未来企业数据安全威胁及保护方案
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联合创始人,RISELab专注于构建可提供安全可解释决策的实时智能系统。 Popa还是PreVeil的联合创始人兼首席技术官,PreVeil是一家为电子邮件和文件共享提供企业级端到端加密的安全初创公司。同时,Popa还拥有麻省理工学院的四个学位、两项研究奖学金并获得各种奖项和荣誉,Popa在网络安全领域有着很高的知名度。
在本次采访中,Popa探讨了数据安全的未来以及安全保护方面的挑战。
现在企业数据安全面临的最大威胁是什么?
Raluca Ada Popa:最大的威胁仍然是典型的威胁:身份验证、低强度密码以及人们通常会打开垃圾邮件中附件。其实很多这些威胁可通过良好安全做法来解决,例如双因素身份验证。然而,其中最大的威胁之一来自于这样的事实,即管理员是攻击中心点。管理员经常可以访问企业内很多账户和大量数据,如果攻击者窃取他们的凭证,则可访问非常多数据。
您认为未来数据安全面临哪些威胁?
从长远来看,我们必须改变我们对身份的看法。另外,还有恶意软件的问题,即网络钓鱼以及附带恶意软件的垃圾邮件。这些是长期威胁,除非我们重新构建发送电子邮件的方式。你的电子邮件关联你的名字并不够安全,为了重新架构,你必须拥有加密身份-数字签名或公钥。电子邮件必须结合加密密钥,以避免被欺骗或网络钓鱼攻击。
另一个重大威胁是,软件很复杂,并且总是存在漏洞和攻击,从长远来看,这可能会持续存在,因为软件只会变得更加复杂。但是在服务器端,如果你有端到端的加密数据,你则不必担心漏洞问题,因为攻击者只能窃取加密数据。
是否还有其他网络威胁?
Popa:例如Meltdown和Spectre这样的边信道攻击。你的机器、你的操作系统,本应该把好程序与坏程序隔离开来。边信道攻击的前提是,你计算机上运行的任何进程都可以从另一个进程获取数据。计算机有这种边信道(信息的间接链接),而这些最近的攻击表明,任意程序都可从你机器上另一程序获取信息。这种架构存在根本缺陷;机器的这种微架构是有问题的。
然而,这是非常难以改变的情况,因为硬件变化非常缓慢,这意味着这会在很长一段时间都会是个问题。虽然针对Spectre和Meltdown这样的边信道攻击已经发布修补程序,但修补程序只是在修复小漏洞而不是解决根本问题,攻击者可很快制造出Spectre或Meltdown变体,以躲避修复程序并制造更大攻击事故。
对于未来数据安全保护,您认为会有哪些策略?
Popa:首先是端到端加密。这样的话,数据会在服务器端加密,你不必担心服务器运行的情况。这可避免对服务器以及服务器可能出现的问题的担忧。
另外是分散的安全和分散的分类账。这里有两个分散安全的例子:一个是证书透明度,另一个是密钥透明度。通过证书和密钥,你不再需要信任服务器,因为证书和密钥是以分布式方式发布。由于这种分散性,当任一台服务器受到攻击时,仍然可确保系统安全性。攻击者必须攻击很多机器才能影响到整个系统。这也是来自区块链的新趋势。
为什么攻击者似乎总是领先一步?
Popa:他们往往领先一步,因为他们只需要找到一个漏洞,而防御则需要保护所有漏洞。防御必须考虑所有可能性,而当攻击者发起攻击时,只需找到最薄弱的环节即可。因此,防御比攻击要困难得多。
您认为我们会看到事情变得更好或更糟吗?我们是否会目睹灾难性网络安全事件?
Popa:我们已经在网络安全方面取得巨大进步,包括端到端加密、分散式分类账以及现代加密工具等。我认为,更先进的密码学开始发挥作用,这可让我们多一些信心,但这并不是说在部署所有这些先进技术前不会发生灾难性攻击。我们可能会看到一些灾难性网络攻击,不过,我不认为这意味着我们将无法使用我们所有的计算机。我们仍然能够恢复和使用计算系统,但也许之后我们会以不同方式使用它们,而不是那么粗心地使用它们。 (编辑:ASP站长网) |