安全专家很容易看到各种围绕高级持续性威胁和不断变化的攻击者的讨论,特别是在RSA大会上。对于战斗在网络安全第一线的人而言,有时候他们的工作很像是从泰坦尼克号移除水桶,心有余而力不足。
微软可靠计算企业副总裁Scott Charney在周二的主题演讲中,回顾了那些前线安全专家所取得的成就,并提出了很少能在RSA听到的观点:信息安全的未来一片光明。
为了证明他的乐观是基于事实的,Charney讨论了安全行业的最新突破,例如移植安全性到硬件中。他指出,统一可扩展固件接口(UEFI)等技术让攻击者更难以安装rootkit和其他恶意软件。“我们现在有能力对Windows还是Linux进行受信启动和保守启动,”Charney表示,“这意味着,作为一个实际问题,我们能够以此为基础,以更夸张的方式思考机器的健康。”
安全开发生命周期(SDL)是Charney认为取得了很大进展的另一个领域。EMC、思科和Adobe等公司已经采用了SDL做法,在其软件中加入SDL。他还特别指出,微软将这些概念传播给其36000名工程师。这些努力受到市场的推动,因为越来越多的供应商和客户开始将安全开发囊括在合同中。Charney表示:“当你看到市场开始要求安全开发,你就到了一个拐点,未来将变得不同。”
Charney还讨论了安全行业面临的挑战,包括云计算服务和移动设备。这些技术领域带来复杂的安全问题,但Charney仍然更关注这些问题对安全潜在的积极影响,例如,应用商店模式(特别是苹果的“围墙花园”)为解决了部署安全和老旧的补丁问题。“我们需要用户安装产品的最新版本,保持修复和更新,”Charney表示,“在云服务模式和应用商店模式中,很容易管理更新和让人们更新最新版本。”
他还强调,需要各个国家和政府的努力来帮助解决网络安全领域一些迫在眉睫的问题,包括网络犯罪和网络战争。美国总统奥巴马最新的网络安全执行秩序和EU网络安全指令都是这方面积极的进展,不过展望未来,各个国家仍然需要建立更规范的流程来解决这些问题。
与其演讲开头谈论的挑战一样,Charney最后以“信心”结束演讲,这些问题都是可以解决的。“我这并不是妄想,我并不是主张这个世界是安全的,我的乐观是针对未来安全状况,我很乐观,通过在座各位的努力,我们能够转移到一个更安全的世界。”