迈克菲CTO：Hold住迎面而来的安全威胁

作者：McAfee风险与合规业务部CTO，Stuart McClure

　　近期我很荣幸地在RSA 2012大会上进行了主题演讲。本届大会的主题是“密码如同利刃”(The Cipher is Mightier than the Sword)——这一主题源于Great Cipher的故事，该密码在 1893 年被破解前已经使用了近 200 年。对我而言，这则故事的启示是：密码(及所有信息)关乎生死，而且没有任何东西是牢不可破的，只是时间问题。

　　在此前我准备主题演讲时，偶然发现了《罗宾汉》(Robin Hood)这部电影。Russell Crowe(罗素·克洛)扮演的角色回想起父亲的教诲：不断成长，直至羊羔变成狮子。当他问及含义时，父亲回答到：“绝不放弃。”

　　不过，我认为这句话的含义更深远。它意味着，人们可以主宰自己的自由，就像皇室(狮子)那样，而且应该不断成长，直至彻底实现。

　　好莱坞向来能够以小窥大，一直以来，它就通过各种影片警示人们未来的安全挑战。最早是 1968 年出品的影片《富豪之家》(Hot Millions)，该片刻画了一个骗子、贪污犯形象，此人利用保险公司计算机程序员职务之便挪用了数千美金。该片凸显了社会工程学、身份欺骗、内部权限滥用和徇私枉法等问题。

　　类似的影片还有展现黑客高超技能的《战争游戏》(War Games)、让我们担心隐私和网络恐怖主义的《国家公敌》(Enemy of the State)，以及《东西战争》(Jumping Jack Flash)、《通天神偷》(Sneakers)、《黑客帝国》(The Matrix)、《虎胆龙威4》(4Die Hard 4)等。

　　实际上，好莱坞编剧们之所以会编写与安全相关的“影视大餐”，是因为安全方面具备极大的可看性，并且具备一定的真实性。主要原因有：第一，大量的机会。如今的设备数以十亿计，而且将在这个十年末攀升至 500 亿，因此，绝不缺少机会。第二，动机。因为这与金钱、信息(信息就是力量)、目的(可成为极为强大的动力)或破坏(例如，意在延迟伊朗核计划的行动)直接相关。最后，能力。由于工具和技术的可获取性以及可以承受的学习成本，使得黑客们能够较为容易得获得成功。

　　我们已从大型机和集中计算发展到 Windows、Apple 和 Linux，进而发展到实时操作系统和嵌入式系统。互联设备数量正呈爆炸式增长……而且未来注定是嵌入式设备的世界，由此带来的风险可谓前所未有地高。

　　以一型糖尿病患者为例，约 50% 的患者需要使用胰岛素泵来自动调节血糖。胰岛素泵是微小的嵌入式设备，内置必要的操作系统和芯片，用来控制移动部件，包括以所需速率调整胰岛素的泵。但是，很多人并不知道所有这些设备都是微小的计算机系统……它们甚至也能置人于死地。

　　为了实现让非保护对象更安全的目标，我们必须承认我们的不足。每当我们认为我们的保护已经足够完善时，都会发现在安全防护能力方面仍然差距不小。于是，我们会采取一些“非常规手段”来加以应对。然而，签名和黑名单已成为过去时。我们必须迈向白名单的世界——确切而言，是灰色的世界。要能够了解什么是安全的、什么是危险的、什么样的需求亟待解决，让用户来决定我们的声誉。

　　我们需要更深层次的安全保护。我们生活在操作系统、应用程序的世界里，我们已经进入了虚拟世界。但威胁并不止于此处，它们更加深入地渗透到了 BIOS、固件和辅助芯片中。这里正是我们的用武之地，有太多的领域等待我们挖掘，如安全管理、设备完整性(安全引导)、身份(确保使用键盘的人是设备所有者)、隐私(保护个人信息)和弹性(发生事故时快速恢复)。因此，新一代安全将以“控制”为核心——控制权限、控制执行、控制恢复。

　　2012 年，我们将看到各类攻击相对 2011 年会有增无减。我相信，一些攻击可能是您已想到的，而一些攻击可能是您始料未及的。无论何种攻击，请记住，您是它们“命运”的主宰者。绝不放弃，绝不要忘记这条教义——不断成长，直至羊羔变成狮子。