为何巨额网络安全支出投入还不够？

据AV-TEST研究所称，每天发现超过450,000 个新的恶意应用程序，这表明恶意软件传播的速度非常快。

尽管在网络安全方面投入了大量资金，为什么恶意软件和黑客仍然无处不在？因为我们无法阻止那些我们无法看到或识别的东西。借助人工智能驱动的深度伪造技术，攻击者可以冒充任何人的身份，创造出令人信服的冒充行为，并成功发动攻击。我们无法发现他们的真实身份，这反而为威胁行为者提供了便利，使他们能够轻易逃脱逮捕。 

无处不在的可信生态系统

抵御黑客风暴的关键在于信任的核心原则：你所接触的个人或公司必须与其声称的身份相符，并采取相应的行动。建立高度信任的环境可以极大地阻止黑客得逞。以下是定义一个普遍可信的生态系统的要素：

可信身份：建立交互方之间信任的一个关键要素是确保所有参与者的身份都经过验证和认证（如果需要），并得到通信流中所有各方的同意。

身份可以分为三种类型：真实身份（Real ID），即与人类身份绑定的真实身份，经过严格身份验证和保障。伪身份（Pseudo Identity），即伪匿名，就像一个虚构的标签。例如，一个电子邮件地址不一定是某人的真实姓名（例如，  [email protected] 、  [email protected] ），也不一定能被严格验证其所属身份。我可以编造一个虚假的电子邮件地址，声称自己是比尔·盖茨（[email protected] ），没有任何身份机制可以阻止我。如今，互联网上的大多数电子邮件地址和登录名都属于这种身份。

当一个人无法通过一个固定的身份标签来追踪时，就会尝试匿名。

在基于身份的信任关系中，交互方之间的每个关系都涉及不同的信任程度：

• 最高级别的信任可以由民族国家来执行，这需要最高级别的保证控制，例如需要真实身份证件的现场验证。
• 商业渠道的中等信任度要求允许伪身份的中等保证控制。
• 弱信任可能会对匿名尝试造成影响。例如，在网站上注册账户，通过发送电子邮件即可验证身份。

可信设备：对于一个普遍的、选择性信任的生态系统，组织需要的不仅仅是可信用户ID。黑客可以入侵用户的设备并窃取可信用户ID，这使得基于身份的信任显得力不从心。经过信任验证的设备可以确保设备安全可靠。但另一方面，窃取用户身份和密码的黑客也可以伪造用户的设备。因此，确认设备的身份——无论它是否是同一设备——变得至关重要。

确保设备安全可信的最佳方法是使用由制造商设计并编程到其TPM（安全区域）芯片中的设备身份。该芯片装载了专属加密密钥，该密钥被安全存储，绝不会泄露到芯片外部。通过API请求时，芯片可以提供加密证明或证书，以证明设备软件和硬件的完整性。 

可信操作系统：除了可信身份和设备之外，企业还需要可信操作系统。TPM 芯片对于实现操作系统安全启动至关重要。启动时，该芯片会测量引导加载程序和固件的完整性，并将其与芯片中存储的已知可信值进行比较。只有测量值匹配时，系统才会继续启动，从而保护系统免受 rootkit 和启动时恶意软件等恶意攻击。

在虚拟环境中，虚拟机管理程序通过将虚拟机 (VM) 彼此隔离并与主机操作系统隔离来保护操作系统。这可以防止虚拟机感染病毒后传播给其他虚拟机。虚拟机管理程序还使用强制执行的代码完整性机制来保护操作系统内核的完整性，该机制会在执行前验证所有内核代码，从而保护内核免受恶意软件和未经授权的入侵。

可信应用程序：企业可以通过确保满足一系列不同的安全控制措施（包括操作系统已全面修补）来确保应用程序的普遍可信。补丁程序可以修复操作系统中已知的安全漏洞，从而提供安全的应用程序环境。

更新应用程序可通过更新其全局唯一标识符来增强保护。该标识符经过数字签名和安全编码。每次更新后，该标识符都保持唯一，从而防止滥用。

许多现代应用程序都具有自我完整性检查功能，应用程序会验证其自身代码，以确保其自开发人员签名以来未被更改。如果发生未经授权的修改或篡改，应用程序可以自行修复，从而防止代码注入等攻击。

安全绑定的 Cookie 是增强 Web 应用程序安全性的另一种方法。存储在浏览器中的 Cookie 与提交它们的计算机绑定。即使攻击者或恶意软件窃取了它们，也无法在其他地方重复使用，从而防止跨脚本攻击和跨站点请求伪造攻击。

可信操作：可信操作对于确保安全且普遍的信任环境至关重要。不同的操作需要不同级别的身份验证，从而生成不同的信任级别，这些级别由应用程序供应商或服务提供商定义。被认为高风险的操作需要更严格的身份验证，也称为动态身份验证。

纳入动态身份验证来确定用户、设备和操作的可信度是零信任安全概念的一部分，该概念假定组织内部或外部的任何人都不能默认被信任，并且需要不断验证可信活动以建立普遍的信任。

可信网络：当所有用户、设备、应用程序和系统之间建立信任时，即可创建可信网络。用户和设备必须经过身份验证，并在允许访问网络之前验证其身份。动态信任评估可确保根据上下文和操作持续评估信任。

信任保证服务：此类服务可以是本地的，也可以是全球的。本地信任保证服务与用户交互，允许用户针对特定应用程序、网站和服务选择其身份、角色和属性。它会自动将电子邮件地址、URL、电话号码等信息发送到全球信任保证服务，以验证这些信息过去是否曾被举报为恶意程序。

全球信任保证服务是一项资金充足的、类似 DNS 的全球服务，包含人工和人工智能组件。它拥有全局允许和阻止列表，并根据用户提供的数据和网络安全供应商提供的情报来调查提交的链接和内容。

其他解决方案：

除了上述信任堆栈及其组件之外，组织还可以采取其他一些措施来构建一个普遍可信的生态系统。对开发人员进行安全编码实践培训，并强调在开发阶段主动安全措施比发布后的被动修复更重要，这可以培养生态系统中的安全纪律和信任。定期修补漏洞可以及时修复，从而降低安全漏洞的风险。通过网络钓鱼模拟练习对用户进行培训，可以帮助他们及时识别和报告网络钓鱼攻击。 

没有任何安全系统是万无一失的。然而，普适信任系统可以通过在身份、设备、操作系统、应用程序、操作和网络之间建立信任来强化防御，并防止未经授权的访问。它是保护敏感环境免受不断演变的威胁的理想模型。

原文始发于微信公众号（河南等级保护测评）：为何巨额网络安全支出投入还不够？