【IT168专稿】现任美国洛斯阿拉莫斯国家实验室漏洞评估组组长的Roger Johnston对于安全漏洞有着深入了解。作为一个致力于改进物理安全的研究团体——漏洞评估组的领导者,Johnston和他所带领的小组曾为诸多企业机构进行漏洞评估,其中不仅有国际原子能机构、美国国务院和国防部等处于高安全风险的政府机构,而且还有正开发或考虑使用高科技安全设备的私营企业。
近期,资深编辑Sarah D. Scalet就“有效安全评估的运行战略”这一内容采访了Johnston,并还就这一工作若未及时到位可能产生的后果进行了交流。
Scalet: 您基本上每天的精力都花在寻找问题上了。人们想骗过您怕是很难吧?
Roger Johnston: 是的,我们总是努力地为人们提供乐观的信息。通常,问题的解决方法往往非常简单。例如:你使用防篡改标志封印(tamper-indicating seal)来保障货物安全;当你检查封印时,可能你只需简单地花一两秒额外时间就能在封印右手上方角落找到有个小刮痕,从而知道货物已被擅自动过。
Scalet: 因此,培训是获得乐观信息的关键吗?
Roger Johnston: 是的。我们强力拥护,向安全人员披露大量漏洞信息这种做法。通常,低级安全人员若想做好工作往往需要一些信息,而他们却没办法获得这些所需的信息。一般人们对低级安全人员要求很低,只要求发现"异常事件"时进行上报即可,其实如果他们能得到所需信息,相信他们在工作上将会有更好表现。其实,真正做起来,这真的无需花费你大笔额外资金,而且也不会占用你太多时间。
Scalet: 您认为在做漏洞评估时,什么才是掌握对手心态的非常好的途径?
Roger Johnston: 这其中是相当有决窍的。多数漏洞评估的问题在于这份评估工作通常要由极认真负责的安全人员来进行实施。这些安全人员不论是在生活中,还是在工作中都要有较好表现。他们是真正醉心于安全工作,不想有任何问题的人。这并不是简单的是否认真负责的事情;从中我们可看出一个人的人品如何。而且,在许多案例中,安全人员都是军队或警察出身,他们之前所经历培训和纪律可能是非常有用的。不过,此类背景通常对那些极富有创造力的人并不具吸引力。
你观察一下你企业周围,你就会找到那些富有创新精神的人。他们未必是安全领域 人士。你一直寻找给你带来可怕安全恶梦的人,通常都是些钻空子的人、自作聪明的人、疑神疑鬼的人。他们这类人事事都必须亲自证实才会相信,即便是听从权威机构所购买的东西也得不到他们的肯定。
Scalet: 因此,您正寻找是那些由于干扰某些安全策略而身陷困境的人吗?
Roger Johnston: 我不想将话题扯太远。假如他们是住在有重罪条例的35个州,那么也许并不真的发现哪些人会涉及你的关键安全漏洞问题,更多是发现哪些人未自动遵守党的路线。你企业中这些人可能有考虑过如何才能破坏你的企业安全这一问题。但他们一般并不会真正付诸行动,这也许只是他们的思考方式。他们有可能是平面艺术家类人士;他们也可能是总找老板麻烦那类自作聪明的人。
Scalet: 与物理安全文化相比,在信息安全文化中此类风气更为明显吗?
Roger Johnston: 绝对是这样的。当然,在IT安全和物理安全间有着巨大的文化差异,如何拉近二者距离是这一问题的焦点所在。我认为IT在这一方面情况肯定会好转,因为现在大多数有用到计算机的人都会自动考虑这一问题。
Roger Johnston: 没有忧患意识的人们在进行漏洞评估时。首先,他们让现有的安全基础设施、安全硬件及安全策略来定义漏洞问题。比如:假设有一个栅栏,他们会考虑不法分子通 过栅栏的可能方式。但是,这种做法现在已完全落后了。现在,我们需要考虑的是不法分子目标所在,然后再决定我们是否真需要设置一个栅栏。其次,这类人往往 总不想努力找出问题,仿佛只是没到找到问题,也就不存在问题了,完全是种鸵鸟态度。
Scalet: 如果他们发现一个问题,那么他们不仅可能使自身陷入困境,而且他们还会给自己创造更多麻烦,对吗?
Roger Johnston: 绝对是这样的。其实在许多情况下,问题修复方式往往非常简单的,但企业常由于害怕将事情搞砸而很不愿意着手去做。因此,对于那些做过漏洞评估而却告诉你一 切情况正常的人,你不会有跟他一起合作的欲望。事实上,无论如何,事情总是会存在一些漏洞的,而且它们往往以大批量方式出现。任何单为发现零日漏洞而进行 的漏洞评估都是完全无用的。
Scalet: 您每次着手进行漏洞评估时,为能深入了解不法分子的心态,事前总会做很多准备工作吗?
Roger Johnston: 许多漏洞评估必须是非常类似于一流脑力作业。在其它领域用于创造性思维的大多数工具都可直接应用于漏洞评估。这种说法也许有几分过激了。多数安全业界人士都不适应这种上世纪60年代过于情感化的嬉皮士方式。
Scalet: CSO也应如此吗?
Roger Johnston: 你不想要那种只呆在办公室中的老板,那种环境往往抑制了人类的思维。你所需要的是真正的奇思妙想,因此我们坚决鼓励人们多加思考,任凭你天马行空地发挥想 象力。早些时候,对于这些奇思妙想采取保留意见态度就已极为重视了;后来,我们会将它们分优先级,考虑它们的可行性。在许多案例中,我们会听有人说"是 的,如果我能通过激光束让太空外星人从天而降,他们就能这么做。"再后来,一旦我们去除了太空外星人和激光束这两词,这些想法就转化为极具可行性攻击。
Scalet: 这需花多少时间,几小时?几天?几个星期?
Roger Johnston: 视情况而定了。如果你正考虑一个极为复杂的安全计划,你可能花两至三周时间也没做一点事。不过,你不能干坐着只动脑不动手。若是你偶尔有了奇思妙想,接下 来你应着手将这想法在系统或硬件进行实施中,试试看看这些想法是否可行,是否会产生一些价值。接着,你可再回头基于你所了解到的内容想出更多疯狂构想来。 我们非常支持亲自实践作业,而不仅仅只是抽象地进行思考。
Roger Johnston:我们极力鼓励人们不要将安全漏洞视为坏消息,而要认为它是一个很棒的消息。因为当你发现安全漏洞时,也就证明你知道要采取哪些保护措施。
Scalet: 但您仍不得不让人们按这条路线往下走,总有些麻烦事可能发生。
Roger Johnston: 我们所有漏洞评估报告一开头,总是会指出安全漏洞所带来好的一面。祸兮福所伏,任何事情总有其好的一面。比如:有时若未及时发现这些漏洞就可能会发生大事 故,而通过指出这些漏洞,我们就能认识到错误所在,及时加以改正。另外,我们还总是在报告一开头就指出,我们将发现更多漏洞,而不是告诉人们漏洞情况有可 能会减轻。我们还会为你们提供比你们可能要用到要多更多的修改建议。这样事情就解决了。不过,这种做法的底线是漏洞评估员在报告中并不能告诉你会导致怎样 变化。在报告中,我们会指出我们所认为问题所在,我们认为可用的解决方案。当然,最终要如何处理,最终决定权仍在你自己手上。
用二元 思维方式看安全问题,事情只有安全或不安全两种说法;而对于安全漏洞,或者我们必须掌握所有涉及到安全漏洞,或者我们索性甩手不干了,当然后者过于荒唐。 但安全却是一个持续性问题。总是会有些漏洞并未得到处理,但这并不意味着是有人把事情搞砸了,这仅仅是安全的运作方式。
Scalet: 在提出问题清单和可用解决方案清单时,所得到的比率是80/20。在这里,您能以20%的解决方案解决80%的问题吗?
是可以做到的。人们常说"嘿,你的意思是告诉我只需做出一点改变,这种攻击和这种攻击和这种攻击和这其它攻击基本上就都能避开了?"这点确实相当令人惊 喜的。有时安全漏洞特别复杂,而解决方案可能不是100%完美,但通常却是相当简单。我们是在为政府工作,也许对于什么才是经济可行的实施方案,我们并不 能一直保有最实际看法。有时我们认为简单的,在现实世界中实际操作起来却并不简单。但这点也还说得过去。有时,我们的建议只是引导终端用户进行自我思考, 然后也许他们就提出自己的解决方案来。
Scalet:您在您的小组中请入了两位工业与组织(IO)心理专家。为什么呢?
Roger Johnston: 工业与组织心理学(Industrial-organizational psychology)已在广泛领域得到应用,但出于一些难以说明的原因,在安全行业并未应用到。当我们第一次让这两位心理学家与我们一起合作时,他们简 直不能相信,竟没人将这些工业心理学领域强有力工具应用于安全问题中。渐渐地,我们不断利用他们来了解安全相关的人为因素。最后结论是:安全主要是关于人 们是如何与技术间交互作用 ,人们是如何使用和思考技术,如何设计技术来增强人们工作效率。
Scalet: 工作与组织心理学家已发现的哪几类问题?
Roger Johnston: 早些时候一个主要发现是认识到保安更新是一个大问题。通常每年保安更新率在40%到400%间。麦当劳公司每年更新率在35%到40%间,因此比起那些不 断寻找适当人员并死抓住不放的安全方式来说,麦当劳公司的工作做的更好些。有许多企业在更新率上表现极好,付出的报酬也不高。在过去的20多年中,IO心 理学家已开发出多种方法来帮助企业,但这些工具从未应用在安全领域。首先是,我们在安全领域中人士基本上只是口头上说说,并未将其记录在案,当回事。IO 心理学家涉及内容很多,比如:了解你所雇佣的人员,对他们心中是怎么对待这份工作的有一个实际概念。如果你将这一方面真正落实到位的话,更新率肯定会直线 下降的。
刚开始时,我们只是更多考虑到是如何将IO心理学应用到漏洞评估中。毕竟它总得来说是还一个公开领域。我们所考虑的一个问题 是应用于货物安全的防篡改标志封印。经验告诉我们,有些人在识别封印是否已被人擅自动过这方面极为擅长,有些则并不。不过,对于这其中原因,我们并不了 解。我们要做的一件事,就是对那些表现好的人加以研究,了解他们工作步骤以及他们有什么特点能使他们有如此好的表现。
眼动研究(eye-tracking study)是我们想做的其中一个研究,不过我们还未找到资助人。我们想要观察一下封印检查员所查看的内容。通过让他们戴上类似小眼镜类工具,这工具会告 诉我们这些检查员的眼睛正在查看的内容。一直以来,这种技术是用于判断电视广告;广告商用这一工具观察看广告的观众,看看他们是在看广告中产品还是在看背 景中漂亮女孩。而我们想要应用这种技术,来了解那些能有效地发现已被人擅自动过的封印的人员在查看封印时所观察的地方。这样一来,也许我们就能为人们提供 更好的培训,也许我们还能进行一次筛选练习来发现谁在这一方面真正擅长。
Scalet: 您和您的小组已创建了一个漏洞披露索引(Vulnerability Disclosure Index,VDI),从中有标明一旦真正发现一个漏洞所要采取的措施,对吗?
发现漏洞后紧随的问题之一是,要明确这一发现你要告诉哪些人?我们所发现漏洞都是要详细告之漏洞评估赞助人。这是无可厚非的,如果他们为这漏洞评估提供 资助,所有发现结果为他们所知也是理所当然的,这并不存在什么问题。不过,我们所评估成果通常拥有更普遍可用性。现在问题在于,你要怎么做呢?一个典型例 子就是,如何骗过全球定位系统(GPS)。每个人都将焦点放在干扰GPS设备上,但这没什么意思,因为GPS接收器知道它未从空中接收到卫星信号。不过, 骗过GPS却是出乎意料的容易。你可将虚假合作信息提供给GPS接收器即可。
Scalet: 不法分子如何使用GPS来谋利?
Roger Johnston: 大量国内网络(比如,用于金融交易的网络)通过GPS卫星信号中实现他们关键的时间同步。如果有人提供了GPS虚假信息,那么网络可在几毫秒就受到冲击, 其潜在后果可能十分严重。有些人可能认为GPS干扰才是问题,不过在我们的观念中GPS欺诈问题要更严重得多,且这一情况还未得到人们的广泛认识。现在, 我们是要讨论一下这个问题吗?我们要将这一问题写入报告?或者我们只是口上说说而已?
一直以来,这类问题都是突发出现的,不过也有相 当直接简单的迹像中,根据这些迹象你就能发现问题所在。如果大量守法公民看起来在了解漏洞方面似乎都不是十分精通,而仅小部分不法分子却精通,那么你可能 必须将发现公之于众。如果这一攻击后果相当明显(我认为GPS欺诈也属此类),不法分子将会想方设法地采取行为。因此,再重申一次,你可能必须将发现公之 于众。而另一方面,如果它是一种并未得到很多人使用的专业安全设备,而大量潜在不法分子可能想要攻击它,那么也许你并不必公开这一漏洞,你只需到找出它所 针对的终端用户,向他们指明潜在问题即可。漏洞泄露索引(VDI)是一种半定量尝试,会就你是否应披露这一漏洞、以何种方式公开以及你应披露多少细节会为 你提供一些指导。
Scalet: 漏洞披露在IT安全领域是特别具争议性的问题[请参阅 "The Chilling Effect."] 你的VDI索引可应用于IT漏洞吗?
Roger Johnston: 我的索引真正针对的是物理安全。IT则属于完全不同领域。让我们假设,你正在玩家用电脑进突然发现了一个非常严重的软件漏洞。虽有不同观点,不过多数人赞 成你采取以下行动:联系软件公司,并告之"我认为这里存在一个问题",为他们提供一个修复这一漏洞的机会。如果过了一段时间,他们仅在是进行讨论而未采取 任何措施,那么可能你就必须将这一问题公开。一旦他们修复这一问题,也就不会有大影响了。毕竟,每个购买这一产品的人通常会检查一下产品是否有升级功能。
而物理安全则并不是如此。在许多情况下,物理安全系统都是来自于许多不同供应商,而且极可能还是由第三方供应商组装而成。通常,没有一家公司对一个潜在 漏洞进行投诉。此外,修复方式不只是一些软件下载。修复方式可能需服务人员出动,更换一些零件,因此它可能是非常昂贵且具破坏性的。在你让每个人全注意到 一个物理安全漏洞时,你可能先要先考虑一下这种方式对于修复这一问题实用吗?
Scalet: 你曾写道:当漏洞评估得到特许时,赞助人可拥有发现成果,但这也未必就表示漏洞评估员不用负责警告他人目前有一个明显的危险存在。这点可能让那些想要雇人进行漏洞评估的CSO在心里有些担心害怕,从而想要一纸合约来确保评估结果依然为私人所有。
Roger Johnston: 举个典型例子吧。假设一家公司正考虑采用一款商用安全设备。让我们假设我们对这款设备做一次漏洞评估,可如果你用一纸合约就可横加干涉,那么评估结果将起 不到什么大作用。我们知道商用设备一直被用于包括企业安全、美国国家安全以及核保障在内的各种应用中。我们相信我们负有道义上的责任,应告诉人们可能存在 的问题。对于我们的这种处理方式,与我们合作过的大多数公司都未有任何异议;在一些案例中,甚至有一些企业是鼓励我们这样做的。
