10 .安全技术注定要被扔进垃圾箱

系统缺陷和迅速变化的威胁环境给当今许多可信赖的安全技术带来了厄运

以前 1 2 第二页

第2页共2页

这并不是说我们不应该为杀毒软件供应商喝彩。他们已经做了一项了不起的工作，尽管几率微乎其微。我想不出有哪个部门不得不自1980年代末以来适应这种势不可当的数字进步和技术进步，当时只有几十种病毒可以检测。

但是真正能杀死反病毒扫描器的并不是大量的恶意软件。白名单。现在，普通电脑可以运行你安装的任何程序。这就是为什么恶意软件无处不在。但计算机和操作系统制造商正开始为了客户的安全而重新设定“运行任何东西”的模式——这是一种与反病毒程序相对立的运动，它允许所有程序不受阻碍地运行，除了包含已知的5亿多个反病毒签名之一的程序。“默认运行，block by exception”让位于“block by default, allow by exception”。

当然，电脑早就有了白名单程序，也就是应用程序控制程序。我回顾一些比较受欢迎的产品早在2009年。问题:大多数人不使用白名单，即使它是内建的。最大的障碍?担心如果用户不愿意安装任何他们想要的东西，他们会做什么，或者担心管理方面的头疼，即必须批准用户系统上可以运行的每个程序。

但是恶意软件和黑客正变得越来越普遍和糟糕，供应商通过默认启用白名单来应对。三年前，苹果的OS X系统推出了一个近似版本的默认白名单看门人。iOS设备有过近的白名单中，他们可以运行从App Store唯一批准的应用程序要长得多（除非该设备越狱）。一些恶意程序已经被苹果下滑，但过程中一直非常成功地阻止，通常遵循流行的操作系统和程序的大量涌入。

通过软件限制政策和AppLocker，微软早就有了类似的机制，但在Windows 10中会有更强大的推动力DeviceGuard。微软的Windows商店也提供与苹果的应用程序商店相同的保护。虽然微软在默认情况下不会启用DeviceGuard或仅支持Windows store的应用程序，但这些功能已经存在，而且比以前更容易使用。

一旦白名单成为大多数流行操作系统的默认设置，恶意软件和反病毒扫描器的游戏就结束了。我也不会错过。

注定安全技术第7号：反垃圾邮件过滤器

垃圾邮件仍然占互联网电子邮件的一半以上。你可能不会再注意到这一点了，多亏了反垃圾邮件过滤器，它已经达到了防病毒供应商只能声称提供的精确度水平。然而，垃圾邮件散布者每天仍在吐出数十亿条不受欢迎的信息。最终，只有两件事能阻止它们:通用的、普遍的、高保障的认证和更有凝聚力的国际法。

垃圾邮件散布者仍然存在，主要是因为我们不能轻易地抓住他们。但随着互联网的成熟，无处不在的匿名将被无处不在的高安全身份所取代。这时，当有人向你发送消息，声称有一袋钱要寄给你时，你就可以确信他们就是他们所说的那个人。

只有当所有用户都需要采用双因素(或更高)认证来验证其身份时，才能建立高安全性身份，然后是身份保证的计算机和网络。发送方和接收方之间的每一个齿轮都将具有更高的可靠性。这种可靠性的一部分将由普及的HTTPS(上面讨论过)提供，但最终在身份验证的每个阶段都需要额外的机制，以确保当我说我是某人时，我就是那个人。

今天，几乎每个人都可以声称自己是别人，而且没有通用的方法来验证这个人的说法。这将会改变。我们所依赖的几乎所有其他关键基础设施——交通、电力等等——都需要这种保障。现在的互联网可能是蛮荒的西部，但互联网作为基础设施的日益重要的本质实际上确保了它最终将向身份保证的方向发展。

与此同时，渗透在几乎所有网络犯罪起诉中的国际边界问题可能在不久的将来得到解决。目前，许多主要国家不接受其他国家发出的证据或授权令，这使得逮捕垃圾邮件发送者(和其他恶意行为者)几乎不可能。你可以收集所有你喜欢的证据，但是如果攻击者的国家不执行搜查令，你的案子就完了。

然而，随着互联网的成熟，那些不帮助找出互联网最大罪犯的国家将受到惩罚。他们可能会被列入黑名单。事实上，有些人已经这么做了。例如，许多公司和网站拒绝所有来自中国的流量，不管它是否合法。正如上文所述，一旦我们能够识别出犯罪分子和他们的母国，这些母国将被迫做出反应或受到惩罚。

垃圾邮件发送者的鼎盛时期已经过去了，他们的垃圾邮件会到达你的收件箱。无处不在的身份认同和国际法的变化将会终结垃圾邮件——以及打击垃圾邮件所必需的安全技术。

注定要失败的安全技术8:反dos保护

值得庆幸的是，上面提到的将是死亡一样普遍认同的保护丧钟拒绝服务（DoS）攻击，并已出现平息他们的技术。

如今，任何人都可以推出免费的互联网工具，让网站充斥着数十亿个数据包。大多数操作系统都有内置的反dos攻击保护，甚至当你的网站受到大量虚假流量的攻击时，十几家供应商也能保护你的网站。但是，失去普遍的匿名性将阻止所有DoS流量的恶意发送者。一旦我们能认出他们，我们就能逮捕他们。

这么想吧:早在20世纪20年代，有很多富有而著名的银行劫匪。银行最终加强了他们的保护，警察也更善于识别和逮捕他们。劫匪仍然抢劫银行，但他们很少致富，而且他们几乎总是会被抓住，特别是当他们坚持抢劫更多银行的时候。同样的事情也会发生在DoS发送者身上。一旦我们能很快地识别出它们，它们作为社会中烦人的元素就会越快地消失。

命中注定的安全技术9:大事件日志

计算机安全事件监控和警报是困难的。每台计算机每天都能很容易地生成成千上万的事件。将它们收集到一个集中的日志数据库中，很快就可以获得所需的pb级存储。今天的事件日志管理系统通常因其巨大的磁盘存储阵列而受到称赞。

唯一的问题是:这种事件日志无法工作。当几乎所有收集到的事件包都是无价值的且未读的，并且所有无价值的未读事件的累积效应是巨大的存储成本时，就不得不付出一些代价。很快，管理员就会要求应用程序和操作系统供应商给他们更多的信号和更少的噪音，通过传递有用的事件，而不是单调的日志混乱。换句话说，事件日志供应商很快就会吹嘘他们占用了多少空间，而不是多少空间。

注定要失败的安全技术10:匿名工具(更不用说匿名和隐私了)

最后，匿名与隐私的任何错误的痕迹将被彻底抹去。我们已经真的没有了。我可以在受推荐的最好的书是布鲁斯的“数据和歌利亚如果你还没有意识到你真正拥有的隐私和匿名是多么的少，那么你很快就会被吓死。

即使是谁想起Tor和其他的“地下网络”是隐藏黑客给他们不愿透露姓名的一些外表必须了解如何迅速警察正在抓捕人们对这些网络做坏事。匿名主销各上调后匿名主销被抓，在法院审理查明，并与连接到他们的真实身份实监狱数字服务真正监禁。

事实是，一位不愿透露姓名的工具不工作。许多公司，肯定执法，已经知道你是谁。唯一的区别是，在未来，每个人都知道比分并停止假装他们是住隐藏的匿名在线。

我会为一个消费者的保障隐私要创建并通过人权法案爱，但过去的经验告诉我，太多的市民都超过愿意放弃他们的隐私权，以换取所谓的保护。我怎么知道？因为它已经无处不在的标准，但互联网。你可以打赌互联网是下一个。

这个故事，“注定要被扔进垃圾箱的10种安全技术”最初是由信息世界。

加入网络世界社区足球竞猜app软件脸谱网和LinkedIn对最重要的话题发表评论。

安全

罗杰·格里姆斯自2005年以来一直是一位安全专栏作家，拥有40多个计算机认证，并撰写了10本关于计算机安全的书籍。