守护数字生命线:从维多利亚时代的锁匠到如今的网络安全意识

admin

引言:一个持续的争论与现代的担忧

在信息安全领域,一个古老的争论从未真正平息。正如序言中所述,维多利亚时代的人们曾为出版关于开锁技术的书籍是否符合社会责任感而苦恼,最终得出了[1257]。如今,人们对互联网上(例如,美国陆军即时弹药手册)的广泛可用性感到担忧,这种风险是否足以证明在线审查的必要性?

安全经济学为探讨这些问题提供了一个理论和量化的框架。我在2002年指出,在标准的可靠性增长假设下,开放系统和专有系统在安全性上是等同的;开放系统反而能让攻击者和防御者获得同等的机会[54]。因此,开放安全问题往往是一个经验性的问题,取决于一个特定系统是否遵循标准模型。

2004年,Eric Rescorla 认为,对于包含许多潜在漏洞的软件,修复一个漏洞对攻击者发现下一个漏洞的几率影响不大。由于许多攻击利用的是从漏洞修补程序中推断出的漏洞,他反对在没有证据表明同一漏洞可能被重新发现的情况下,进行披露和频繁的修补[1071]。Ashish Arora 等人则通过数据证明,公开披露能够促使供应商更快地进行修复;虽然最初攻击会增加,但报告的漏洞会随着时间的推移而减少[88]。2006年,Andy Ozment 和 Stuart Schechter 的研究发现,在为期六年的时间里,核心 OpenBSD 操作系统中唯一漏洞的披露率有所下降[998]。这些结果支持了当前的负责任披露模式,即发现漏洞的人将它们报告给 CERT,CERT 再将它们报告给供应商,并在修补程序发布后进行公开。

然而,关于可靠性经济学的讨论远不止于此。供应商与客户之间存在着关于补丁发布频率和时机的紧张关系;存在着与互操作性相关的难题;指标的复杂性也是一个问题;像 iDefense 和 TipingPoint 这样的公司买卖漏洞信息;甚至有担忧称情报机构可能利用他们获得的安全漏洞报告,对其他国家/地区的系统发动零日攻击。我将在第三部分详细探讨所有这些问题。

7.5.3 Windows为何如此不安全?

对补丁周期管理的微观控制引出了一个更深层次的问题:为什么最初就存在如此多的漏洞?尤其是在微软占据主导地位的情况下,为什么 Windows 如此不安全?理论上,我们可以编写出更好的软件,在国防和医疗保健等领域,人们投入了大量精力来开发可靠的系统。为什么我们没有看到与通用平台类似的努力?尤其是在微软几乎没有真正的竞争对手的情况下?

7.5. The Economics of Security and Dependability

诚实地说,微软的软件安全性正在提高。Windows 95 令人糟糕,Windows 98 略好,改进一直延续到 NT、XP 和 Vista。然而,攻击者也在变得更加精明,Vista 中的保护功能并非完全为了用户的利益。正如 Peter Gutmann 指出的那样,大量的努力被投入到保护高级视频内容上,而对用户的信用卡信息保护却投入了几乎没有的精力[570]。这种模式也出现在其他平台产品中,从旧的 IBM 大型机操作系统到电话交换机,再到 Symbian 移动操作系统。产品最初是不安全的,尽管它们会随着时间的推移而改进,但许多新的安全功能更多是为了供应商的利益。

现在,您不应该对这一现象感到惊讶了。高固定成本和低边际成本的结合,网络效应和技术锁定使得平台市场极有可能被单一供应商主导,而该供应商如果能在市场竞争中获胜,将获得巨大的财富。在这种竞争中,20世纪90年代微软的哲学——“星期二发布并用第三版解决问题”——是完全合乎逻辑的行为。在这种竞争中,平台供应商必须至少与互操作性伙伴——那些决定为该平台或他人的平台编写应用程序的软件公司——打交道。安全往往会阻碍应用程序的开发,而它本身也常常是一个“柠檬市场”。因此,理性的供应商会允许(甚至鼓励)所有应用程序以最高权限运行,直到其地位稳固。然后,它会添加更多的安全功能——但仍然有很强的动机去设计这些功能以最大化客户的锁定或吸引新市场(如数字媒体)的互操作性。

从消费者的角度来看,拥有锁定市场的市场往往是“先优惠后宰客”。您花39.95美元买了一个漂亮的打印机,但几个月后,您却发现需要两盒新的墨盒,每盒19.95美元。您会怀疑是否不直接购买一台新打印机会更好。

从应用程序开发者的角度来看,拥有锁定市场的市场看起来像这样:最初编写代码非常容易,但随着您越来越依赖它,需要克服的障碍就越多。

从普通消费者的角度来看,它们可以被描述为“安全性差,然后是为他人服务的安全性”。

有时情况会更糟。当为了建立主导地位而竞争时,供应商更有可能设计他们的产品,使管理现有安全性的成本转嫁给用户,而不是应用程序开发者。一个经典的例子是 SSL/TLS 加密。在 20 世纪 90 年代中期,微软和 Netscape 在浏览器市场竞争时,SSL 被采用。正如我在第二章中讨论的那样,SSL 让网站上的用户负责评估网站提供的证书并决定是否信任它,这导致了各种网络钓鱼和其他攻击。然而,将合规成本转嫁给用户在当时是合乎逻辑的。

案例一:早期的网络安全——锁匠的困境

想象一下 19 世纪的伦敦。街头巷尾,锁匠们凭借着精湛的技艺和对机械原理的深刻理解,为人们守护着他们的财产。然而,随着工业革命的到来,机械锁的制造变得越来越普遍,技术的进步也使得锁的开锁变得越来越容易。

当时,出版关于开锁技术的书籍,在社会上引发了激烈的争论。一部分人认为,公开这些知识会助长犯罪,威胁社会治安,因此强烈反对。他们担心,更多的人掌握开锁技术,会导致盗窃和抢劫的增加。

另一部分人则认为,知识不应该被禁锢。他们主张,公开开锁技术能够促进技术进步,推动锁具制造技术的改进,从而创造更安全、更复杂的锁具。他们认为,隐藏知识并不能真正阻止犯罪,反而会阻碍技术发展。

最终,维多利亚时代的人们在社会责任感和技术进步之间的挣扎中,得出了一个妥协方案:他们允许出版关于开锁技术的书籍,但同时要求作者在书中注明警告,强调这些知识不应被用于非法目的。这反映了当时社会对技术发展与社会安全之间复杂关系的深刻思考。

这个故事与今天的网络安全问题有着惊人的相似之处。互联网的普及使得网络攻击变得越来越容易,而关于网络安全知识的公开与否,也引发了类似的争论。一方面,公开安全知识可以帮助人们更好地保护自己,提高网络安全意识;另一方面,公开攻击技术可能会被恶意利用,导致更严重的网络安全威胁。

案例二:软件安全与互操作性的博弈

2000 年代初,微软和苹果在操作系统市场展开了激烈的竞争。微软的 Windows 操作系统凭借着强大的市场份额占据主导地位,而苹果的 Mac OS X 则以其稳定性和用户友好性吸引了一批忠实的粉丝。

为了吸引更多的软件开发者为自己的平台编写应用程序,微软采取了一项策略:它鼓励软件开发者使用微软提供的各种开发工具和技术,并承诺为这些开发者提供充分的支持。然而,微软的开发工具和技术往往存在着一些安全漏洞,而这些漏洞也成为了攻击者利用的突破口。

与此同时,苹果则坚持开源的开发模式,鼓励开发者参与到 Mac OS X 的开发中来。这种开源模式使得 Mac OS X 的安全漏洞能够更快地被发现和修复。

然而,苹果的开源模式也面临着一个问题:由于参与开发的人员众多,代码的质量难以保证,这使得 Mac OS X 的安全漏洞也并非完全不存在。

更重要的是,微软的开发模式在一定程度上限制了软件的互操作性。由于微软的软件开发工具和技术与苹果的软件开发工具和技术不兼容,因此软件开发者很难将自己的应用程序同时发布在 Windows 和 Mac OS X 平台上。这使得消费者在选择操作系统时面临着更多的选择,但也增加了软件开发者的负担。

这个故事反映了软件安全与互操作性之间的复杂关系。在追求安全性的同时,我们必须考虑到软件的互操作性,避免为了安全而牺牲用户体验。

信息安全意识:守护数字世界的基石

从维多利亚时代的锁匠到今天的网络安全问题,我们看到,技术进步往往伴随着新的挑战和新的风险。信息安全意识,正是应对这些挑战和风险的关键。

什么是信息安全意识?

信息安全意识是指个人和组织对信息安全风险的认识和防范能力。它包括了解常见的安全威胁、掌握基本的安全技能、以及培养安全的工作习惯。

为什么信息安全意识如此重要?

在数字时代,我们的生活、工作和娱乐都与互联网紧密相连。我们的个人信息、财务信息、商业机密等都存储在数字设备和网络服务器上。如果这些信息不安全,就可能遭受盗窃、篡改和破坏。

信息安全意识能够帮助我们:

  • 识别安全风险: 了解常见的安全威胁,例如恶意软件、网络钓鱼、社会工程等,从而能够及时识别潜在的安全风险。
  • 保护个人信息: 掌握保护个人信息的技巧,例如设置强密码、定期更新软件、谨慎点击链接等,从而能够有效保护个人信息不被泄露。
  • 安全地使用互联网: 了解安全地使用互联网的技巧,例如使用安全的网络连接、避免访问不安全的网站、谨慎下载文件等,从而能够安全地享受互联网带来的便利。
  • 保护组织资产: 培养安全的工作习惯,例如遵守安全规章制度、及时报告安全事件、保护敏感数据等,从而能够有效保护组织的资产不被损失。

如何提高信息安全意识?

提高信息安全意识是一个持续学习和实践的过程。以下是一些建议:

  • 学习安全知识: 阅读安全相关的书籍、文章和博客,参加安全培训课程,了解最新的安全威胁和防范技术。
  • 实践安全技能: 练习设置强密码、定期更新软件、谨慎点击链接等安全技能。
  • 培养安全习惯: 遵守安全规章制度,及时报告安全事件,保护敏感数据等。
  • 参与安全社区: 加入安全社区,与其他安全爱好者交流经验,共同提高安全意识。

信息安全意识是守护数字世界的基石。只有当我们每个人都提高信息安全意识,才能共同构建一个安全、可靠的数字环境。

昆明亭长朗然科技有限公司致力于打造智能化信息安全解决方案,通过AI和大数据技术提升企业的风险管理水平。我们的产品不仅具备先进性,还注重易用性,以便用户更好地运用。对此类解决方案感兴趣的客户,请联系我们获取更多信息。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898