(jī)安全的人，包括我自己在內(nèi)都認(rèn)為，在不久的未來(lái)，主要的計(jì)算機(jī)安全將變成機(jī)器vs機(jī)器——好機(jī)器人對(duì)抗壞機(jī)器人，完全自動(dòng)化。我們目前幾乎已經(jīng)進(jìn)入了這一階段。

不知是幸運(yùn)還是不幸，我并不認(rèn)為我們要經(jīng)歷很長(zhǎng)的時(shí)間才能實(shí)現(xiàn)純自動(dòng)化防御。

安全防御的現(xiàn)狀

我們的許多計(jì)算機(jī)安全防御已經(jīng)實(shí)現(xiàn)了自動(dòng)化。從固件啟動(dòng)到操作系統(tǒng)在安全硬件強(qiáng)制的虛擬邊界中運(yùn)行App，操作系統(tǒng)被更為安全地配置。如果其中的某一項(xiàng)處于默認(rèn)狀態(tài)，那么我們的操作系統(tǒng)將會(huì)自動(dòng)更新，讓OS廠商已經(jīng)解決的已知弱點(diǎn)最小化。

大多數(shù)操作系統(tǒng)都帶有初步列出了“壞App”和“壞數(shù)字證書(shū)”的黑名單，它們不會(huì)運(yùn)行這些黑名單上的“壞App”和“壞數(shù)字證書(shū)”，同時(shí)這些操作系統(tǒng)還擁有一直保持開(kāi)啟狀態(tài)且配置有“默認(rèn)拒絕執(zhí)行”規(guī)則的防火墻。此外，每個(gè)操作系統(tǒng)還擁有內(nèi)置的可自動(dòng)更新的反惡意軟件程序，用戶或管理員執(zhí)行的首批管理任務(wù)就是安裝它們。當(dāng)新的惡意軟件程序被發(fā)布出來(lái)，大部分反惡意軟件程序會(huì)在24小時(shí)內(nèi)會(huì)獲得簽名更新。

大多數(shù)企業(yè)都在運(yùn)行或訂購(gòu)了事件日志信息管理服務(wù)（如，安全信息事件監(jiān)測(cè)SIEM），它們會(huì)匯總安全事件并進(jìn)行報(bào)告，同時(shí)自動(dòng)采取正確的措施（如，自我修復(fù)）。隨著時(shí)間的發(fā)展，這些保護(hù)服務(wù)將會(huì)變得更好更精準(zhǔn)。

安全防御的未來(lái)

操作系統(tǒng)廠商正努力實(shí)現(xiàn)在不久的將來(lái)提供更為自動(dòng)化的安全防護(hù)。對(duì)于許多企業(yè)管理員來(lái)說(shuō)最艱巨的任務(wù)之一是確保他們管理的所有計(jì)算機(jī)和設(shè)備都被安全配置且長(zhǎng)期處于安全狀態(tài)。許多企業(yè)已經(jīng)有可以詳細(xì)列出并控制系統(tǒng)安全配置設(shè)置的軟件程序。目前的一大變化是操作系統(tǒng)廠商將讓值得信任的第三方更為容易地配置所有人的計(jì)算機(jī)，因?yàn)樗麄儗?duì)當(dāng)前的安全環(huán)境有著最新且更為精準(zhǔn)的理解。

客戶將可訂購(gòu)可充分管理設(shè)備安全配置的云服務(wù)。目前市場(chǎng)上已經(jīng)出現(xiàn)了相關(guān)的云服務(wù)，但是大部分服務(wù)并不精細(xì)，許多服務(wù)僅管理少量的設(shè)置。這種情況目前正在迅速改觀。不久的將來(lái)將會(huì)有大量精細(xì)的配置服務(wù)可供用戶選擇，而這些服務(wù)則可提供無(wú)數(shù)種配置選項(xiàng)。客戶可能不再需要做大量的安全決策，因?yàn)檫@些工作將外包給管理商。

另一個(gè)變化是基于當(dāng)前安全環(huán)境的安全配置將會(huì)得到更為及時(shí)的更新。目前，負(fù)責(zé)安全配置的人要花上數(shù)周的時(shí)間對(duì)新出現(xiàn)的威脅做出響應(yīng)。未來(lái)，一旦新的安全威脅被發(fā)現(xiàn)，必要的防御配置調(diào)整將在數(shù)小時(shí)內(nèi)被推送。如果發(fā)現(xiàn)新的勒索軟件或高級(jí)持續(xù)性威脅（APT），它們能夠在公司受到傷害前在數(shù)小時(shí)內(nèi)消除威脅。它們的工作不僅僅是在反惡意軟件簽名層而是在各個(gè)環(huán)節(jié)（如防火墻、黑名單等）都消除這些威脅。

好的人工智能機(jī)器人將巡查用戶的網(wǎng)絡(luò)檢測(cè)漏洞和錯(cuò)誤配置的計(jì)算機(jī)。如果設(shè)備存在隱患，那么它們會(huì)進(jìn)行自我修復(fù)。如果需要（并不是因?yàn)樵谠贫吮槐Ｗo(hù)的原因），它們還將會(huì)備份用戶的數(shù)據(jù)，并將操作系統(tǒng)恢復(fù)至最近一次的安全備份狀態(tài)。

未來(lái)的斗爭(zhēng)：黑客vs集中式安全服務(wù)

由于我們大量的計(jì)算基礎(chǔ)設(shè)施將被消息靈通的云決策工具保護(hù)和控制，今后的惡意軟件和黑客如果要想進(jìn)行擴(kuò)散將被迫首先要與集中式服務(wù)對(duì)抗。他們可能有也會(huì)訂購(gòu)相同的服務(wù)并從中尋找漏洞或是訂購(gòu)一個(gè)帶有多種服務(wù)功能且能夠?qū)ふ液统鍪廴觞c(diǎn)的惡意服務(wù)，這非常像目前一些與VirusTotal精確性進(jìn)行對(duì)抗的服務(wù)。

未來(lái)的防御與攻擊場(chǎng)景中將完全是機(jī)器與機(jī)器的對(duì)抗。我們未來(lái)的防御將更為集中化、協(xié)調(diào)化和自動(dòng)化。黑客必須要做同樣的事情才能占上風(fēng)。如果他們的自動(dòng)化程度沒(méi)有達(dá)到或是超過(guò)防御服務(wù)，他們將再也無(wú)法得逞。

黑客和惡意軟件將與防御者一樣轉(zhuǎn)向自動(dòng)化和人工智能。如果防御者在幾分鐘前成功阻止了惡意行為，那么惡意的自動(dòng)化服務(wù)將必須迅速做出響應(yīng)。人工智更勝一籌的一方將會(huì)最終勝出。

人類(lèi)永遠(yuǎn)無(wú)法置身于這場(chǎng)斗爭(zhēng)之外

自從有了計(jì)算機(jī)，如社交工程和網(wǎng)絡(luò)釣魚(yú)等人為因素一直是主要的計(jì)算機(jī)威脅。目前已經(jīng)證明任何軟件或硬件解決方案都難以阻止人做出糟糕的安全決策。 如果容易的話，我們?cè)缭趲资昵熬痛驍×诉@種類(lèi)型的威脅。事實(shí)恰恰相反，我們還要持續(xù)不斷地對(duì)終端用戶進(jìn)行安全培訓(xùn)，這一過(guò)程可能要永遠(yuǎn)持續(xù)下去。

天網(wǎng)會(huì)具備自我意識(shí)嗎？

與埃隆·馬斯克不同，我并不擔(dān)心人工智能和自動(dòng)化將會(huì)對(duì)人類(lèi)造成巨大的威脅。誠(chéng)然，隨著我們?cè)诎踩团渲蒙显絹?lái)越集中化，一個(gè)失誤就會(huì)讓大量的計(jì)算機(jī)癱瘓，數(shù)量要遠(yuǎn)超以往。我們已經(jīng)看到了一些類(lèi)似的實(shí)例，如一個(gè)大型的反惡意軟件掃描工具錯(cuò)誤地移除了一個(gè)關(guān)鍵的操作系統(tǒng)文件。我們只是偶爾遇到這種問(wèn)題，它們也只是造成了臨時(shí)性中斷，但是我們一直在從中汲取教訓(xùn)并做出改進(jìn)。從長(zhǎng)遠(yuǎn)看，對(duì)于我們所獲得的安全保護(hù)回報(bào)，偶爾的失誤是值得的。

重要的是要認(rèn)識(shí)到更為集中的計(jì)算機(jī)安全解決方案可能將成為未來(lái)計(jì)算機(jī)安全和決策的一部分。就像電子郵件和應(yīng)用都轉(zhuǎn)移至云端一樣，我們的計(jì)算機(jī)安全也將向云端轉(zhuǎn)移。