十個將要被淘汰的安全技術

2015-09-15 09:13 作者：admin 瀏覽量：

　　系統性漏洞和瞬息萬變的威脅環境將毀滅許多當今值得信賴的安全技術。也許沒有什么東西，能夠像計算機技術一樣變化如此迅速。隨著科技前進步步前進，保護它的責任也越變越重。如果你在計算機安全的世界里混跡已久，可能已經見識過很多安全技術的誕生和消亡。有的時候，你就快能夠解決一種新的威脅了，而威脅本身卻很快過時了。攻擊和技術的步伐持續前進，即使是所謂最尖端的防御技術，比如生物認證和高級防火墻，都終將失敗并退出局面。下面是那些注定要進入歷史教科書的安全防御技術，我們五到十年后再翻開這篇文章，一定會超出你的想像。

　　1：生物認證

　　加入生物識別的多因素認證是一種擊敗黑客的方法，比如在生物識別之外加上密碼、PIN。但一些使用物理要素的雙因素認證也可以很容易地做到這一點，比如智能卡、USB鑰匙盤。如果丟失，管理人員可以很快地頒發給你新的物理認證方式，你也可以設置新的PIN或者密碼。(網絡維護服務)

　　盡管生物識別登錄正迅速成為時髦的安全功能，它們永遠都不會變得無處不在。一旦人們意識到生物識別登錄并不是它們看上去的那樣，這種方式將失去人氣，或者消失。其運用時總是要結合另一個認證要素，或者只是用在那些不需要高安全性的場景下。

　　2：SSL

　　成百上千的網站依賴或啟用了SSL。如果你禁用所有的SSL，這也是流行瀏覽器最新版本里的一般默認做法，各種網站都會變得無法連接。也許它們可以連接，但這只是因為瀏覽器或應用接受對SSL進行降級。此外，因特網上仍舊存在數百萬計古老的安全Shell(Secure Shell，SSH)服務器。

　　OpenSSH最近似乎一直在遭到入侵。盡管大約一半的攻擊事件和SSL毫無關系，但另一半都是由于SSL的漏洞引起的。數百萬計的SSH/OpenSSH網站仍在使用SSL，盡管他們根本不應該這樣做。

　　更糟糕的是，科技專家們使用的術語也在導致問題。幾乎每個計算機安全行業內的人都會將TLS數字證書稱為“SSL證書”，但這純屬指鹿為馬：這些網站并不使用SSL。這就像是說一瓶可樂是可口可樂一樣，盡管這瓶可樂可能是另外一個品牌。如果我們需要加快世界拋棄SSL的速度，就需要開始用本名稱呼TLS證書。

　　不要再使用SSL了，并且將Web服務器證書稱為TLS證書。我們越早擺脫“SSL”這個詞，它就能越快地被掃進歷史的垃圾堆。

　　3：反病毒掃描

　　真正殺死反病毒掃描軟件的不是惡意軟件的數量，而是白名單。當今的普通計算機會運行所有你安裝的程序。這使得惡意軟件到處都是。但電腦和操作系統廠商已經開始改變“見什么運行什么”的模式，以提升用戶的安全性。這項運動和殺毒軟件是對立的。后者的邏輯是，讓一切運行暢通，除了包括那些含有已知的那5億反病毒簽名的軟件。“默認運行，例外禁止”正被“默認禁止，例外運行”所代替。

　　一旦白名單變成了多數操作系統上的默認選項，對惡意軟件而言就是游戲結束的時間，然后，對反病毒掃描軟件而言也是如此。很難說人們會想念兩者之中的任何一個。

　　4：IPSec

　　IPsec的復雜性也造成了性能問題。除非你在IPsec隧道兩側都部署專門硬件，不然它就會顯著減緩所有用到它的網絡連接。因此，大型的事務服務器，比如數據庫和大多數Web服務器根本無法支持它。而這兩類服務器恰恰是存儲最重要數據的地方。如果你不能用IPsec保護大部分數據，它又能帶來什么好處呢?（北京it外包公司）

　　另外，盡管它是一個“公共”的開放標準，IPsec的實現卻通常無法在各個廠商之間共用，這是另一個減緩乃至阻止IPsec被廣泛部署的原因。

　　但對IPsec而言，真正的喪鐘是HTTPS得到了廣泛使用。如果你啟用了HTTPS，就不再需要IPsec。這是個兩者必擇其一的選擇，世界作出了它的決定。HTTPS贏了。只要你有一份有效的TLS電子證書，一個兼容的客戶端，就能使用HTTPS：沒有交互問題、復雜度低。存在一些性能影響，但對大多數用戶而言微不足道。全球正迅速變成一個默認使用HTTPS的世界。在這個過程中，IPsec將會死亡。

　　5：防火墻

　　防火墻提供的主要防御功能是保護脆弱的服務免遭遠程攻擊。具有遠程脆弱性的服務通常極易破壞，遠程利用緩沖區溢出是最常見的攻擊方式。看看莫里斯蠕蟲(Robert Morris Internet worm)、紅色警戒(Code Red)、沖擊波(Blaster)和藍寶石(SQL Slammer)吧。你能回憶起最近一次世界級緩沖區溢出蠕蟲攻擊出現在哪年嗎?應該不會超過本世紀頭幾年。而這些蠕蟲都還遠不及上世紀八九十年代那些的威力。基本上，如果你不使用未打補丁、存在漏洞的監聽服務，就不需要傳統防火墻。你現在就不需要。對，你沒聽錯。你不需要防火墻。

　　一些防火墻廠商經常鼓吹他們的“高級”防火墻擁有傳統產品遠不能及的功能。但這種所謂的“高級防火墻”只要它們進行“數據包深度檢查”或簽名掃描，只會導致兩種結果：其一，網速大幅度下降，返回結果充斥著假陽性;其二，只掃描一小部分攻擊。大多數“高級”防火墻只會掃描數十到數百種攻擊。如今，每天都會出現超過39萬種新型惡意軟件，這還不包括那些隱藏在合法活動中無法識別的。

　　即使防火墻真的達到了他們宣稱的防護級別，它們也不是真的有效。因為如今企業面臨的兩種最主要的惡意攻擊類型是：未打補丁的軟件和社會工程。(企業it外包) 

　　這么說吧，是否配備防火墻都一樣被黑。也許它們在過去表現太好了，導致黑客轉向了別的攻擊類型。但不管是什么原因，防火墻如今已經幾乎沒有用了，從過去十年前這個趨勢就開始了。

　　6：公鑰加密

　　如果量子計算的實現和配套的密碼學出現，我們如今使用的大多數公鑰加密技術：RSA、迪斐·海爾曼(Diffie-Hellman，DH)等等將很快變成可讀狀態，這可能會讓一些人大吃一驚。很多人長期以來都認為可使用級別的量子計算再過幾年就要到來了，但這種估計屬于盲目樂觀。如果研究人員真的拿出了量子計算技術，大多數已知的公鑰加密方式，包括那些流行算法，都會非常容易破解。世界各地的間諜機構經年累月地秘密保存著被鎖死的機密文件，等著技術大突破。而且，如果你相信一些流言的話，他們已經解決了這個問題，正在閱讀我們的所有秘密。

　　7：匿名工具

　　最后，任何關于匿名性和隱私的遺跡都將被徹底抹去。我們早就不需要它們了。在這個主題上，推薦一本新書，布魯斯·施奈爾的《數據與歌利亞》(Data and Goliath)。如果你還沒有意識到自己還剩下的隱私和匿名性有多么少，快速閱讀它，它可能會嚇到你死。

　　即使那些認為藏在Tor或者其它“暗網”設施中能夠給自己帶來一點匿名性幻覺的黑客也必須了解到警察逮捕網絡犯罪者是多么神速。匿名者的中流砥柱們一個個被逮捕，在法庭上被指證，并被判了真實的刑期，有著真實的服刑代碼，和他們的真實身份掛鉤在一起。

　　事實是，匿名工具沒有用。很多公司，當然也包括執法部門，已經知道你是誰了。未來唯一不同的是，每個人都會心中有數，停止假裝他們能夠隱藏自己，在網上保持匿名。

　　8：抗DDoS

　　在上世紀二十年代，美國有很多即猖狂又著名的銀行搶劫犯。銀行最終加強了他們的防護，警察也能更好地識別和逮捕罪犯。強盜們仍然會襲擊銀行，但很少搶到錢，而且幾乎總能被抓住，特別是當他們堅持要搶更多的銀行時。同樣的情況也會發生在拒絕服務攻擊者身上，只要我們能夠快速識別他們，遲早他們會帶著那些讓人無可奈何、頭疼不已的作惡手段消失殆盡。

　　9：大體量事件日志

　　對計算機安全事件進行檢測和警報是困難的。每臺電腦每天都會產生數以萬計的事件。如果將它們都存儲在一個集中的日志數據庫，你的存儲空間很快就會爆炸。如今的事件日志系統通常以其磁盤存儲陣列規模巨大而自居。

　　唯一的問題：這類事件日志記錄沒有用。幾乎所有收集到的事件包都沒有用并保持著未讀狀態，存儲這些毫無用處的未讀文件會帶來巨大的存儲成本，有些東西必須被放棄。很快，管理員就會要求應用和操作系統廠商提供給他們更多的信號和更少的噪聲，去除那些沒有價值的通常日志。換句話說，事件日志廠商很快就會開始吹噓他們占用的存儲空間有多小，而不是多大。

　　10：反騷擾過濾

　　騷擾郵件仍舊占全網郵件數的一半。多虧了反騷擾過濾，你可能沒有注意到這一點。反騷擾過濾真的實現了那些反病毒廠商聲稱的精確性，不過它們每天仍舊會漏過數以十億計的郵件。只有兩件東西可以阻止騷擾：通用的、普適的、高安全性的認證和更具結合性的國際法。

　　隨著互聯網日趨成熟，那些不深挖互聯網上最大的犯罪集團的國家將被懲罰。這些國家可能被登入黑名單。事實上，有些國家已經在上面了。舉個例子，很多公司和網站都會拒絕所有來自中國的流量，不管它是不是合法。如前所述，一旦我們能夠辨認出罪犯和他們的所屬國家，其所屬國家將被迫作出反應，不然就會受到懲罰。

　　垃圾郵件爭先恐后地擠滿你郵箱的好日子已經到頭了。普適性的身份和國際法的變化將給垃圾郵件蓋棺，當然還有那些專門打擊它們的安全技術。

   艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

   更多的IT外包信息盡在艾銻無限http://www.richjn.cn