迈克菲 CTO：Hold 住 迎面而来 的安全威胁

作者： McAfee 风险与合 规 业务部 CTO ，Stuart McClure

近期 我很荣幸地在 RSA 2012 大会上进行了主题演讲。本届 大会的主题是 “ 密码如同利刃 ” (The Cipher is Mightier than the Sword)—— 这一主题源于 Great Cipher 的故事 ，该 密码在 1893 年被破解前 已经 使用了近 200 年。对我而言，这则故事的启示是：密码(及 所有 信息)关乎生死，而且没有任何东西是牢不可破的 ， 只是时间问题。

在此前我准备主题演讲时 ， 偶然发现了《罗宾汉》 (Robin Hood) 这部电影。 Russell Crowe( 罗素 · 克洛 ) 扮演的角色回想起父亲的教诲 ： 不断成长 ， 直至羊羔变成狮子。当他问及含义时，父亲回答到： “ 绝不放弃。 ”

不过，我认为这句话的含义更深远。它意味着，人们可以主宰自己的自由，就像皇室(狮子)那样，而且应该不断成长，直至彻底实现。

好莱坞向来能够以小窥大 ， 一直以来 ， 它就通过各种影片警示人们未来的安全挑战。最早是 1968 年出品的影片《富豪之家》(Hot Millions)，该片刻画了一个骗子、贪污犯形象，此人利用保险公司计算机程序员职务之便挪用了数千美金。该片凸显了社会工程学、身份欺骗、内部权限滥用和徇私枉法等问题。

类似的影片还有展现黑客高超技能的《战争游戏》 (War Games)、 让我们担心隐私和网络恐怖主义的《国家公敌》 (Enemy of the State)，以及 《东西战争》 (Jumping Jack Flash) 、《通天神偷》 (Sneakers) 、《黑客帝国》 (The Matrix) 、《虎胆龙威4》 (4Die Hard 4) 等。

实际上，好莱坞编剧们 之所以会 编写 与 安全相关的 “ 影视大餐 ” ，是因为安全方面具备 极大的可看性 ，并且具备一定的真实性。 主要原因有： 第一 ， 大量的机会。如今的设备数以十亿计，而且将在这个十年末攀升至 500 亿，因此，绝不缺少机会。第二 ， 动机。 因为这与 金钱、信息(信息就是力量)、目的(可成为极为强大的动力)或破坏(例如，意在延迟伊朗核计划 的行动 ) 直接相关 。最后 ， 能力。 由于工具和技术的可获取性 以及可以承受的学习成本，使得黑客们能够较为容易得获得成功。

我们已从大型机和集中计算发展到 Windows 、 Apple 和 Linux， 进而发展到实时操作系统和嵌入式系统。互联设备数量正呈爆炸式增长……而且未来注定是嵌入式设备的世界，由此带来的风险可谓前所未有地高。

以一型糖尿病患者为例 ， 约 50% 的患者需要使用胰岛素泵来自动调节血糖。胰岛素泵是微小的嵌入式设备，内置必要的操作系统和芯片，用来控制移动部件，包括以所需速率调整胰岛素的泵。但是，很多人并不知道所有这些设备都是微小的计算机系统……它们 甚至也能 置人于死地。

为了实现让非保护对象更安全的目标 ， 我们必须承认我们的不足。每当我们认为我们的保护已经足够完善时，都会发现在安全防护能力方面仍然差距不小。于是，我们会采取一些 “ 非常规手段 ” 来加以应对 。 然而，签名和黑名单已成为过去时。我们必须迈向白名单的世界——确切而言，是灰色的世界。要能够了解什么是安全的、什么是危险的、什么样的需求亟待解决，让用户来决定我们的声誉。

我们需要更深层次的安全保护。我们生活在操作系统、应用程序的世界里 ， 我们已经进入了虚拟世界。但威胁并不止于此处，它们更加深入地渗透到了 BIOS、固件和辅助芯片中。这里正是我们的用武之地，有太多的领域等待我们挖掘，如安全管理、设备完整性(安全引导)、身份(确保使用键盘的人是设备所有者)、隐私(保护个人信息)和弹性(发生事故时快速恢复)。因此，新一代安全将以 “ 控制 ” 为核心——控制权限、控制执行、控制恢复。

2012 年 ， 我们将看到各类攻击相对 2011 年会有增无减。我相信，一些攻击可能是您已想到的，而一些攻击可能是您始料未及的。无论何种攻击，请记住，您是它们“命运”的主宰者。绝不放弃 ， 绝不要忘记这条教义 —— 不断成长 ， 直至羊羔变成狮子。