查字典图书网
查字典图书网
安全的最大阻碍来自公司高层对安全需求的负面认识。其中有些认识代表了功能锁定。 几个月前,在著名的分布式拒绝服务攻击Internet上主要服务供应商和商业实体(包括eBay、CNN、Yahoo!),并导致它们临时关闭前,(注7)我曾有机会为一家一级ISP分析骨干路由器配置。经过这些核心路由器的IP流量的主体是TCP流量,特别是HTTP通信。UDP所占据的比例要少得多,至于ICMP则少得可怜。我很惊奇地发现,这些路由器对流量缺乏任何控制,只是采用了一些最低限度的过滤器,以防止某些形式的对这些路由器本身的未授权访问。但是,当我建议对核心路由器的配置进行更改,侧重于保护这家ISP的顾客时,这下轮到公司的领导感到惊奇了,他们立即告诉我此事绝不可行。 两种思维在这里发生了冲突。ISP并不想冒着减少它们的核心路由器吞吐量的风险,如果它们使用了任何类型的具有实质意义的包过滤器,就会发生这种情况。总之,ISP的业务是销售带宽,顾客把它看成是吞吐量。当系统把数据包从A点移动到B点时,就不得不花费额外的时间决定如何处理每个数据包,因此路由器的行为和最终的吞吐量会受到负面影响。 而且,此时不论是ISP还是它的顾客都无法忍受任何负面效果。管理层可以理解可能会发生针对它们的路由器的攻击,但他们愿意等待,在发生这种情况时再对它进行处理。他们觉得在没有出现问题的时候花钱是件浪费的事情,虽然未来出现问题时所需要的花费可能大于现在积极预防问题发生所需要的开销。此外,对顾客的攻击则不在他们的考虑范围。 相反,站在我的角度,尽管当时还没有发生广泛的DDoS攻击事件(事实上,当时还不存在DDoS这个词),但我还是意识到了不仅针对ISP的服务器而且针对背后的顾客的网络资源饿死型攻击的可能性。我知道对顾客的攻击将很难被诊断,并且难以快速作出反应,但是我完全无法说服ISP。事实上,我不得不从商业的角度理解他们的想法。他们对自己的系统不需要进一步采取安全措施的理由多少是符合逻辑的。 (Randy V. Sabett所编写的第12章也讨论了安全是成本而不是收益的问题。) 在大规模的DDoS攻击之后的某个时刻,我有幸被邀请参加在白宫的椭圆办公室所举行的圆桌会议,所坐的位置距离克林顿总统只有几个座位之遥。这个会议的目的是讨论政府和行业如何应对最近的DDoS攻击以及接下来应该做些什么? 在会议上,我再次感到吃惊。商业部门的领导层所表达的主要担心是这些攻击可能会导致政府介入,并对它们的行业进行调控。看上去,他们实际上对于理解或处理当前的技术问题并没有什么兴趣。 我开始渐渐明白,ISP固守一种概念,他们觉得政府在这些事物上的干预很可能会对他们的收益产生负面影响。他们与我在前几个月所遇到的那家拒绝在它们的核心路由器上采用包过滤器的大型ISP具有相同的概念:安全需要花钱,并且只能预防未来潜在的损失。他们从来没有从安全也可能制造收益这个角度去思考问题。 在会议之后,我重新约见了几个月前打过交道的那家大型ISP的执行官。我告诉他,我理解他为什么做出这样的安全决策,并要求他真心回答后来在我脑海里萦绕的一个问题。我要求他假设我并不是站在安全的角度问这个问题的。反之,假设我已经指出ISP可以协商承诺访问速率(Commited Access Rate),根据这些新的确定性更好地规划利用率,并最终使每台关键服务器服务更多的顾客。而且,他们可以使用这个方案为他们所销售的新类型的服务提供不同的记账和报告功能。过滤和测量可以防止用户不合理地占用带宽,但任何客户端所发现有用的网路被封锁或变慢是可以通过不同服务水平来满意解决的。 但是,作为回报,这种过滤可以极大地降低外部恶意因素对带宽的不正当占用。我的问题是—这会不会是一个更好的方法? 他的回答是一声响亮的“是”,因为这家公司把这个方法看成是一个机会,认识到它可能带来的更多收益,而不仅仅是把它看成是与安全姿态相关联的日常开支。 我从这个事情中认识到,我(包括安全领域的绝大多数实干家)受到“安全只是它自己的事情,它并没有被看成是一个不同目标的副产品”这个功能锁定的困扰。正如经常被事实所证明的那样,构建高效和具有良好定义的需求也可以增强安全。