如何对漏洞进行评估

美国洛斯阿拉莫斯国家实验室的专家Roger Johnston告诉我们怎样借助外力发现并修复安全漏洞。

现任美国洛斯阿拉莫斯国家实验室漏洞评估组组长的Roger Johnston对于安全漏洞有着深入了解，这不仅仅是因为他为洛斯阿拉莫斯国家实验室工作，作为一个致力于改进物理安全的研究团体的领导者，Johnston也曾被其他机构以及私营企业所聘请，帮助他们找出安全问题。Johnston所带领的小组曾受雇为诸多企业机构进行过漏洞评估，其中不仅有国际原子能机构、美国国务院和国防部等处于高安全风险的政府机构，而且还有正在开发或考虑使用高科技安全设备的私营企业。

近期，美国CSO杂志资深编辑Sarah D. Scalet就有效执行安全评估的战略采访了Johnston，并还就这一工作若未及时到位可能产生的后果进行了深入探讨。

有漏洞是个好消息

Johnston基本上每天的精力都花在寻找问题上了，所以入侵手段很难骗过他。“我们总是努力地为人们提供乐观的信息。”他说。通常，问题的解决方法往往非常简单。例如：你如果使用防篡改标志封印（tamper-indicating seal）来保障货物安全，当你检查封印时，可能你只需简单地花上一两秒时间就能在封印右上方角落处找到有个小刮痕，便知道货物已经被人擅自动过。

Johnston认为，安全培训是让安全管理员乐观的关键所在。因此，必须向安全人员披露大量的漏洞信息。因为，低等级的安全管理人员若想做好工作，更需要这些漏洞信息，而目前他们却没有办法充分获得这些信息。一般人们对低等级安全人员要求很低，只要求发现“异常事件”时及时进行上报即可。其实如果他们能得到更多所需的信息，相信他们在安全管理工作上将会有更好的表现。Johnston认为，向安全人员披露漏洞信息无需花费大笔额外资金，而且也不会占用太多时间。

他认为，要极力鼓励人们不要将安全漏洞视为一个坏消息，而要认为它是一个很好的消息。因为当你发现安全漏洞时，也就证明你知道要采取哪些保护措施。我们所有漏洞评估报告的开头，总是会指出安全漏洞所带来的好的一面。祸兮福所伏，任何事情总有其好的一面。比如：有时若未及时发现这些漏洞就可能会发生更大事故，而通过指出这些漏洞，我们就能认识到错误所在，及时加以改正。另外，我们还总是在报告一开头就指出，我们将发现更多漏洞，而不是告诉人们漏洞情况有可能会减轻。我们还会为人们提供比他们要用到的更多的修改建议。这样事情就解决了。不过，这种做法的底线是，漏洞评估员在报告中并不能告诉你会导致怎样的变化。在报告中，我们会指出我们所认为的问题所在，我们认为可用的解决方案。当然，最终要如何处理，决定权仍在用户手上。

Johnston还强调，如果人们没有忧患意识，会带来更大的安全风险。“没有忧患意识的人在进行漏洞评估时，首先，他们用现有的安全基础设施、安全硬件及安全策略来定义漏洞问题。比如：假设有一个栅栏，他们会考虑不法分子通过栅栏的可能方式。但是，这种做法现在已完全落后了。现在，我们需要考虑的是不法分子的目标所在，然后再决定我们是否真的需要设置一个栅栏。其次，这类人往往总不想努力找出问题，仿佛只要没找到问题，也就不存在问题了，完全是种鸵鸟态度。” Johnston谈到:“如果他们发现一个问题，那么他们不仅可能使自身陷入困境，而且还会给自己创造更多麻烦。其实，在许多情况下，问题修复的方式往往非常简单，但企业经常由于害怕将事情搞砸而很不愿意着手去做。因此，对于那些做过漏洞评估却告诉你一切情况正常的人，你不会有跟他一起合作的欲望。事实上，无论如何，总是会存在一些漏洞的，而且它们往往以大批量方式出现。任何单位为发现‘零日漏洞’而进行的漏洞评估都是完全无用的。”

漏洞评估需要用到心理学

Johnston每次着手进行漏洞评估时，为能深入了解不法分子的心态，事前总会做很多准备工作。在其他领域用于创造性思维的大多数工具都可直接应用于漏洞评估。但是，多数安全业界人士更愿意通过严格定量的方式进行评估。Johnston认为，这在很大程度上都达不到真正的目的。Johnston认为，像安全调查一样使用分析工具本身并没有错，只是我们还要结合使用那些更为封闭式的直接工具以及使用创造性的思维。事实是，在过去半个世纪以来，人们对创造性已经进行了广泛的研究。对于怎样创造一个能让人们灵感不断产生的环境，如今已有广泛的知识积累。它不是单凭经验就能做到的，奇思妙想跟外界环境是息息相关的。

我们坚决鼓励人们多加思考，任凭你天马行空地发挥想像力。早些时候，人们只是对于那些奇思妙想采取保留意见；后来，我们将奇思妙想分优先级，考虑它们的可行性。在许多案例中，我们会到听有人说：“是的，如果我能通过激光束让太空外星人从天而降，我们就能这么做。”再后来，一旦我们去除了太空外星人和激光束这两词，这些想法就转化为可行性。

那么制定一套可行的安全评估办法需要花多少时间呢？如果你正考虑一个极为复杂的安全计划，你可能花2~3周时间也没做一点事。不过，你不能干坐着只动脑不动手。若是你偶尔有了奇思妙想，你应着手将这想法在系统或硬件中实施，试试看看这些想法是否可行，是否会产生一些价值。接着，你可以再回头基于你所了解的内容想出更多疯狂的构想来。我们非常支持亲自实践，而不仅仅只是抽象地进行思考。

不能用二元思维方式看安全问题，不能认为事情只有安全或不安全两种说法；对于安全漏洞，我们或者必须掌握所有涉及的安全漏洞，或者干脆甩手不干，这过于荒唐。安全是一个持续性问题，总是会有些漏洞并未得到处理，但这并不意味着有人把事情搞砸了，这仅仅是安全的运作方式。

在提出问题清单和可用解决方案清单时，所得到的比率是80∶20。那么，20%的解决方案能解决80%的问题吗？Johnston给出了肯定的答案：“能！人们常说‘嘿，你的意思是告诉我只需做出一点改变，这种攻击和其他攻击基本上就都能避开了？’这点确实相当令人惊喜。有时安全漏洞特别复杂，解决方案可能不是100%完美，但通常却是相当简单。我们是在为政府工作，也许对于什么才是经济可行的实施方案，我们并不能一直保有最实际的看法。有时我们认为简单的，在现实世界中实际操作起来却并不简单。有时，我们的建议只是引导终端用户进行自我思考，然后也许他们就能提出自己的解决方案了。”

在进行漏洞评估时，掌握对手的心态也是很关键的，那么最佳途径是什么呢？这其中是相当有决窍的。Johnston谈到：“多数漏洞评估的问题在于这份评估工作通常要由极认真负责的安全人员来进行实施。这些安全人员不论是在生活中，还是在工作中都要有极佳表现。他们是真正醉心于安全工作，不想出任何问题的人。这并不是是否认真负责的简单事情；从中我们可看出一个人的人品如何。而且，在许多案例中，安全人员都是军队或警察出身，他们之前所经历的培训和纪律可能是非常有用的。不过，此类背景通常对那些极富有创造力的人并不具吸引力。观察一下你企业的周围，你就会找到那些富有创新精神的人。他们未必是安全领域的人士。你一直寻找给你带来可怕安全恶梦的人，通常都是些钻空子的、自作聪明的、疑神疑鬼的人。他们这类人事事都必须亲自证实才会相信，即便是听从权威机构所购买的的东西也得不到他们的肯定。”

为了掌握不法分子的犯罪心理，美国洛斯阿拉莫斯国家实验室漏洞评估组请来了两位工业与组织心理学专家。Johnston介绍说：“工业与组织心理学已在广泛领域得到了应用，但出于一些难以说明的原因，在安全行业并未应用到。当我们第一次让这两位心理学家与我们一起合作时，他们简直不能相信，竟没人将这些工业心理学领域的强有力的工具应用于安全问题中。渐渐地，我们不断利用他们来了解安全相关的人为因素。最后结论是：安全主要是关于人们与技术间如何交互作用，人们是如何使用和思考技术的，以及如何改造技术来增强人们的工作效率。”

工业与组织心理学专家目前已经发现的问题有保安的更新问题。通常每年保安更新率在40%～400%之间。麦当劳公司每年保安的更新率在35%～40%之间，因此比起那些不断寻找适当人员并死抓住不放的安全方式来说，麦当劳公司的工作做得更好些。有许多企业在更新率上表现极好，付出的报酬也不高。在过去的20多年中，工业与组织心理学专家已开发出多种方法来帮助企业，但这些工具从未应用在安全领域。工业与组织心理学专家涉及的内容很多，比如：了解你所雇佣的人员，对他们心中是怎么对待这份工作的有一个实际概念。如果你将这一方面真正落实到位的话，更换率肯定会直线下降。

刚开始时，我们只是更多考虑到如何将工业与组织心理学应用到漏洞评估中的。毕竟它总的来说还是一个公开领域。我们所考虑的一个问题是应用于货物安全的防篡改标志封印。经验告诉我们，有些人在识别封印是否已被人擅自动过这方面极为擅长，有些则并不行。不过，对于这其中的原因，我们并不了解。我们要做的事情，就是对那些表现好的人加以研究，了解他们的工作步骤以及有什么特点能使他们有如此好的表现。眼动研究（eye-tracking study）是我们想做的其中一个研究，不过我们还未找到赞助商。我们想要观察一下封印检查员所查看的内容。通过让他们戴上类似眼镜类的工具，这种工具会告诉我们这些检查员的眼睛正在查看的内容。一直以来，这种技术是用于判断电视广告的；广告商用这一工具观察看广告的观众，看看他们是在看广告中的产品还是在看背景中的漂亮女孩。而我们想要应用这种技术，来了解那些能有效地发现已被人擅自动过的封印的人员在查看封印时所观察的地方。这样一来，也许我们就能为人们提供更好的解决方案，也许还能进行一次筛选练习来发现谁在这一方面真正擅长。

向用户披露安全漏洞

Johnston的小组已创建了一个漏洞披露索引（VDI），其中标明一旦真正发现一个漏洞所要采取的措施。Johnston说：“发现漏洞后紧跟的问题之一是，明确你要将它告诉哪些人？所发现的漏洞都是要详细告诉漏洞评估的赞助人。这是无可厚非的，如果他们为漏洞评估提供资助，所有发现结果告诉他们是理所当然的，这并不存在什么问题。不过，我们所评估的成果通常拥有更普遍的可用性。现在问题在于，你要怎么做呢？一个典型例子是，如何骗过全球定位系统（GPS）。每个人都将焦点放在干扰GPS设备上，但这没什么意思，因为GPS接收器知道它未从空中接收到卫星信号。不过，骗过GPS却是出乎意料地容易，你将虚假合作信息提供给GPS接收器即可。

大量网络（比如，用于金融交易的网络）通过GPS卫星信号实现他们关键的时间同步。如果有人提供了GPS虚假信息，那么网络可在几毫秒就受到冲击，其潜在后果可能十分严重。有些人可能认为GPS干扰才是问题，不过在我们的观念中，GPS的欺诈问题更严重得多，且这一情况还未得到人们的广泛认识。我们是要讨论一下这个问题吗？我们要将这一问题写入报告吗？或者我们只是口上说说而已？

一直以来，这类问题都是突然出现的，但也有相当简单的，根据这些迹象你就能发现问题所在。如果大量守法公民看起来在了解漏洞方面似乎都不是十分精通，而小部分不法分子却精通，那么你可能必须将发现公之于众。如果这一攻击后果相当明显（我认为GPS欺诈也属此类），不法分子将会想方设法采取行动。因此，再重申一次，你必须将发现公之于众。而另一方面，如果它是一种并未得到很多人使用的专业安全设备，而大量潜在不法分子可能想要攻击它，那么也许你并不必公开这一漏洞，你只需要找出它所针对的终端用户，向他们指明潜在问题即可。漏洞泄露索引（VDI）是一种半定量尝试，就你是否应披露这一漏洞、以何种方式公开以及你应披露多少细节会为你提供一些指导。

Johnston的索引真正针对的是物理安全。IT安全则属于完全不同的领域。让我们假设一下，你正在玩电脑，突然发现了一个非常严重的软件漏洞。多数人赞成你采取以下行动: 联系软件公司，并告之“我认为这里存在一个问题”，为他们提供一个修复这一漏洞的机会。如果过了一段时间，他们仅在进行讨论而未采取任何措施，那么可能你就必须将这一问题公开。一旦他们修复这一问题，也就不会有大影响了。毕竟，每个购买这一产品的人通常会检查一下产品是否有升级功能。

而物理安全则并不是如此。在许多情况下，物理安全系统都是来自于许多不同供应商，而且极可能还是由第三方供应商组装而成。通常，没有一家公司会对潜在漏洞进行投诉。此外，修复方式不只是一些软件下载，可能需服务人员出动，更换一些零件，因此它可能是非常昂贵且具破坏性的。在你让每个人都注意到一个物理安全漏洞时，你可能先要考虑一下这种方式对于修复这一问题是否实用。

当漏洞评估工作得到赞助时，赞助人可拥有发现的成果，但这也未必就表示漏洞评估员可以不警告他人。这点可能让那些想要雇人进行漏洞评估的CSO有些担心害怕，从而想要用一纸合约来确保评估结果依然为私人所有。举个例子吧，假设一家公司正考虑采用一款商用安全设备，假设我们对这款设备做了一次漏洞评估，可如果企业用一纸合约就可横加干涉，那么评估结果将起不到什么作用。我们知道商用设备一直被用于包括企业安全、美国国家安全以及核保障在内的各种应用中。我们相信我们负有道义上的责任，应告诉人们可能存在的问题。对于我们的这种处理方式，与我们合作过的大多数公司都未有任何异议；在一些案例中，甚至有一些企业是鼓励我们这样做的。