越来越多的计算机安全思考者认为,操作系统层级和云服务层面上的安全自动化改进将促使黑客做出相应的反应。在不远的将来,计算机安全将基本上是机器之间的对抗——完全自动化的好的机器主机vs坏的机器主机大战。现在,我们基本上已经走到这一场景的关口。
但不幸的是,我们可能在很长一段时间里并不能达到纯自动化防御的境界。
如今的安全防御
目前的计算机安全防御已经有很大一部分完全自动化了。操作系统在出厂前就已经经过了安全配置,从固件启动到操作系统在安全硬件驱动的虚拟边界内运行应用都比以前更为安全。如果保持默认状态,操作系统会自动更新,尽量堵住操作系统厂商已经识别出来的已知漏洞。
大多数操作系统都有基本的“坏应用”和“坏数字证书”黑名单,还有总是开启的按“默认拒绝”规则配置好的防火墙。每个操作系统要么内置了自更新的反恶意软件程序,要么用户或管理员的第一个管理任务就是给它装上一个。只要有新恶意软件程序披露,大多数反恶意软件程序都会在24小时内将其特征码加入检测库中。
大部分企业要么自己运营有事件日志消息管理服务(比如安全信息与事件监视或SIEM),要么订阅了此类服务,能够聚合并报告安全事件,还可能自动执行纠正动作(比如“自愈”)。这些防护性服务都在变得更好更有效率。
未来的安全防御
未来,操作系统供应商会提供更加自动化的安全。企业IT管理员最头疼的一件事,就是确保辖下所有计算机和设备都经过了安全配置,且能长期保持此安全配置状态。大多数企业已经部署了可以清点并控制系统安全配置设置的软件程序。但操作系统供应商们还想让更了解当前安全态势的可信第三方能够更容易地配置大家的电脑。
客户可以订阅基于云的服务,将自家设备的安全配置工作完全托管给此类服务。这种服务如今已经出现了,但它们还不甚高级,很多都只能管理几十个设置而已。不过,这一局面正快速改变,不远的将来,客户将有上百种带大量配置选项的高级配置服务可选。公司安全团队可能无需做出太多安全决策,让安全托管供应商来做就可以了。
另一个变化将是更为及时的基于当前安全状况的安全配置更新。当今,安全配置经理需要花费数周时间来响应新威胁。未来,新安全威胁被发现时,几个小时之内,必要的防御配置调整就会被推出。如果发现新勒索软件或高级持续性威胁(APT),在给公司造成伤害之前就会被扑灭,而且不仅仅是在反恶意软件签名级别,而是在所有需要扑灭威胁的地方都将之歼灭(比如防火墙或黑名单)。
AI驱动的好僵尸主机会逡巡公司网络,找出状态异常或错误配置的主机。如果设备被黑,则可以期待它能自愈。如果需要的话,它还会备份你的数据,然后将操作系统恢复到最近的已知安全副本。
未来网络攻防战:黑客 VS 集中式安全服务
因为太多计算基础设施将被消息灵通的云端决策者保护并控制,未来的恶意软件和黑客如果想要扩散,就不得不先搞定这些集中式服务。他们可能会订阅同样的服务,寻找其中漏洞,或者订阅挂靠多个服务的恶意服务,寻找并售卖其中弱点,就像如今某些服务对抗VirusTotal的精准度一样。
未来的网络攻防战会特别像是机器vs机器。未来的防御将更集中,更协同,更加自动化。黑客也要做相同的改变才能保持领先。如果黑客不自动化到相同或更甚的程度,他们将无法造成与今天类似的伤害。
黑客会像防御者一样转向自动化和AI。防御者刚刚封禁几分钟还能成功的恶意威胁,恶意自动化服务就会快速做出响应。谁的AI更强,谁就能赢。
人的因素永远存在
计算机出现伊始,基于人的入侵方法就一直是最首要的计算机威胁,比如社会工程和网络钓鱼。事实已经证明,任何软件或硬件解决方案都难以阻止人类做出糟糕的安全决策。如果防人简单,我们早几十年前就已经击败这些威胁了。然而,事实摆在眼前,我们将继续不同程度地依赖终端用户教育,而且可能会永远依赖。
“天网”会有自我意识吗?
马斯克觉得AI和自动化会对人类造成巨大威胁。但真是这样吗?诚然,随着我们的安全和配置越来越集中化,一个小失误就能搞摊比以前多得多的计算机。大型反恶意软件扫描器误删除重要操作系统文件的案例并不是没有出现过。这种误伤时不时就会出现,会导致暂时的中断,而我们不断汲取教训再出发。长期来看,偶尔的失误反而有助于我们强化安全防护。
必须认识到,更大型更集中化的计算机安全解决方案可能就是未来计算机安全工作和决策的一部分。正如电子邮件和应用程序挪到云端一样,很快,计算机安全也要迁移到云端了。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。