论文部分内容阅读
越来越多思考计算机安全的人,包括我自己在内都认为,在不久的未来,主要的计算机安全将变成机器vs机器——好机器人对抗坏机器人,完全自动化。我们目前几乎已经进入了这一阶段。
不知是幸运还是不幸,我并不认为我们要经历很长的时间才能实现纯自动化防御。
安全防御的現状
我们的许多计算机安全防御已经实现了自动化。从固件启动到操作系统在安全硬件强制的虚拟边界中运行App,操作系统被更为安全地配置。如果其中的某一项处于默认状态,那么我们的操作系统将会自动更新,让OS厂商已经解决的已知弱点最小化。
大多数操作系统都带有初步列出了“坏App”和“坏数字证书”的黑名单,它们不会运行这些黑名单上的“坏App”和“坏数字证书”,同时这些操作系统还拥有一直保持开启状态且配置有“默认拒绝执行”规则的防火墙。此外,每个操作系统还拥有内置的可自动更新的反恶意软件程序,用户或管理员执行的首批管理任务就是安装它们。当新的恶意软件程序被发布出来,大部分反恶意软件程序会在24小时内会获得签名更新。
大多数企业都在运行或订购了事件日志信息管理服务(如,安全信息事件监测SIEM),它们会汇总安全事件并进行报告,同时自动采取正确的措施(如,自我修复)。随着时间的发展,这些保护服务将会变得更好更精准。
安全防御的未来
操作系统厂商正努力实现在不久的将来提供更为自动化的安全防护。对于许多企业管理员来说最艰巨的任务之一是确保他们管理的所有计算机和设备都被安全配置且长期处于安全状态。许多企业已经有可以详细列出并控制系统安全配置设置的软件程序。目前的一大变化是操作系统厂商将让值得信任的第三方更为容易地配置所有人的计算机,因为他们对当前的安全环境有着最新且更为精准的理解。
客户将可订购可充分管理设备安全配置的云服务。目前市场上已经出现了相关的云服务,但是大部分服务并不精细,许多服务仅管理少量的设置。这种情况目前正在迅速改观。不久的将来将会有大量精细的配置服务可供用户选择,而这些服务则可提供无数种配置选项。客户可能不再需要做大量的安全决策,因为这些工作将外包给管理商。
另一个变化是基于当前安全环境的安全配置将会得到更为及时的更新。目前,负责安全配置的人要花上数周的时间对新出现的威胁做出响应。未来,一旦新的安全威胁被发现,必要的防御配置调整将在数小时内被推送。如果发现新的勒索软件或高级持续性威胁(APT),它们能够在公司受到伤害前在数小时内消除威胁。它们的工作不仅仅是在反恶意软件签名层而是在各个环节(如防火墙、黑名单等)都消除这些威胁。
好的人工智能机器人将巡查用户的网络检测漏洞和错误配置的计算机。如果设备存在隐患,那么它们会进行自我修复。如果需要(并不是因为在云端被保护的原因),它们还将会备份用户的数据,并将操作系统恢复至最近一次的安全备份状态。
未来的斗争:黑客vs集中式安全服务
由于我们大量的计算基础设施将被消息灵通的云决策工具保护和控制,今后的恶意软件和黑客如果要想进行扩散将被迫首先要与集中式服务对抗。他们可能有也会订购相同的服务并从中寻找漏洞或是订购一个带有多种服务功能且能够寻找和出售弱点的恶意服务,这非常像目前一些与VirusTotal精确性进行对抗的服务。
未来的防御与攻击场景中将完全是机器与机器的对抗。我们未来的防御将更为集中化、协调化和自动化。黑客必须要做同样的事情才能占上风。如果他们的自动化程度没有达到或是超过防御服务,他们将再也无法得逞。
黑客和恶意软件将与防御者一样转向自动化和人工智能。如果防御者在几分钟前成功阻止了恶意行为,那么恶意的自动化服务将必须迅速做出响应。人工智更胜一筹的一方将会最终胜出。
人类永远无法置身于这场斗争之外
自从有了计算机,如社交工程和网络钓鱼等人为因素一直是主要的计算机威胁。目前已经证明任何软件或硬件解决方案都难以阻止人做出糟糕的安全决策。 如果容易的话,我们早在几十年前就打败了这种类型的威胁。事实恰恰相反,我们还要持续不断地对终端用户进行安全培训,这一过程可能要永远持续下去。
天网会具备自我意识吗?
与埃隆·马斯克不同,我并不担心人工智能和自动化将会对人类造成巨大的威胁。诚然,随着我们在安全和配置上越来越集中化,一个失误就会让大量的计算机瘫痪,数量要远超以往。我们已经看到了一些类似的实例,如一个大型的反恶意软件扫描工具错误地移除了一个关键的操作系统文件。我们只是偶尔遇到这种问题,它们也只是造成了临时性中断,但是我们一直在从中汲取教训并做出改进。从长远看,对于我们所获得的安全保护回报,偶尔的失误是值得的。
重要的是要认识到更为集中的计算机安全解决方案可能将成为未来计算机安全和决策的一部分。就像电子邮件和应用都转移至云端一样,我们的计算机安全也将向云端转移。
不知是幸运还是不幸,我并不认为我们要经历很长的时间才能实现纯自动化防御。
安全防御的現状
我们的许多计算机安全防御已经实现了自动化。从固件启动到操作系统在安全硬件强制的虚拟边界中运行App,操作系统被更为安全地配置。如果其中的某一项处于默认状态,那么我们的操作系统将会自动更新,让OS厂商已经解决的已知弱点最小化。
大多数操作系统都带有初步列出了“坏App”和“坏数字证书”的黑名单,它们不会运行这些黑名单上的“坏App”和“坏数字证书”,同时这些操作系统还拥有一直保持开启状态且配置有“默认拒绝执行”规则的防火墙。此外,每个操作系统还拥有内置的可自动更新的反恶意软件程序,用户或管理员执行的首批管理任务就是安装它们。当新的恶意软件程序被发布出来,大部分反恶意软件程序会在24小时内会获得签名更新。
大多数企业都在运行或订购了事件日志信息管理服务(如,安全信息事件监测SIEM),它们会汇总安全事件并进行报告,同时自动采取正确的措施(如,自我修复)。随着时间的发展,这些保护服务将会变得更好更精准。
安全防御的未来
操作系统厂商正努力实现在不久的将来提供更为自动化的安全防护。对于许多企业管理员来说最艰巨的任务之一是确保他们管理的所有计算机和设备都被安全配置且长期处于安全状态。许多企业已经有可以详细列出并控制系统安全配置设置的软件程序。目前的一大变化是操作系统厂商将让值得信任的第三方更为容易地配置所有人的计算机,因为他们对当前的安全环境有着最新且更为精准的理解。
客户将可订购可充分管理设备安全配置的云服务。目前市场上已经出现了相关的云服务,但是大部分服务并不精细,许多服务仅管理少量的设置。这种情况目前正在迅速改观。不久的将来将会有大量精细的配置服务可供用户选择,而这些服务则可提供无数种配置选项。客户可能不再需要做大量的安全决策,因为这些工作将外包给管理商。
另一个变化是基于当前安全环境的安全配置将会得到更为及时的更新。目前,负责安全配置的人要花上数周的时间对新出现的威胁做出响应。未来,一旦新的安全威胁被发现,必要的防御配置调整将在数小时内被推送。如果发现新的勒索软件或高级持续性威胁(APT),它们能够在公司受到伤害前在数小时内消除威胁。它们的工作不仅仅是在反恶意软件签名层而是在各个环节(如防火墙、黑名单等)都消除这些威胁。
好的人工智能机器人将巡查用户的网络检测漏洞和错误配置的计算机。如果设备存在隐患,那么它们会进行自我修复。如果需要(并不是因为在云端被保护的原因),它们还将会备份用户的数据,并将操作系统恢复至最近一次的安全备份状态。
未来的斗争:黑客vs集中式安全服务
由于我们大量的计算基础设施将被消息灵通的云决策工具保护和控制,今后的恶意软件和黑客如果要想进行扩散将被迫首先要与集中式服务对抗。他们可能有也会订购相同的服务并从中寻找漏洞或是订购一个带有多种服务功能且能够寻找和出售弱点的恶意服务,这非常像目前一些与VirusTotal精确性进行对抗的服务。
未来的防御与攻击场景中将完全是机器与机器的对抗。我们未来的防御将更为集中化、协调化和自动化。黑客必须要做同样的事情才能占上风。如果他们的自动化程度没有达到或是超过防御服务,他们将再也无法得逞。
黑客和恶意软件将与防御者一样转向自动化和人工智能。如果防御者在几分钟前成功阻止了恶意行为,那么恶意的自动化服务将必须迅速做出响应。人工智更胜一筹的一方将会最终胜出。
人类永远无法置身于这场斗争之外
自从有了计算机,如社交工程和网络钓鱼等人为因素一直是主要的计算机威胁。目前已经证明任何软件或硬件解决方案都难以阻止人做出糟糕的安全决策。 如果容易的话,我们早在几十年前就打败了这种类型的威胁。事实恰恰相反,我们还要持续不断地对终端用户进行安全培训,这一过程可能要永远持续下去。
天网会具备自我意识吗?
与埃隆·马斯克不同,我并不担心人工智能和自动化将会对人类造成巨大的威胁。诚然,随着我们在安全和配置上越来越集中化,一个失误就会让大量的计算机瘫痪,数量要远超以往。我们已经看到了一些类似的实例,如一个大型的反恶意软件扫描工具错误地移除了一个关键的操作系统文件。我们只是偶尔遇到这种问题,它们也只是造成了临时性中断,但是我们一直在从中汲取教训并做出改进。从长远看,对于我们所获得的安全保护回报,偶尔的失误是值得的。
重要的是要认识到更为集中的计算机安全解决方案可能将成为未来计算机安全和决策的一部分。就像电子邮件和应用都转移至云端一样,我们的计算机安全也将向云端转移。