国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　這是因?yàn)槭紫芯繂T科馬克·赫爾利與同事迪內(nèi)·弗洛倫西奧共同撰寫的一份論文。如下所示：

　　“無(wú)法對(duì)實(shí)際安全狀況進(jìn)行有效判斷的原因在于沒(méi)有認(rèn)識(shí)到真正的核心情況所在。如果安全情況與最薄弱環(huán)節(jié)所處等級(jí)相同的話;那么，所有由于選擇弱口令、跨賬戶使用認(rèn)證、拒絕聽取安全警告以及忽視補(bǔ)丁和更新等方面原因所導(dǎo)致的問(wèn)題都將會(huì)遭遇黑客攻擊，并且這種情況將會(huì)呈現(xiàn)出周期性以及重復(fù)不斷發(fā)生的趨勢(shì)。

　　顯然，在現(xiàn)實(shí)的環(huán)境中并沒(méi)有發(fā)生這種情況。”

　　接下來(lái)給出的就是科馬克提出的觀點(diǎn)

　　卡斯勒：回顧以往我們對(duì)安全研究問(wèn)題的合作討論，我一直期待——實(shí)際上可以說(shuō)是渴望——你向讀者介紹這類“創(chuàng)造性”觀點(diǎn)?，F(xiàn)在就又遇到了相同的情況，因此我們就從提出問(wèn)題開始：

　　為什么不是所有人隨時(shí)都可能遭遇黑客攻擊?

　　這一問(wèn)題確實(shí)屬于“非常創(chuàng)造性”的。究竟是什么原因促使你選擇研究這方面課題的?

　　赫爾利：當(dāng)預(yù)計(jì)要發(fā)生的情況與現(xiàn)實(shí)所出現(xiàn)的真正問(wèn)題出現(xiàn)差別時(shí)，我就會(huì)對(duì)造成這種現(xiàn)象的實(shí)際原因究竟是什么產(chǎn)生濃厚興趣。而具體到安全領(lǐng)域，就是傳統(tǒng)安全觀點(diǎn)所預(yù)測(cè)的現(xiàn)象與現(xiàn)實(shí)中真正發(fā)生的情況并不一致，這就導(dǎo)致其成為了一種非常好的研究對(duì)象。

　　公眾們被告知，如果希望確保數(shù)字化資產(chǎn)安全的話，就需要清除掉所有的漏洞。然而，這項(xiàng)要求實(shí)際上屬于無(wú)法完成的情況。絕大部分使用者都不會(huì)關(guān)注軟件更新和防工具運(yùn)行情況，還經(jīng)常會(huì)選擇忽略和發(fā)出的警告，并隨意點(diǎn)擊各種惡意連接。

　　此外，我們也不應(yīng)該忘記人們?cè)诿艽a使用方面存在的各種陋習(xí)。使用者經(jīng)常會(huì)選擇弱密碼，使用通用名稱，并將具體內(nèi)容寫在所有人都能看到的即時(shí)貼上，甚至還會(huì)重復(fù)使用三到四個(gè)相同密碼來(lái)作為多處賬戶的保障。

　　然而，在全球使用互聯(lián)網(wǎng)的20億人中，每年都僅僅只有5%遭受重大攻擊。那么，究竟是什么原因?qū)е率Ｓ嗟?5%逃脫攻擊的呢?

　　卡斯勒：按照該論文所提出的觀點(diǎn)，造成預(yù)測(cè)和實(shí)際相差如此懸殊的真正原因是攻擊者所使用的是綜合效果模式而不是追逐最薄弱環(huán)節(jié)所造成的。這究竟意味著什么呢?

　　赫爾利：綜合效果模式意味著攻擊者需要確保在對(duì)所有攻擊進(jìn)行統(tǒng)計(jì)平均后依然可以做到有利可圖，而不是僅僅限于特定情況下。原因就在于每次攻擊都會(huì)產(chǎn)生成本，并且沒(méi)有攻擊可以完全成功。

　　為了保證最終平均實(shí)現(xiàn)贏利，攻擊者必須確保有足夠的成功來(lái)填補(bǔ)失敗所造成的全部損失。

　　舉例來(lái)說(shuō)，讓我們先假設(shè)愛麗絲利用自己狗的名字來(lái)作為網(wǎng)絡(luò)銀行賬戶密碼的情況。按照公眾被告知的傳統(tǒng)安全理論，這屬于弱密碼的情況，將會(huì)導(dǎo)致她成為攻擊者的盤中美餐。但實(shí)際上，只有在滿足下列條件的情況下，攻擊者才能獲得成功：

　　·如果用戶名也被獲知。

　　·如果攻擊者可以猜出狗的名字。

　　·如果銀行沒(méi)有關(guān)注這筆業(yè)務(wù)。

　　·其它網(wǎng)絡(luò)竊賊沒(méi)有先下手。

　　因此，問(wèn)題現(xiàn)在就變成了，攻擊者需要進(jìn)行多少次攻擊才能獲得成功。舉例來(lái)說(shuō)，假設(shè)攻擊者需要在每名客戶身上都花費(fèi)一小時(shí)時(shí)間，并且：

　　·有5%的用戶會(huì)選擇他們狗的名字作為密碼。

　　·有5%的情況中，密碼會(huì)被破譯出來(lái)。

　　·有5%的情況中，用戶名會(huì)被猜測(cè)出來(lái)。

　　以此為基礎(chǔ)，我們現(xiàn)在就可以計(jì)算出攻擊者每獲得一個(gè)賬戶就需要攻擊20×20×20=8000個(gè)帳戶。

　　這時(shí)，我們?cè)偌僭O(shè)攻擊者的最低時(shí)薪是每小時(shí)7.25美元?，F(xiàn)在，為了破獲賬戶需要所耗費(fèi)的平均資金就變成7.25×8000=58000美元。

　　現(xiàn)在，如果我們進(jìn)一步假設(shè)銀行對(duì)于攻擊者的非法企圖有75%的確認(rèn)率的話，就意味著攻擊者現(xiàn)在需要232000美元的資金才能獲得一個(gè)賬戶。在這里，我們還沒(méi)有討論到其它攻擊者競(jìng)爭(zhēng)所帶來(lái)的問(wèn)題。

　　即便攻擊者愿意接受只有美國(guó)最低工資十分之一的報(bào)酬，并且在每名用戶上花費(fèi)的時(shí)間也降低到十分鐘(而不是一小時(shí))，獲得賬戶的平均成本依然高達(dá)3866美元。所以，這種看起來(lái)很容易賺錢的方式實(shí)際上是很難用于謀生的。

　　現(xiàn)在，我們?cè)贀Q個(gè)角度來(lái)考慮一下。如果攻擊屬于無(wú)利可圖的，因而就不會(huì)被利用的情況;這就意味著，5%的弱口令將可以逃脫一劫了。所以說(shuō)，真正的事實(shí)應(yīng)該是針對(duì)弱口令的攻擊將很難變得有利可圖，因此系統(tǒng)才能保持安全;這一情況也證明了安全與系統(tǒng)中最薄弱環(huán)節(jié)相關(guān)的觀點(diǎn)顯然屬于不切合實(shí)際的。

　　卡斯勒：該文件聲稱

　　“盡管在特定情況下，很多攻擊說(shuō)屬于成功的;但只要利用總體數(shù)據(jù)進(jìn)行一下統(tǒng)計(jì)平均，立即就會(huì)變成虧損的。即便在包含很多有利可圖目標(biāo)的案例中，這種情況也是經(jīng)常發(fā)生的;從而進(jìn)一步很好地解釋了為什么攻擊類型如此之多但實(shí)際觀測(cè)到的損害卻少之又少的現(xiàn)實(shí)情況?！?/P>

　　我了解到其中的邏輯所在，但下一句卻又變得云霧繚繞：

　　“因此，對(duì)于常規(guī)安全策略來(lái)說(shuō)，效果強(qiáng)弱的關(guān)鍵就在于薄弱環(huán)節(jié)的數(shù)量情況?！?/P>

　　現(xiàn)在，我徹底糊涂了?？鞄蛶臀?。

　　赫爾利：好的。在這里，我們還以狗名字為密碼作為示范。假定50%而不是5%的使用者利用自己狗的名字來(lái)作為密碼?，F(xiàn)在(其余參數(shù)不變)，攻擊者一次針對(duì)的賬戶總數(shù)就從八千個(gè)大幅降低到八百個(gè)。僅僅由于更多的人選擇該策略，就導(dǎo)致攻擊帶來(lái)的回報(bào)率上升了十倍之多。

　　因此，這就意味著如果一項(xiàng)策略變得普及和可預(yù)見，就極易被攻擊者所利用，從而導(dǎo)致非常危險(xiǎn)的后果出現(xiàn)。由于很多人都選擇在離家時(shí)將門鑰匙放在花盆底下，這就會(huì)導(dǎo)致該項(xiàng)策略變成存在極大風(fēng)險(xiǎn)的類型。但如果世界上只有一個(gè)人這么做，那就會(huì)屬于毫無(wú)風(fēng)險(xiǎn)的;造成這種結(jié)果的原因就在于，在這種情況下，竊賊檢查花盆底下是否有鑰匙將變成純粹屬于浪費(fèi)時(shí)間幾乎不可能成功的舉動(dòng)。

　　簡(jiǎn)單地說(shuō)，攻擊者就如同在玩數(shù)字游。對(duì)用戶使用密碼情況預(yù)測(cè)的越準(zhǔn)確，獲得的回報(bào)就越大。

　　卡斯勒：我也曾試圖通過(guò)數(shù)學(xué)來(lái)確認(rèn)這一模式是否成立——但最終慘遭失敗了。因此，我會(huì)讓數(shù)學(xué)專家來(lái)檢查你的工作?，F(xiàn)在，你覺得自己是否有可能簡(jiǎn)要地解釋一下相關(guān)結(jié)論的意義所在呢?

　　赫爾利：與其它類型的經(jīng)濟(jì)活動(dòng)相比，盜竊本身并無(wú)不同之處。這就意味著需要關(guān)注的并不是限于特定具體事件上，只有在統(tǒng)計(jì)平均上獲得成功才意味著真正存在價(jià)值。換句話說(shuō)，攻擊者必須承擔(dān)每次攻擊所帶來(lái)的成本，并只有獲得成功才能收到回報(bào)。如果每次攻擊成本要一美元，而成功率為0.1%的話，那么每次成功必須帶來(lái)一千美元才能保持收支平衡。對(duì)于收入增長(zhǎng)來(lái)說(shuō)，極低的攻擊成功率帶來(lái)了非常嚴(yán)峻的現(xiàn)實(shí)挑戰(zhàn)。

　　卡斯勒：按照我的理解：你是在擔(dān)心由于安全專家們使用了錯(cuò)誤的建模方法，從而會(huì)導(dǎo)致出現(xiàn)宣稱“狼來(lái)了”之類的虛假警告?

　　赫爾利：由于這種說(shuō)法聽起來(lái)有點(diǎn)帶有一種欺騙的意味，所以我不知道自己是否應(yīng)該將此類情況形容為“狼來(lái)了”。對(duì)于安全人員來(lái)說(shuō)，職責(zé)就是尋找漏洞，預(yù)測(cè)事情變壞時(shí)將會(huì)發(fā)生的情況。因此，提醒人們加強(qiáng)注意屬于很正常的選擇。同時(shí)，我覺得大家必須承認(rèn)，已經(jīng)有20億人在使用互聯(lián)網(wǎng)，盡管確實(shí)存在著安全方面的問(wèn)題，但絕大部分用戶都獲得了良好的體驗(yàn)。

　　對(duì)于安全專家來(lái)說(shuō)，“從攻擊者的角度進(jìn)行思考”屬于重復(fù)再三的口頭禪。但就我個(gè)人而言，這屬于相當(dāng)不現(xiàn)實(shí)的要求。除非用戶象針對(duì)一項(xiàng)感興趣的智力游戲一樣全身心投入，否則從攻擊者的角度進(jìn)行思考并不能讓大家避免被攻擊或者。

　　如果對(duì)于攻擊相關(guān)的總體效果感興趣，我們就必須象攻擊者一樣繼續(xù)下去，找出可以用來(lái)扭虧為盈的方法。這就意味著不應(yīng)該限制于在可能出現(xiàn)問(wèn)題的時(shí)間尋找漏洞和途徑，而且要計(jì)算出攻擊的單次成本為多少，成功率有多高?，F(xiàn)實(shí)中的攻擊者肯定需要這么來(lái)進(jìn)行思考，但普通用戶由于懶惰就會(huì)跳過(guò)這一部分的分析。

　　卡斯勒：現(xiàn)在到了棘手問(wèn)題時(shí)間。在談及到安全方面的建議時(shí)，你會(huì)對(duì)我們的用戶說(shuō)什么?

　　赫爾利：在這里我要強(qiáng)調(diào)一下。在本文中，我們的目的是解釋預(yù)測(cè)和觀察之間的不匹配情況。因此，就選擇了人們使用自己狗的名字當(dāng)作密碼這一例子來(lái)進(jìn)行示范，但對(duì)于現(xiàn)實(shí)中的安全策略來(lái)說(shuō)，我絕對(duì)不建議真的這么做!

　　誰(shuí)都不會(huì)想成為很容易被預(yù)測(cè)和利用人群中的一員。而為其它人提供建議則是一項(xiàng)非常棘手的工作。我個(gè)人的建議和其它人所提供的并無(wú)不同之處。但還有一點(diǎn)我想補(bǔ)充的就是——絕對(duì)應(yīng)該避免可預(yù)見情況的出現(xiàn)。

　　最后的思考

　　我想大家應(yīng)該認(rèn)為自己屬于非常幸運(yùn)的情況?；ヂ?lián)網(wǎng)上的絕大多數(shù)壞蛋都選擇轉(zhuǎn)向盈利領(lǐng)域。否則如果涉及到其它方面動(dòng)機(jī)的話，我認(rèn)為公眾將會(huì)遇到真正的麻煩?；蛘?，換句話說(shuō)，盡管我們可能就屬于好捏的柿子，但由于攻擊者選擇這么做付出的代價(jià)將顯得過(guò)高，結(jié)果反而變成安全的了。