微軟的安全探索之路 智慧時代如何守護用戶安全
- 發佈時間:2015-10-20 15:16:00 來源:中國新聞網 責任編輯:羅伯特
智慧生活普及的當下,駭客入侵和攻擊方式也已大大超出人們的想像。從車聯網、智慧家居到GPS、衛星,從作業系統、瀏覽器到工控、醫療器械,似乎沒什麼是不能被黑掉的。
智慧時代的安全隱患長什麼樣子?
首先是隱私安全。智慧家居的發展已經為我們描繪了一幅未來生活的美好圖景。但當萬物聯網的時候,或許也意味著安全隱患無處不在。想像一下,如果駭客“黑”了你家監控系統,你的生活狀況就可能暴露無遺,假如攻擊者潛入網路進入智慧電視,你的收看偏好和瀏覽記錄就會被駭客瞭如指掌了……
再來看財産安全。在美國的駭客大會上,一位電腦駭客向觀眾展示了不用銀行卡就能讓ATM機瘋狂吐鈔的“絕技”,讓現場觀眾看得目瞪口呆。這位駭客名叫傑克,他花了兩年的時間研究各種獨立ATM機,並找到了這些設備的漏洞。
甚至人身安全。安全研究者Runa Sandvik與其夫Michael Auger已經發現如何黑入某智慧步槍,這對已婚駭客伴侶開發了一組技術,可以讓攻擊者通過Wi-Fi連接入侵該步槍。並利用軟體漏洞,改變瞄準鏡計算變數,可以把變更精確地送入槍鏡瞄準系統,其精確程度足以讓子彈命中非射手選擇的目標。
經歷過對抗 安全才有説服力
如上案例昭示了一個形形色色的聯網物件越來越多且容易被黑的未來。黑掉步槍的Sandvik説:“有那麼多東西都連在網際網路上:汽車、冰箱、咖啡機,現在還有槍。傳達出資訊就是:當你把技術放到從前沒放過的東西上時,你就會遇上從前沒想到過的安全挑戰.”
網路安全已不是屬於某個行業或某個領域的概念了,它已經滲入到我們生活的各個角落。
作為安全的主體,廠商自身需要承擔最大責任,證明自己安全可靠。然而現實是,很多廠商對安全知識的了解非常匱乏,甚至完全沒有考慮安全,這是最令人擔心的。
事實上,廠商在製造這些智慧設備時就應當把安全因素排在首位,將保護措施植入到系統中。特別是硬體的安全體系如果在創建之後再進行改變,必將付出更大的代價。
“未知攻,焉知防”,廠商産品的安全性有説服力,很多時候反而體現在對抗過,經歷過攻擊而不倒。在物聯網前的PC時代、移動互聯網時代,像谷歌、微軟、騰訊等,都曾經歷過無數攻擊,他們建立了一整套完善的安全體系。除了不斷強化自身的安全能力,這些大企業通常都會以非常開放的心態,去支援甚至獎勵全社會來挖掘自家産品的漏洞。
微軟的安全探索之路
以微軟為例,儘管人們對微軟安全認知一直被掩蓋在其産品功能的光環之下,但是貫穿于軟體産品生命的資訊安全卻一直是微軟公司戰略的重中之重。
然而,微軟的安全之路並非一帆風順。早在2001年,微軟推出了後來被廣受的爭議的Windows XP,當時的微軟對安全還未足夠重視,更多關注點在滿足用戶痛點等體驗層面。這導致Windows XP的安全性堪憂。在2003年和2004年,著名的“衝擊波”和“震蕩波”病毒肆虐,感染了上千萬台機器,給微軟用戶帶來了很大損失,也影響了微軟的品牌信任度。
從2004年開始,微軟開始修煉內功,將安全放在非常重要的位置。在十年的時間裏,建立了一整套完善的安全管理策略。他們意識到提前預防永遠要比事後解決付出的代價更小。微軟建立了一套科學的安全工程方法流程SDL( Security Development Lifecycle),從安全的角度來指導整個軟體開發流程;成立微軟安全響應中心(Microsoft Security Response Center,MSRC),負責對微軟産品的漏洞報告進行調查,並響應這些漏洞報告,MSRC獨立於所有産品部門之外,擁有很大的許可權,可以要求不達到安全標準的産品延期發佈;同時,微軟還引入更高級別的資訊安全專家進入公司,或是擔當安全顧問的角色。
值得一提的是,微軟曾將一些披露漏洞的白帽駭客社區視為對立面,而隨著其對安全的越來越重視,微軟對駭客社區的態度也轉變為友好合作,不僅從其社區中引入人才到微軟工作,更是會贊助一些駭客社區的活動,表明其重視安全、開放性地接受安全挑戰的立場。
如今,微軟每個月公佈的安全公告,都會向其來自全世界的漏洞提交者致謝,感謝他們為保護用戶安全做出的努力。在駭客大會Defcon 上,微軟還張貼出了安全貢獻榜TOP100,包括TK、yuange、陸吉輝等國內安全專家都榜上有名。
安全不是一勞永逸 是動態完善的
從微軟的故事可以看出,企業的資訊安全問題不可能一勞永逸,也沒有終極解決方案,而是一個長期動態完善的過程。不管是傳統的網際網路,還是新興的物聯網企業,首先要制定出完善的資訊安全體系和策略,構築強大的防禦網,而不是“頭痛醫頭,腳痛醫腳”。
“互動社交化的服務觀、動態完善的品質觀、對抗求衡的安全觀“。這是智慧安全社區GeekPwn倡導的安全新三觀。
網際網路+的時代,服務有時甚至會高於産品實體本身,服務模式也從廠商單向提供轉向社區互動模式。而安全極客們通過挖掘智慧軟硬體的漏洞,能夠幫助産品完善安全能力,為廠商避免因為漏洞造成經濟損失及企業信譽,從而為用戶提供極致的體驗和服務。
電子産品、資訊産品、智慧産品由於複雜性決定了其在設計、開發、測試中存在了不同程度的“缺陷”和“問題”,廠商也是在不斷地迭代過程中尋求功能與體驗的平衡。白帽駭客利用自己的專業知識和能力,通常會發現類似産品的缺陷和問題,這並不説明此些産品品質有問題。
安全是攻防對抗之間的一個平衡,是由動態的博弈對抗所決定。一個被發現漏洞和安全問題越多,並且改進很迅速及時的産品,才是一個更高安全性的産品;一個沒有被爆出過安全問題的産品,其安全性是難以令人放心的。勇於接受安全挑戰的廠商,並有快速完善及處理的措施,正説明其擁了安全對抗能力並建立了動態安全改進機制。
10月24日,全球首個關注智慧生活的安全極客大賽GeekPwn將如期開幕, GeekPwn一如既往堅持科學中立不妥協,負責任的漏洞披露原則,吸納全球勇於挑戰的白帽駭客,發現智慧生活可能存在的安全隱患。包括手機、汽車\無人機、智慧家居、智慧穿戴、指紋支付等8大項目將成為選手們的攻破對象。