今日计算机架构从被动防御到主动出击的破局自首个计算机蠕虫出现恶意软件利用漏洞的威胁从未停歇。近期WannaCry勒索软件、物联网僵尸网络DNS攻击等事件更让我们警醒依赖“事后补救”的被动防御已无法应对日益隐蔽的攻击。本文提出计算机架构需转向「默认禁用」的主动安全逻辑从根源切断攻击路径。被动防御的两大死穴当前主流防御模式是「监控接口识别已知攻击签名」——比如杀毒软件扫描病毒特征、防火墙过滤恶意流量。但这种“亡羊补牢”的方式存在致命缺陷零日攻击无计可施只有已知攻击才有对应签名新漏洞零日出现时防御完全失效资源消耗难以为继监控需要大量计算资源嵌入式系统缺算力、高I/O系统数据过载根本无法支撑。主动安全用「默认禁用」锁死攻击入口主动安全的核心逻辑是限制“任意代码执行”的权限——攻击者的本质是利用“运行未知代码”的能力劫持系统而「默认禁用」除非明确授权否则禁止执行正是切断这一入口的关键。这类系统早已落地定制逻辑电路硬编码/验证比特流功能无法修改配备硬件监视器的处理器跟踪执行并与预定义、验证的模式进行比较强化操作系统限制功能减少攻击面“封闭式花园”控制允许运行的应用。它们对零日攻击同样有效——因为从根源限制了系统操作空间大幅降低攻击者的可乘之机。「自由」与「安全」不必二选一有人担心「默认禁用」会牺牲“运行任意代码的自由”其实无需焦虑大多数用户不编写代码只需使用现成应用——「选择应用的自由」已平衡安全与便利主动安全不等同于单一授权可像证书机构一样允许多个实体为可信代码签名用户不会被单一授权者绑定。互联网的启示根本性转变可行主动安全需要重构系统架构这很难互联网的发展已给出答案最初互联网是「默认允许任意流量」但商业普及后安全问题凸显。而软件定义网络SDN的出现让网络回到「默认禁用集中授权」——新连接需经控制器批准才能建立。尽管与原始设计相悖但数据中心和运营商仍热情部署因为它带来了更可控的环境。未来从「允许」到「禁止」的转向全球互联的今天计算机系统与有价值的信息、物理资源深度绑定攻击成本越来越低。我们需从「默认允许任意代码执行」转向「默认禁用授权后执行」代价新增代码需额外授权流程收益可防御所有已知/未知攻击比被动防御更可靠。最终问题留给行业放弃“运行任意代码的便利”换得更安全的数字环境是否值得本文转载自 雪兽软件更多精彩推荐请访问 雪兽软件官网