杰森的香港
2011年12月15日
评论
我已经说过一段时间了,现在人们对计算机安全的日常需求和计算机安全社区(包括研究和工业)实际在做的工作之间存在着很大的不匹配。
这份报告提出了许多令人着迷的发现。例如:
- 很少有攻击实际上使用零日漏洞。微软的恶意软件删除工具没有发现使用零日攻击的主要漏洞系列。微软的恶意软件保护中心也发现,在所有使用的漏洞中,最多0.37%使用零日攻击。在这里,零日被定义为在攻击发生时供应商没有发布安全更新的漏洞。
- 44.8%的漏洞需要用户采取某种行动,例如点击链接或被骗安装恶意软件
- 检测到的恶意软件中有43.2%利用了Windows中的AutoRun功能
微软的报告之所以重要,是因为它提供了软件漏洞状态的实际数据,这让我们了解到作为一个社区,我们应该在哪些方面投入资源。举个具体的例子,如果我们能教人们避免明显的不良网站和不良软件,如果AutoRun被修复或关闭,我们就可以避免超过80%的恶意软件攻击。
然而,目前关于漏洞的数据和正在进行的研究以及正在提供的产品之间存在很大的不匹配。例如,与ACM数字图书馆中列出的500多篇关于零日攻击的研究论文相比,在用户交互方面发表的关于保护人们免受漏洞伤害的研究论文最多只有少数。
这不仅仅是计算机研究领域的不匹配。只要去参加任何行业贸易展,试着数一数真正关注终端用户的公司有多少。不,不是网络管理员或软件开发人员,我指的是实际的最终用户。你知道的,
试图使用电脑来完成一个目标的人,而不是作为实现该目标的一种手段,如会计、教师、律师、警察、秘书、管理员等。上次我去参加RSA会议时,我想我的数字是两个(尽管说实话,我可能被相扑手、蝎子和NSA管理的巨型城堡分散了注意力)。
现在,我不想低估计算机安全研究和工业产品中流行主题的非常严重的风险。是的,我们仍然需要防止零日攻击和中间人攻击,我们仍然需要更强的加密技术和更好的虚拟机。
我在这里的主要观点是,攻击者已经迅速地将他们的技术发展到主要针对人类的漏洞,而研究和工业还没有迅速适应。要使计算机安全在实践中真正取得成功,必须认真转变思维,将键盘后面的人积极纳入整个系统的一部分。
没有发现记录