計算機安全的未來是機器vs機器

Roger Grimes

越來越多思考計算機安全的人，包括我自己在內(nèi)都認為，在不久的未來，主要的計算機安全將變成機器vs機器——好機器人對抗壞機器人，完全自動化。我們目前幾乎已經(jīng)進入了這一階段。

不知是幸運還是不幸，我并不認為我們要經(jīng)歷很長的時間才能實現(xiàn)純自動化防御。

安全防御的現(xiàn)狀

我們的許多計算機安全防御已經(jīng)實現(xiàn)了自動化。從固件啟動到操作系統(tǒng)在安全硬件強制的虛擬邊界中運行App，操作系統(tǒng)被更為安全地配置。如果其中的某一項處于默認狀態(tài)，那么我們的操作系統(tǒng)將會自動更新，讓OS廠商已經(jīng)解決的已知弱點最小化。

大多數(shù)操作系統(tǒng)都帶有初步列出了“壞App”和“壞數(shù)字證書”的黑名單，它們不會運行這些黑名單上的“壞App”和“壞數(shù)字證書”，同時這些操作系統(tǒng)還擁有一直保持開啟狀態(tài)且配置有“默認拒絕執(zhí)行”規(guī)則的防火墻。此外，每個操作系統(tǒng)還擁有內(nèi)置的可自動更新的反惡意軟件程序，用戶或管理員執(zhí)行的首批管理任務(wù)就是安裝它們。當新的惡意軟件程序被發(fā)布出來，大部分反惡意軟件程序會在24小時內(nèi)會獲得簽名更新。

大多數(shù)企業(yè)都在運行或訂購了事件日志信息管理服務(wù)（如，安全信息事件監(jiān)測SIEM），它們會匯總安全事件并進行報告，同時自動采取正確的措施（如，自我修復）。隨著時間的發(fā)展，這些保護服務(wù)將會變得更好更精準。

安全防御的未來

操作系統(tǒng)廠商正努力實現(xiàn)在不久的將來提供更為自動化的安全防護。對于許多企業(yè)管理員來說最艱巨的任務(wù)之一是確保他們管理的所有計算機和設(shè)備都被安全配置且長期處于安全狀態(tài)。許多企業(yè)已經(jīng)有可以詳細列出并控制系統(tǒng)安全配置設(shè)置的軟件程序。目前的一大變化是操作系統(tǒng)廠商將讓值得信任的第三方更為容易地配置所有人的計算機，因為他們對當前的安全環(huán)境有著最新且更為精準的理解。

客戶將可訂購可充分管理設(shè)備安全配置的云服務(wù)。目前市場上已經(jīng)出現(xiàn)了相關(guān)的云服務(wù)，但是大部分服務(wù)并不精細，許多服務(wù)僅管理少量的設(shè)置。這種情況目前正在迅速改觀。不久的將來將會有大量精細的配置服務(wù)可供用戶選擇，而這些服務(wù)則可提供無數(shù)種配置選項。客戶可能不再需要做大量的安全決策，因為這些工作將外包給管理商。

另一個變化是基于當前安全環(huán)境的安全配置將會得到更為及時的更新。目前，負責安全配置的人要花上數(shù)周的時間對新出現(xiàn)的威脅做出響應(yīng)。未來，一旦新的安全威脅被發(fā)現(xiàn)，必要的防御配置調(diào)整將在數(shù)小時內(nèi)被推送。如果發(fā)現(xiàn)新的勒索軟件或高級持續(xù)性威脅（APT），它們能夠在公司受到傷害前在數(shù)小時內(nèi)消除威脅。它們的工作不僅僅是在反惡意軟件簽名層而是在各個環(huán)節(jié)（如防火墻、黑名單等）都消除這些威脅。

好的人工智能機器人將巡查用戶的網(wǎng)絡(luò)檢測漏洞和錯誤配置的計算機。如果設(shè)備存在隱患，那么它們會進行自我修復。如果需要（并不是因為在云端被保護的原因），它們還將會備份用戶的數(shù)據(jù)，并將操作系統(tǒng)恢復至最近一次的安全備份狀態(tài)。

未來的斗爭：黑客vs集中式安全服務(wù)

由于我們大量的計算基礎(chǔ)設(shè)施將被消息靈通的云決策工具保護和控制，今后的惡意軟件和黑客如果要想進行擴散將被迫首先要與集中式服務(wù)對抗。他們可能有也會訂購相同的服務(wù)并從中尋找漏洞或是訂購一個帶有多種服務(wù)功能且能夠?qū)ふ液统鍪廴觞c的惡意服務(wù)，這非常像目前一些與VirusTotal精確性進行對抗的服務(wù)。

未來的防御與攻擊場景中將完全是機器與機器的對抗。我們未來的防御將更為集中化、協(xié)調(diào)化和自動化。黑客必須要做同樣的事情才能占上風。如果他們的自動化程度沒有達到或是超過防御服務(wù)，他們將再也無法得逞。

黑客和惡意軟件將與防御者一樣轉(zhuǎn)向自動化和人工智能。如果防御者在幾分鐘前成功阻止了惡意行為，那么惡意的自動化服務(wù)將必須迅速做出響應(yīng)。人工智更勝一籌的一方將會最終勝出。

人類永遠無法置身于這場斗爭之外

自從有了計算機，如社交工程和網(wǎng)絡(luò)釣魚等人為因素一直是主要的計算機威脅。目前已經(jīng)證明任何軟件或硬件解決方案都難以阻止人做出糟糕的安全決策。 如果容易的話，我們早在幾十年前就打敗了這種類型的威脅。事實恰恰相反，我們還要持續(xù)不斷地對終端用戶進行安全培訓，這一過程可能要永遠持續(xù)下去。

天網(wǎng)會具備自我意識嗎？

與埃隆·馬斯克不同，我并不擔心人工智能和自動化將會對人類造成巨大的威脅。誠然，隨著我們在安全和配置上越來越集中化，一個失誤就會讓大量的計算機癱瘓，數(shù)量要遠超以往。我們已經(jīng)看到了一些類似的實例，如一個大型的反惡意軟件掃描工具錯誤地移除了一個關(guān)鍵的操作系統(tǒng)文件。我們只是偶爾遇到這種問題，它們也只是造成了臨時性中斷，但是我們一直在從中汲取教訓并做出改進。從長遠看，對于我們所獲得的安全保護回報，偶爾的失誤是值得的。

重要的是要認識到更為集中的計算機安全解決方案可能將成為未來計算機安全和決策的一部分。就像電子郵件和應(yīng)用都轉(zhuǎn)移至云端一樣，我們的計算機安全也將向云端轉(zhuǎn)移。