2005年8月2日外电消息——上周，迈克·林恩(Mike Lynn)，一位Internet安全系统公司(Internet Security Systems, Inc)的前研究员，在黑帽大会上做了个报告，分析了思科系统公司网际操作系统(Internetworking Operating System, IOS)的内部工作机制并且提出了质疑网络安全领域的技术。林恩的报告引起轩然大波，一些安全权威甚至谴责这两个大企业为真正的 “元凶”。

本文并不讨论思科和ISS扮演了罪魁祸首的角色还是迈克·林恩违反了法律。这个讨论非常有意思，但注重实际的企业并不关心，他们需要分析目前处于散乱状态的信息，理解其实质。对于企业安全专家来说，真正的问题是：“有了这则新信息，我们变得更安全了吗？”

和以往一样，林恩和那些支持他的力量声称像他的报告那样的信息使世界变得更安全。对此我不敢苟同，我觉得“更安全”这个词仅仅意味着因为这则消息，无论总的来说还是以单个实体为单位计，我们遭受损失的概率减小了。因此，对于任何想提供这则消息的人的真正检测是，对于网络来讲，遭受损失的风险是更高还是更低？更高的风险等于更小的安全性，而更低的风险等同于一个更安全的环境。

评价风险的时候，不仅要评价外部威胁环境，还必须同时评价目标的脆弱性，达到这种全面的评价是非常重要的。比方说信息泄露，威胁(潜在的攻击者)和脆弱(目标的缺陷)互相对抗，这样，随泄露之后增加的威胁而来的更高的风险就应该更容易被减弱的脆弱性所抵消，减弱的脆弱性来自于创建一个更低风险的、更安全的环境。

就林恩的研究和其它任何脆弱和攻击指南来说，当大多数嫌疑黑客得到他们以前不曾获得的、也没有自己挖掘出来的信息时，威胁增加了。结果这些信息就为黑客开发攻击工具破坏系统提供了帮助和支持。每一位潜在的黑客通过网络访问都可以获得这些发布的信息，所以，威胁的的确确增加了。我们看到这些增加的威胁通常体现在宣布新漏洞的安全建议中，以冲击波和振荡波的形式出现。

因为威胁的增加显而易见——实际上，林恩的情况中，已经有来自DefCon的报告称有黑客正在夜以继日地为攻击思科而努力——问题就变成了，怎样才能平衡林恩提供的消息，来减弱思科路由器的脆弱性，从而达到整体风险的降低？

答案是，对于整个英特网来说，这是不可能的。只可能降低那些还未升级自己的思科固件的人们的风险。大家都知道，林恩的消息只是提供了关于IOS的新的细节，以证实在思科路由器上远程执行代码的可能性。而目前IOS平台上的许多拒绝服务攻击bug都是远程执行的。

所以，如果你还没有升级固件，你的路由器还用的是独立的管理渠道，那么通过做这些工作你可能能够降低风险。任何一个已经做了这些工作的高安全环境的风险都只是上升，风险来自威胁。但这些高安全环境大概都很自信，相信所作的工作可以经得住增加了的风险的考验，好像他们认为这是必然的。

关于信息泄露的一个问题是，信息不可避免地会流入那些“坏家伙”的手中，这样他们就会处于有利地位。如果这真的发生了，任何现实世界里针对带有历史上发生过的不知名的漏洞的产品系统的攻击就不会留下多少证据。考虑一下，如果在社会工程技术年报中有大量的证据，相对于危机人们的安全，不留痕迹地黑某个系统就困难得多。

虽然还未证明，我同意这一看法：那些坏家伙很可能已经在漏洞信息的基础上整理他们自己的思想，或者甚至可能已经展开攻击。但是，他们的做法和我们自己的好同志的做法并不相关(不是吗？)，所以，没有理由相信我们找到的漏洞和他们发现的相同(在各种不同的平台上，实在是有太多的选项)。

这意味着，当坏家伙们正嘲笑这些做秀并正在继续攻击我们的时候，我们还在已知漏洞防护上浪费时间。别忘了，我们真正应该担心的是那些未知的漏洞，不是吗？

另一方面，假设我们正在寻找的漏洞和恶意攻击者发现的漏洞相同，那么漏洞发现和透露的过程对于整个英特网来说会是一件好事，对吗？我认为不是这样的。关于透露漏洞，我们在自欺欺人，我们开发补丁，但忽略了真正的威胁——恶劣的漏洞可能还没有进入我们的视线。如果一个威胁真正存在，那么我们会很快分析它并开发出一些保护措施。

一度以来，我们知道应该怎样加强我们环境的安全：通过更有力的配置管理和监测达到表面攻击(attack-suftace)的减少。安全环境并不依赖于针对新漏洞的防护，它加强配置、隔离活动、验证可信组件，并且监测所有的活动。

许多安全供应商的小九九是，他们不相信威胁的真实性，所以自己公布了用脚本就可以破获的新漏洞。大多数漏洞都是他们发现的。但我相信威胁真正存在，不过目前发现漏洞和透露漏洞信息的过程会产生大量脚本级攻击，分散对威胁的注意力。

今天这样的大环境中，解决这个问题很重要。我真想让研究人员、供应商以及企业把所有的时间和资源都花在真正的威胁上，而不是浪费在我们自己想出来的那些让我们感觉良好的地方。

他们说，知识就是力量。显而易见，安全专业人士确实想要一点可以控制局面的感觉。这就是为什么我们抨击像思科和微软这样的大公司的原因，但是，可能事实是这样：我们对某个敌人张弓弩箭，是因为我们害怕林恩之流聪明的家伙和其他的漏洞研究人员发来的友好的机枪。我们并不真正知道他们的软件是不是“足够安全”，可以抵御真正的威胁，因为我们假定不是这样的。不要以为真有一个"绝对安全"的天堂。世间一切都是相对的，安全也不例外。

我们喜欢说服对安全不太在意的同志威胁的确存在，我们还经常讲，我们宁愿知道漏洞的存在。我也是这样的。但我们不可能知道所有的漏洞，所以我们应该以现实为基础开展行动--还有许多潜在心怀不轨的人将会发现的漏洞，不管我们按正规程序怎么做，他们都会去利用。真正的威胁你还是并不知晓。围绕这个逻辑做你的安全计划吧，你的防御将会更有力。

转载地址：http://www.netsp.com.cn/Article/netsafe/others/200508/20050806134657.html