复杂性是否意味着IT安全的没落?

也许，关于安全问题，最明智的一句话是大卫•莱特曼(马修•布罗德里克饰)在1983年的电影《战争游戏(WarGames)》中说的：“我认为没有任何系统是绝对安全的。”这样的想法无疑驱使着黑客，也应该成为企业的驱动力(当然是以不同的方式)。但不幸的是，简单地依靠堆砌越来越复杂的措施以试图阻止安全攻击，可能反而会带来更多的问题。

由简单到复杂

最近，我发现自己的某个个人网站被黑，并被留下一个小而顽固的出售药品的网站链接，由此，我学到了一些经验教训。首先，即使拥有强大的密码、没有明显的外部访问模式，连接系统也是脆弱的。任何有一个链接到更广泛网络的站点都可能是黑客攻击的潜在目标(甚至未连接设备也可能存在风险)。其次，我学到了复杂性可能是黑客们最好的朋友。消除违规链接需要在多个代码页文件中找到那一小段的代码。不幸的是，黑客并没有留下任何注释信息之代码中提示说“//医药广告在此”。然而，庆幸的是，我很少更新我的个人的网站：因而我能够缩小搜索范围，将目标锁定到最近更新的一个单个文件，并且其代码包含了一些字符串，可能是一串编码的URL或类似的东西。

但我的经验相对无痛，虽然这有点讨厌，但我并没有丢失什么重要的数据，也没有造成真正的损害，除了花费一些时间来找到并删除有问题的代码。但对于许多公司来说，这就非常严重了，其可能涉及到诸如：客户信息，研究资料和商业秘密，并有可能造成价值数百万美元商业损失。此外，企业所采用的网络和系统要远比一个个人网站更复杂，这是问题之一。而黑客侵入主要企业网络的动力会更大，而安全设备的复杂性会带来独特和无法预见的攻击机会。

以可靠性为例

如果您仔细想想就会知道，一个极其复杂的安全系统所存在的问题是相当明显的，但它可能对于考虑某点类似的情况是有帮助的，如：可靠性。例如，当建造一架飞机时，工程师将为各种系统增加冗余，以确保如果其中一个系统出现故障，备用系统能够准备接管。有人可能会认为，在乍看之下，该工程师可以通过增加更多的冗余来简单地实现他们想要的任何可靠性水平。但问题在于，除了前面提到的冗余系统，比如说，方向舵控制冗余系统，还必须有一个系统能够管理在发生故障的情况下实施系统转移。但是，即使该系统也可能会受到破坏，因此也可能需要冗余。这个问题的要点是，超过了某一程度，附加冗余实际上对于可靠性是由损害的。

同样，对于安全问题而言，其对于有效的防范黑客的攻击者有一定的价值。然而，随着安全解决方案变得越来越复杂，一些相应的问题也可能随之出现。安全公司RSA的Amit Yoran表示说：“不幸的是，复杂性常常是安全的大敌。如果是一个内容丰富、交互式的Web站点，黑客只需要一个简单动作就能够让网站被黑。”他在谈论被保护站点的复杂性时提出该论点的，但同样的道理也适用于安全本身。以下是一些随着安全措施的复杂性增加而可能出现的潜在问题：

更多的人参与。随着安全解决方案变得更加复杂，企业的这些安全解决方案会需要更多的人员来实现部署和维护。但企业要让每位员工都清楚的了解企业的每一款IT系统几乎是不可能的，所以一个专业团队是非常必要的。更为复杂的问题是企业往往需要获得外界的帮助，这在某些情况下可能是最好的选择，但也增加了更多的外链链接。

更多的对策。防火墙，入侵检测系统，恶意软件探测器等等。所有这些元素如何共同保护企业网络，而不损害其性能呢?这些元素能否都来自同一家供应商，或者假定没有一个元素能够执行所有的任务更好呢?无论是哪种情况，都需要管理所有这些元素，更不用说圆满完成这些特定的任务是一项艰巨的工作了。

更多的安全攻击。即使您能够确保您企业的系统对目前所有已知安全攻击的途径都是了如指掌的，但黑客明天一定会找到一个新的攻击途径。您企业的安全管理实施，是否能够随着时间的推移，针对这些新的安全攻击途径进行快速和容易的更新，同时不会打乱您企业系统性能稳定性与受安全保护之间的平衡呢?而您企业的员工是否会围绕着这些安全监管措施，寻求解决方案呢，毕竟，这些安全监管解决方案是如此的臃肿和庞大，已然严重影响到了他们正常的工作了。

更多的自动化。采用自动化，减少一些人为操作可以解决某些问题，但就像在可靠性环节的冗余管理系统一样，这样做又增加了复杂性，并甚至可能埋下了新的安全攻击的途径。

据AlgoSec针对127 名IT安全专业人士进行的调查显示，超过半数的受访人士认为“复杂的或相互矛盾的安全策略，如防火墙规则集，路由器ACL，IPS的配置等”是导致其所在企业发生安全事件或运行中断的头号原因。这些都是安全的一个方面。

安全保障投入产出的权衡

这一问题固然是相当困难的，您那么有什么解决办法呢?走极端的过分的复杂性不仅从成功的角度来看存在问题，同时其成本也很昂贵。ZDNet的马克·塞缪尔斯说，“这就是网络安全威胁。在理论上，企业CIO们将其大部分IT预算用于建立坚不可摧的安全防御是可能的。”但是，这就像买保险一样，安全攻击威胁似乎是浪费钱的，至少一直要到相关的安全威胁事件发生之后，其价值才能体验出来(当然我们希望这不会常有)。而确定企业需要“投保”到什么程度，并说服企业其他对于安全攻击威胁一无所知的CXO级别的领导对于安全“投保”的支持和审批也是一个相当棘手的问题。投入安全保障资金的确会有回报，但只体现在防止造成企业亏损方面，而不是类似于投入研发那样的能够直接产生营收的积极的回报。

此外，一款透明的、企业内部的IT员工能够理解甚至进行修改的安全解决方案似乎要比一款内部运作神秘的黑盒解决方案要好很多。然而，对于现代的计算机及其所有的单片集成电路而言(其中根本就没有什么是您企业IT员工能够修复或修改的!)简单往往是以牺牲性能为代价的。因此，复杂性并不是一定要避免的，但确实是在许多工程问题中必须平衡的东西。

然而，最终，像可靠性问题一样，IT服务的复杂性及其对于安全性的需求可能会达到一个收益递减点。黑客的不断攻击威胁可能会使一些服务由于风险的存在而不可用，这在理论上是可行的。随着高调的黑客攻击案件，以及对于政府机构的偷窥威胁越来越多，这种收益递减点可能不会太远。

结论

在互联网发展的早期，彼时的网站仅仅只有相当简单的几个HTML页面，黑客攻击顶多只是一件比较烦心的事，当然也就不会给他们带去什么潜在的回报了，除了少数比较罕见的情况之外。而今复杂的网络为黑客攻击创造了更大的挑战，但往往也为他们留下了更大的漏洞，一旦攻击成功，可能为他们带来更大的回报。从某种意义上说，复杂的安全措施需要击退复杂的攻击，但企业安全措施的复杂程度也可能是其自身的敌人。因此，我们第一步是要认识到这一问题。有时候，可能越简单越优越：也许，比如利用一些小的烹饪智慧和一口很好的旧铸铁锅，您就可以煎炸煮炒的烹制各种美食，同时仍期待其能够继续用上十年，而对于某项互联网小发明，可能稍微不注意其某些部分就开始脱落，您就必须扔掉了。IT是许多行业的中心，而消费者现在需要越来越多的服务。在企业安全方面最正确的是要找到与业务执行的一个平衡，因此安全问题很可能只是会不断进化，而不会被最终解决。