Bruce Schneier十年安全展望

十年足以讓科技發展成長100倍，IT系統的相互連結使得發生問題時的風險也大增，而我們似乎永遠也無法確保端點安全。(資安之眼編譯)

在科技帶來新威脅的同時，詐欺、偷竊、偽造等舊有的犯罪手法亦未消失。

以下是Bruce Schneier與Marcus Ranum的對談片斷，全文刊載於下個月TechTarget的Information Security雜誌的十週年紀念特刊中。這兩位著名資安專家針對下一個十年的安全議題進行了討論。

犯罪問題成長加劇

Schneier說:
自人類社會存在起，詐欺、偷竊、偽造等問題就從未間斷，在過去十年中這些犯罪逐漸與數位資訊結合，在下一個十年，他們又將逐漸轉向我們所依賴的運算、通訊及商務平台。

Ranum說:
• 你不可能用修補的方式鏟出(shovelware)可靠的軟體。
• 你不應該把關鍵線上系統與其他系統混合。
• 你應該要去瞭解自己的網路運作情形。
• 如果你在一個開放的執行環境中運作電腦，不可避免會遇到病毒、間諜程式及木馬。
• 你可以在馬兒跑掉後鎖上穀倉大門，但馬兒並不會因此就跑回來。
• 安全必需在系統規劃之初就加以考量，而非事後追加。

連鎖IT故障終究會發生

Ranum說:
我相信到2017年間，我們一定會遭遇基礎建設系統的災難性故障，而且應該不會是因為恐怖份子所引起的，更有可能來自關鍵系統與網際網路上的非關鍵系統不當連結，像是由於某個職員上MySpace導致輔助系統感染惡意程式；或是某個上了一大堆修補程式的超級複雜系統，被好奇駭客觸發了某個錯誤的功能。現有系統內的指標越來越複雜且難以理解，但彼此間又存在著高度的相依性，當國家的基礎建設倚賴著這樣的系統時，跟本不需要敵人來破壞。

Schneier說:
到了2017年，網路連結會變得日常生活中不可或缺的一部分，而也許對於恐怖份子來說，透過網際網路也成為風險最低、效益最高的攻擊方式。今日我帶著嘲弄的語氣談論網路恐怖份子，但十年後我想我不會。

IT服務的普及使得風險更為增加

Schneier說:
到了2017年，企業及個人可能不會再購買傳統電腦及網路設備，而改以輕便的接收裝置存取廠商提供的服務，這使得大家受制於電信公司、大型ISP及系統整合廠商，運算與利用變得更為相近。公司紛紛銷售服務而非產品：像是email服務、應用程式服務、娛樂服務。目前我們就已經可以看到這種SaaS趨勢，而未來十年將更為茁壯。但這種情勢也將影響2017年的安全性，企業及個人無法掌控自己的安全性，所有事情都將由ISP及各種控制中樞所掌控。

Ranum說:
就此而言，如果你想說的是，『未來的趨勢是把我們的雞蛋繼續放進同一個籃子，並且天真的信任這個籃子』，我完全同意。到了2017年，甚至可能連政府機關的系統都將由外部公司所掌控，另一方面，這也使得政府機關的員工資訊能力大幅下降，一般人可能只會使用Office軟體和上網。

端點安全問題無法改善

Ranum說:
我們面對的問題是：端點安全問題完全不會更好，人們會被某種安全機制吸引是因為他們到處散佈系統管理員的頭痛問題(以今天的安全環境來說就是"永無止境的修補地獄")，但在這些機制光鮮亮麗的背後同樣存在不安全的問題。到了2017年，你認為安全廠商們不會再年年發佈新軟體嗎？而這些軟體會不再以root權限執行嗎？

Bruce Schneier說:
的確端點安全問題完全不會更好，我不只一次提到像是雙因素認證(Two Factor Authentication)這類機制無法讓網路銀行更安全。問題在於如果你的電腦存在木馬程式，無論你和銀行之間如何進行認證，木馬程式都有辦法在你驗證之後執行非法交易。

其他像是SSL, SSH, PGP等安全協定也是一樣，這些機制都僅僅關注於通訊階段的威脅，並假設端點安全沒有問題。可是我們知道真正的風險往往來自於端點。