多年前就讨论过推出哪种操作系统会影响到今天的企业安全。如今,广为使用的三大操作系统中,有一种确实可以被认为是最安全的。
在保护IT系统安全方面,哪家公司都不吝于投入大量时间、金钱和人力,最小心的公司可能还会设置安全运营中心。防火墙和杀毒软件是标配,投入很多时间监视网络状态查找标志着数据泄露的异常事件也正常,还有入侵检测系统(IDS)、安全信息与事件管理(SIEM)及下一代防火墙(NGFW)……公司企业真的是部署了各种各样层层叠叠的防御措施。
但是,有多少人充分考虑过自身数字运营基石之一的安全状况呢?部署在员工PC上的桌面操作系统,有多少决策者将其安全状况纳入了公司整体安全因素视图?这就催生出了每一个IT人都应该回答的一个问题:哪个操作系统是适合普遍部署的最安全操作系统?
Windows,当前最流行的桌面系统,越来越复杂的工作平台;macOS X,苹果Macintosh电脑采用的 FreeBSD Unix 系操作系统;Linux,衍生自Unix系统的自由操作系统软件,此处包含当前各类Linux发行版及相关类Unix系统。
缘起
企业未对部署在员工机器上的操作系统(OS)进行安全评估的可能原因之一,是这些系统大多是多年前就已购买部署的。回溯够久远的话,所有操作系统都是安全的,因为当时偷数据或装恶意软件之类的黑产都还处于婴儿期。而一旦选定了某种操作系统,就很难再做出改变。IT公司几乎不会想要让分布全球各地的员工都体验一番更换全新OS的阵痛。而且,让用户适应新版本OS可是会遭到抵制的。
不过,需不需要再重新考虑一下呢?这三种主流桌面OS在安全方法上真的差异很大,大到足以抵偿更换OS所带来的麻烦与抵制?
过去几年里,企业IT系统面临的威胁发生了很大改变。攻击愈趋复杂,公众认知中青少年独行侠黑客的形象已经被组织严密且隐蔽的网络犯罪团伙取代,政府支持的黑客军团也携充足计算资源袭来。
很多人都体验过电脑中病毒的感觉。Windows系统的恶意软件和病毒多如牛毛,补丁能打出几个G。Mac机如今也会被宏病毒感染了。网站遭受大规模自动化黑客攻击更是常事。此类恶意软件感染往往一开始并不明显,不到已经深度嵌入系统以致性能明显受损是感知不到的。而且,最令人无奈的一点是,用户往往不是网络罪犯的特定目标,只是被殃及的池鱼——用僵尸网络攻击10个目标的结果往往会是10万台电脑受灾。
操作系统真的重要吗?
往用户主机上部署的操作系统确实对安全状态起着关键作用,但并不是特别可靠的安全保障。一方面,如今的数据泄露更多是攻击者从用户方面下手的结果,而不是直接攻击公司的系统。DEFCON安全大会的调查显示,84%的黑客将社会工程列入其攻击策略。部署安全操作系统是一个重要的开端,但如果没有用户培训,缺乏健壮的防火墙,还不随时保持警惕,那即便是最安全的网络都有可能被入侵。更不用说还有用户下载的软件、扩展、功能、插件等等看似无害实则为恶意软件入侵系统铺平道路的东西了。
无论选择了什么平台,保护系统安全的最佳做法之一,就是确保软件更新恰当且及时。只要有补丁放出,黑客就可以对之实施逆向工程,找出新的漏洞利用在下一波攻击中使用。
另外,别忘了最基本的安全常识:别用root用户,别在服务器上开放来宾账户。教会用户创建真正安全的口令,利用1Password之类工具让用户更方便管理口令,避免用户在不同网站的多个账户上应用同一个口令。
关于IT系统的每一个决策都会影响到公司安全状态,甚至用户使用的操作系统也会对公司安全状态产生影响。
Windows,流行的选择
如果你是安全经理,本文的问题可以换一种说辞:我们抛弃微软Windows会不会更安全点儿?说Windows主导了企业市场都算是低估了微软的统治力。NetMarketShare估测,互联网上88%的计算机都装的是Windows操作系统,其势力范围简直到了惊人的地步。
如果你的系统随大流落入了那88%之列,或许你会注意到微软一直在强化Windows系统的安全,不停重写其操作系统代码库,添加进自有杀毒软件,改进防火墙并实现沙箱架构(沙箱运行的程序无法接触到OS或其他应用的内存空间)。
但是,Windows系统的流行本身就是问题。操作系统的安全很大程度上取决于其用户基数。对恶意软件开发者而言,Windows提供了广阔的试验田,专注在Windows恶意软件开发上可以给他们带来最大的回报。
Windows不受安全界待见的原因很多,其中最主要的原因就是其在消费者中的流行度。市场上预装Windows系统的个人电脑太多,黑客从来都最针对Windows系统。从Melissa到WannaCry,世界上大多数恶意软件的目标都是Windows系统。
macOS X,不公开即安全
如果最流行的OS总是成为黑客的最大标靶,那我们能不能用个不太流行的OS来确保安全呢?这种想法不过是对完全不可取的“不公开即安全”的概念做个重新包装而已。“不公开即安全”的概念认为,将软件内部运行机制保密,是抵御攻击的最佳办法。
macOS过去确实被认为是完全安全的操作系统,几乎没什么安全漏洞,但最近几年我们已经见识到黑客针对macOS开发的漏洞利用程序了。换句话说,攻击者正在开疆拓土,并没有放过Mac王国。
从安全方面看,macOS似乎是更好的选择,但这款操作系统也并非如人们之前认为的那么牢不可破。其优势在于小众产品相对微软巨大攻击面所带来的少许安全。
不过,macOS在安全方面的口碑一直不错,这有部分是因为它不像Windows那么招黑,另一个原因就是苹果公司的安全工作确实做得很好。
Linux,最安全的操作系统
本文标题已经明确昭示了安全操作系统哪家强:Linux是专家们眼中最安全的操作系统。但是,虽然服务器上大多安装Linux操作系统,企业将之部署在桌面电脑上的现象却极少见。
而且,即便已经决定要换成Linux操作系统,也还面临着到底选择哪个发行版的问题。用户当然希望能面对自己熟悉的界面,但企业需要的是更安全的OS。
Linux无疑具备最安全操作系统的潜力,但需要用户也提升使用水平才能发挥出该系统的安全特性。
主打安全的Linux发行版包括基于Debian的 Parrot Linux,这是一个自带各种安全相关工具的Linux发行版。
Linux被认为是最安全的操作系统,主要原因之一就是它是开源的。开发者能读取并评论各自的代码看起来好像是安全噩梦,但实际上却正是Linux如此安全的重要因素,因为任何人都能审查代码,就能确保代码里没有任何漏洞或后门——所谓众人之眼。
信息安全界人士都知道,Linux和基于Unix的操作系统没有多少可利用的安全漏洞。Linux源码要经过技术社区的审阅,在众人的反复筛查和持续监管之下,漏洞和威胁更少是必然的结果。
虽然有点违反直觉,但几十上百位程序员通读该操作系统的每一行代码,确实能杜绝漏洞流出的机会,让Linux更健壮。众人之眼与Linux的安全性有着莫大关系。微软或许会标榜其巨资聘请的庞大技术团队,但该团队显然不能与Linux的全球用户-开发者基础相提并论。安全就出自这些分布世界各地的无数双眼睛。
让Linux成为专家们首选安全OS的另一个原因,是其更好的用户权限模型:Windows用户基本上默认拥有管理员权限,也就是说他们能访问系统上的所有东西。Linux则完全相反,对“root”权限限制非常严格。
Linux发行版的多样性也为该操作系统提供了比Windows更好的抗攻击能力。可用的Linux发行版实在太多,其中有些就是专门突出安全特性的,比如备受斯诺登认可的 Qubes OS,以及直接从U盘或其他类似外部设备启动的 Tails Linux。
写在最后
惯性是一股很强大的势力。虽然专家们都认为Linux才是桌面电脑的安全首选,但依然没有出现抛弃Windows和Mac而转向Linux的风潮。尽管如此,Linux采用量的一点点增加,都能推动整个社区迈向更安全的计算,因为市场份额的减少无疑会引起微软和苹果的注意。也就是说,如果有足够多的用户选择Linux作为其桌面电脑的操作系统,Windows和Mac也极有可能成为更安全的平台。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。