25年一直未變!網絡安全永恒的“十大法則”
責編:gltian |2025-07-30 14:28:27早在二十一世紀初,微軟就發布了一份能經受住時間考驗的清單:《安全十誡》(10 Immutable Laws of Security)。它們談的不是可以通過補丁修復的軟件漏洞或零日漏洞,而是關乎計算和風險的根本真理。正如微軟安全響應中心所言,許多安全問題并非源于產品缺陷,它們源于的是系統、人以及信任的本質。我們無法用代碼“修復”這些問題,因為它們并非傳統意義上的漏洞——它們是計算機及使用者工作方式的固有屬性。
微軟當時給出的免責聲明至今依然適用:不要等待補丁,因為根本性的安全問題會持續存在,無論推出了多少新功能或檢測手段。運行不受信任的代碼、密鑰管理不善、身份驗證實踐薄弱、內部人員風險、對技術抱有絕對完美的幻想……二十五年過去了,微軟當年指出的這些問題無一消失,各行各業仍在寄希望于魔法般的解決方案、產品、平臺或合規檢查清單,能夠一次性“搞定所有安全問題”。
網絡安全領域撰寫者Ross Haleliuk對此表示,這十誡背后的核心思想是:安全不僅是一個技術問題,更是一個涉及人員、方法、架構和激勵機制的“system-of-systems”問題。下文將詳細闡述Ross對安全十誡的解讀和看法,以及2025年后,安全十誡會有怎樣的變化。
法則一:如果攻擊者能誘使你運行他的程序,那你的計算機就被徹底攻破了
“這是計算機科學中一個不幸的事實:當計算機程序運行時,它會按照編程執行任務,即使被編程為有害行為。當你選擇運行一個程序時,你就是在做出決定,將計算機的控制權移交給它。一旦程序運行起來,它可以做任何事,權限上限等同于你自己在該計算機上的權限……這就是為什么切勿運行甚至下載來自不可信來源的程序至關重要——這里的‘來源’指的是編寫程序的人,而非把它交給你的人。運行程序和吃三明治之間有很好的類比,想象一個陌生人遞給你三明治,你會吃嗎?大概率不會。若是摯友所贈呢?你可能會接受,但也會遲疑——這取決于三明治是他親手制作,還是街上撿來的。程序安全的關鍵也在于此:對來源不明的代碼保持同等警惕,才能最大程度規避風險。” — 《安全十誡》
令人既震撼又不安的是,這條微軟25年前發出的警告,在當下的現實意義竟遠超其發布之時。我們曾天真相信能掌控“程序運行路徑”,而這樣的時代早已終結。如今的攻擊載體遠不止EXE文件,這份威脅清單仍在持續膨脹:
?不斷增加的瀏覽器擴展:半年前的Cyberheaven事件就是因無人能真正控制它們;
?不斷增加的惡意VSCode擴展:其中一些能將加密挖礦程序感染至Windows系統
?不斷增長的SaaS插件:如Salesforce插件、Slack機器人等,可被攻擊者利用來達成目標
?爆炸式增長的AI智能體:能自主執行任務以實現目標,卻也因此暴露出新的攻擊面。以LLM提示注入(prompt injection)為例,其本質上是通過特制輸入,“誘導”AI代理執行攻擊者指令的攻擊形式,與傳統軟件漏洞的危害機制具有相似性。
上述每個案例都擴展了不可信代碼的載體面(attack surface)。盡管我們對底層平臺(如Chrome/VSCode/Slack/Salesforce)的安全性評估相對成熟,卻嚴重缺乏對激增插件的有效管控能力。更嚴峻的是,軟件供應鏈攻擊的激增意味著,即使受信開發者也可能在無意識中執行惡意代碼。借用微軟的類比:這就如同從信任的米其林餐廳購買三明治,卻因千里之外肉類供應商的惡意投毒而中毒。你雖避開了陌生人的食物,卻因信任鏈的無限延伸而受害。
法則二:如果攻擊者能更改你計算機上的操作系統,那這就等于交出了計算機的所有權
“說到底,操作系統不過是一系列的0和1(二進制數據),處理器在解釋這些數據后,使計算機執行特定操作。改變這些個0和1,執行的動作就會不同。那么這些0和1存儲在哪兒?當然是在計算機上,與其他所有東西一起!它們只是些文件,如果允許其他使用該計算機的人修改這些文件,那就將‘game over’……” — 《安全十誡》
在當今云優先(cloud-first)的世界里,“操作系統”的定義已遠超出實體機器的范疇。雖然傳統的操作系統篡改依然存在,但攻擊者如今更傾向于顛覆管理虛擬機或容器集群的控制面(control plane)。在云環境中,控制面或元數據API遭到破壞,常常能達到與直接篡改操作系統相同的效果:徹底接管工作負載。
這條法則比以往任何時候都更具現實意義,因為現代基礎設施建立在很少被驗證的信任層級上。基礎設施即代碼(Infrastructure-as-Code)可能意外大規模傳播惡意變更,CI/CD流水線通常擁有對系統配置的寫入權限,配置錯誤的代理(agent)可能被利用以獲取系統級權限。甚至旨在提供安全防護的終端代理(如EDRs)也成了攻擊目標——如果攻擊者將其禁用或篡改,下游的遙測和防護措施便會失效。保護“操作系統”已變得更加復雜和分布式,但其關鍵性一如既往。
法則三:如果攻擊者能不受限制地接觸到你的計算機,那就等于攻破了你的計算機
“……始終確保計算機的實體防護與其價值相匹配——謹記計算機的價值不僅包括硬件本身價值,更包含其上數據的價值,以及攻擊者可能借其獲取的網絡訪問權。至少,業務關鍵設備(如域控制器、數據庫服務器、打印/文件服務器)必須置于帶鎖房間內,僅限負責管理維護的人員接觸。但也應考慮保護其他計算機,并盡可能采取額外的防護措施……” — 《安全十誡》
自混合工作模式興起以來,這條法則的含義和適用場景已發生顯著變化。如今的筆記本電腦遍布家庭、機場和共享辦公空間,盡管越來越多的企業推行返崗政策,但據Ross觀察,許多員工仍隨身攜帶設備。
針對該問題,Ross觀察到兩種不同觀點:
1、一類安全負責人仍將筆記本視為重點防護資產:通過EDR終端防護、全盤加密、安全啟動、移動設備管理(MDM)和遠程擦除功能加固安全。對他們而言,物理接觸仍是嚴重威脅。
2、另一類安全管理者則將終端默認為可消耗性且不可信設備。這些組織會將關鍵控制機制上移——置于瀏覽器層、SaaS層或安全訪問邊緣(SASE),并全面部署身份管控/單點登錄/多因素認證(SSO/MFA)。他們假設設備終將丟失、失竊或被攻陷,因而著力控制訪問權限、隔離會話環境,并確保設備不存儲高價值數據。
兩派共識在于:一旦攻擊者獲得對計算機的無限制物理訪問權,便能掌控該設備;分歧則在于,具備了這種種掌控是否仍具威脅性。
法則四:如果你允許攻擊者向你的網站上傳程序,那就等于開放了網站的所有權
“這本質上是法則一的反向版本……雖然‘允許陌生人連接計算機’始終存在風險,但網站無疑是此類情況的重災區。許多網站運營者過于‘好客’,竟允許訪客上傳并運行程序……若運營網站,務必限制訪客操作權限。僅應允許自己編寫或開發可信的程序運行于站點。同時,若網站托管于共享服務器,更需格外謹慎。”— 《安全十誡》
這條法則的核心依然成立:攻擊者若能向網站上傳程序,即可掌控該網站。但與2000年不同的是,如今我們已能更好地應對任意文件上傳或Web服務器直接代碼執行等情形。現代Web框架自帶防護機制,無服務器架構(Serverless)配合WAF防火墻,已能有效防護二十五年前的常見入侵。開發者衛生(dev hygiene)的進步,比如安全檢查工具和CI流水線對高危模式的攔截等亦有所助益。然而,雖然舊有難題大多消失,但新型威脅卻層出不窮。
現代Web威脅較少源于攻擊者直接上傳惡意軟件,更多來自復雜供應鏈路徑:惡意開源組件、遭污染的構建產物、存漏洞的第三方SDK、未經驗證的CI/CD工作流。在多租戶環境中,若隔離邊界不嚴格,單租戶淪陷仍會波及其他;在無服務器平臺中,權限范圍配置不當可使攻擊者操控的輸入觸發敏感工作流。基礎設施加固雖有進展,但攻擊面相較二十五年前已呈爆炸式增長。
法則五:弱密碼終將擊潰強安全
“登錄流程旨在確認用戶身份。操作系統一旦識別身份,便能按需授予或拒絕對系統資源的請求。若攻擊者獲知你的密碼,便能以你的身份登錄。因此,務必設置密碼。而令人驚訝的是,竟有如此多賬戶使用空密碼!所以,想要保護好你的數據資產,請選擇使用復雜密碼,勿用寵物名、紀念日或本地足球隊名,更禁用‘password’一詞!密碼應混合大小寫字母、數字及標點符號,長度最大化,并定期更換……最后,建議采用比密碼更強驗證方式,例如 Windows 2000 支持的智能卡可大幅增強系統身份驗證能力,亦可考慮指紋/視網膜掃描儀等生物識別產品……” — 《安全十誡》
Ross確信,對于像他這樣從業不足二十年的安全人員來說,讀到這段十誡必然深感不安。試想:二十五年前微軟就要求用戶設強密碼并警告勿用“password”作為密碼,而時至今日,仍有46%用戶傾向使用易記密碼而非安全密碼。Ross例舉了五大常用密碼,它們依次是123456、123456789、12345678、password(微軟,要令你失望了)以及qwerty123。
當然,某些觀念在二十一世紀后確有更新:截至2024年,微軟“頻繁更換密碼”的建議已被棄用,行業共識已從“使用強密碼”轉向“去密碼化”。但不變之處更多:智能卡仍廣泛使用(盡管現更希望推廣Passkeys通行密鑰),而“考慮指紋/視網膜掃描儀等生物識別產品”的建議依然有效。所以簡言之:弱密碼仍能戰勝強安全。
法則六:計算機的安全性永遠取決于管理員的可信度
“每臺計算機都必須配備管理員:此人負責安裝軟件、配置操作系統、增刪管理用戶賬戶、制定安全策略,以及處理所有保障設備運行的維護任務。這些職責天然要求其對計算機擁有控制權,使管理員處于無與倫比的權力位置……若管理員不可信,則安全蕩然無存……招聘系統管理員時,應認清該職位承載的信任重量,只任用值得托付者。核查其推薦人背景,詳詢過往工作記錄。若符合組織要求,可效仿銀行及其他高安全意識企業的做法:要求管理員入職時通過全面背景審查,并定期復檢。無論采用何種標準,務必一視同仁,包括臨時工與承包商在內的任何人員,未經審查不得授予網絡管理權限。” — 《安全十誡》
當微軟首次發布安全十誡時,就特別強調了對系統管理員進行背景審查這一措施。如今,曾僅限于“銀行及其他高安全意識企業”的背景審查已幾乎成為各行業的實踐標準。但未曾改變的是對“信任終身制”的默認假設——盡管個人境遇和權限層級會發生變化,多數組織仍默認入職時的可信者將永遠可信,特權用戶定期復檢在現實中基本還是理論概念。這也解釋了為何內部威脅始終高居不下。
Ross對此表示,整體而言我們確有進步:相比過去,如今少有企業會使用共享管理員憑證,但這仍比大眾認知的更為普遍。另一項未被充分采納的最佳實踐是管理賬戶與日常賬戶分離:許多管理員仍用特權賬戶處理收發郵件、網頁瀏覽等常規工作,極大增加入侵風險。盡管特權訪問管理(PAM)和即時訪問(JIT)等解決方案已存在,但文化慣性與便利性往往凌駕于安全規范之上。
當然,“管理員”的定義本身也已改變:過去權限由IT部門集中管控,而今越來越多會由業務部門自主管理。特權遍布云端平臺、SaaS工具、CI/CD流水線和身份提供商系統,罕有組織能清晰掌握環境中的權限分布。Ross說,我們雖在RBAC(基于角色的訪問控制)和審計日志方面有所改進,但因多數SaaS供應商未提供精細管控能力,因此對于實際掌權者來說仍困難重重。
法則七:解密密鑰的安全性永遠等同于加密數據的安全性
“假設你在前門安裝了全球最堅固的安全鎖,卻把鑰匙藏在門口的腳墊下,鎖的強度還重要嗎?顯然,許多關鍵漏洞都在于鑰匙保護不當,因為竊賊一旦找到鑰匙,便能打開所有門禁。加密數據同理:無論算法多強大,數據安全完全取決于解密密鑰的保護程度……盡可能采用離線方式存儲密鑰:若是字符組合則牢記于心;若非字符組合,可導出至軟盤備份,并將備份存放于不同安全地點。” — 《安全十誡》
Ross表示,除“軟盤”這一時代產物外,法則七的核心依然成立。當前加密技術雖廣泛應用于存儲、傳輸甚至內存保護,但核心難點始終在密鑰管理而非算法本身。現代云平臺默認加密數據,但若密鑰存儲在同一環境(如通過過度寬松的IAM角色或暴露的元數據API訪問),攻擊者獲取憑證后仍可解密數據。變化在于規模:如今密鑰遍布云密鑰管理系統(KMS)、CI/CD機密庫、SaaS工具,甚至硬編碼在代碼倉庫中。新興的密鑰掃描與非人身份工具正試圖解決此問題,但這僅是冰山一角。
微軟的比喻依然精辟:當鑰匙藏在腳墊下時,鎖具的安全便毫無意義。硬編碼密鑰、CI日志殘留訪問令牌、云存儲未受保護憑據等行為仍比比皆是。歸根結底,若密鑰管理不被視為頭等大事,那加密就只是在營造虛假安全感(密鑰泄露時,數據無異于明文)。后量子加密技術仍在試圖抵御未來量子計算機威脅,但若今日的密鑰因操作不當而暴露,其優勢便毫無意義。至少目前來看,我們遭遇的安全事件多源于密鑰管理疏漏,而非超級計算機攻擊。
法則八:過期的病毒掃描器好比沒有掃描器
“病毒掃描器通過比對計算機數據與病毒‘特征庫’(signatures)進行工作。每個特征代表特定病毒的特質,當掃描器在文件、郵件等處發現匹配特征的數據時,即判定發現病毒。但掃描器僅能識別已知病毒。由于新病毒每日涌現,保持特征庫更新至關重要……幾乎所有殺毒軟件廠商均提供官網免費更新通道,許多甚至設有主動推送服務。因此如果我們想保護好自己的數據資產,就要善用這些服務,同時務必更新掃描器本體(即掃描軟件),病毒編寫者會持續開發新技術,迫使掃描器調整工作邏輯。” — 《安全十誡》
Ross表示,二十五年前微軟制定安全十誡時,安全防護基本等同于終端殺毒+網絡防火墻。今時不同往日,普通企業部署的安全工具已達30至100種。盡管法則八特指病毒掃描器,但其內核邏輯適用于當今企業環境中的每一款產品。
兩年前Ross在題為《工具難挽危局,但若已有工具為何不物盡其用?》的博客中深入探討過此問題:
多數企業的安全團隊已配備足夠工具強化防護。短板在于工具的運維化,比如確保其正確配置、驗證功能如預期運行、規模化處理工具告警等。常見情景是:企業斥巨資部署數據防泄漏(DLP)工具,卻發現30%檢測功能被禁用;或因資源不足,安全團隊直接忽略漏洞報告。
Ross介紹,Phil Venables是倡導“最大化利用現有工具”理念的先驅,Venables在2019年撰文詳述安全控制實踐;此外,2022年Jeremiah Groisman在推特引發熱議:“在各位的安全經驗中,當本應阻斷攻擊的安全控制措施失效時,主因是控制措施本身無效,還是配置錯誤或未被采納?”;2023年3月Phil Venables再發文《對抗安全熵增》,提出“通過持續控制監控(continuous control monitoring)踐行控制可靠性工程思維,是對抗控制效能必然衰退的核心”。兩周后,《CISO Series》的制片人David Spark、LinkedIn的CSO Geoff Belknap及FLEETCOR IT風控副總裁Kenneth Foster圍繞此話題展開深度討論。
當安全團隊部署新工具時,是用戶能完整享受其功能的唯一時刻,此后控制質量即開始衰減。盡管廠商持續發布新功能、擴展覆蓋范圍,但多數更新默認禁用被埋藏于營銷公告深處。安全團隊大多疲于應付告警,更遑論優化每款產品配置。這一困境在二十五年前的殺毒軟件時代已然存在,于今尤甚。
法則九:絕對匿名在現實與網絡中皆不切實際
“任何人際互動都必然伴隨數據交換。當碎片化數據累積到臨界密度時,身份還原便成必然。試想一次簡短對話中他人獲取的信息量,攻擊者無需耗時太久即可拼湊出你的數字畫像。若追求絕對匿名,現實世界的解法是退隱洞穴切斷人際接觸,網絡空間亦同此理。網站所有者若有足夠動機,終能追蹤到訪問者身份:畢竟所有網絡會話的數據流終需抵達物理終點——你的設備。盡管現有技術(如Tor/VPN/代理鏈)可分層隱匿數據蹤跡,且復雜度每增加一層溯源難度便呈指數級上升,但這些手段僅能提升攻擊成本,而非創造絕對不可破解性。這是否宣告網絡隱私必然死亡?絕非如此。有效保護隱私的核心路徑與現實世界完全一致:通過行為模式管理控制信息暴露量級——但若執迷于徹底匿名,洞穴仍在群山深處等著你。” — 《安全十誡》
此法則誕生時,隱私擔憂對多數用戶尚屬假設性議題。社交媒體未主宰日常生活、智能手機未全方位追蹤、監控資本主義仍在萌芽。當前數字社會已深度擁抱這類特殊交易:用戶以個人數據為貨幣,換取便利性、免費服務與個性化內容。Facebook、Instagram、TikTok及谷歌等平臺構筑了龐大的行為畫像經濟生態,其核心盈利模式依賴廣告定向與數據資本化。盡管匿名技術持續進化(如VPN、Tor、加密通信、瀏覽器強化),其應用仍囿于技術圈層——復雜的操作門檻使其僅服務于少數“隱私聲量群體”。對絕大多數人而言,隱私已成為接入數字文明的必然代價
Ross認為安全十誡的第九法則依然成立,但需補充兩個重要注腳:
1. 無論消費者或科技公司,匿名需求已被排至次要位置;
2. 宣稱通過特定“行為模式”即可保護網絡隱私的建議已不合時宜。從人們踏出家門的瞬間,一切行為即被記錄,每步足跡、每次交易、每次互動均被匯入了數據倉庫,用于生成更精準的購物推薦和內容推送。盡管隱私法規倡導控制權與透明度,但復雜的同意流程、暗黑模式(dark patterns)及疲軟執法常使其形同虛設。極少有用戶能真正理解數據采集規模及其跨設備跨服務的關聯性,而真正在意的人恐怕更少。
法則十:技術并非萬能藥
“技術創造力的確堪稱奇跡。硬件能力指數級提升疊加成本持續下探,軟件借勢重塑數字疆界,密碼學等領域更是突破不斷——這些催生了一種危險的烏托邦幻覺:似乎只要足夠努力,技術終將帶來零風險世界,而此乃根本性誤判。
‘完美的安全’要求技術與人性的絕對無暇,而這兩者恰是系統中最不穩定的變量。軟件開發本質是缺陷共生的藝術,所有程序皆存紕漏,部分終將轉化為可被利用的漏洞。更深刻的是:即便代碼臻于完美,攻擊者仍能通過社會工程突破防線。當技術防護成本激增,人性必成新的攻擊界面。不理解自身在安全生態中的角色者,終將成為防御鏈中最脆弱的環節。
破局之道在于掌握兩大鐵律:1、安全是技術與策略的動態耦合——即工具效能與實施邏輯共同塑造最終防御強度;2、安全是持續演進的博弈過程——它拒絕‘終結方案’,永恒存在攻防對抗的此消彼長。
核心在于:在技術創新中保持縱深防御思維,在復雜決策中運用結構化風險評估模型。現有資源如微軟安全中心(含數百份威脅分析、加固指南、檢查清單及開源工具)可為實踐提供支撐。唯有當硬科技與軟智慧共振時,方能在風險浪潮中筑起動態安全的堤壩。” — 《安全十誡》
Ross表示,閱讀這段文字時會覺得詫異:它既非2024年黑帽大會的演講,亦非某位直言CISO的思想洞見,而是來自二十五年前的文章!這些話語清晰表明,早在2000年我們就已深知安全本質,與今時認知無異。
此法則最歷久彌新,卻也最常被忽視。安全供應商仍在承諾下一代平臺、AI檢測模型、智能體框架或零信任架構終將“徹底解決”安全問題,但真相未改:技術可降低風險,卻無法消除風險。每項新控制措施都帶來新的復雜度、新的配置失誤及新的盲區,而每次安全事件終將利用這些缺陷,無論是攻擊者串聯微妙弱點,抑或是團隊誤用本應守護自身的工具。“完美的安全”只是鏡花水月,因為完美軟件、完美配置與完美行為皆不存在。半年前Ross曾在《安全漏洞僅有兩源:軟件缺陷與配置錯誤》一文中闡明此理。若再加上安全十誡強調的社交工程問題,便構成了貫穿過去、現在與未來的“三重頑疾”(unholy triad)。
其癥結在于:眾多組織仍試圖“購買”安全,而非將其融入文化、系統與運營,幻想技術能替代嚴謹流程、權責機制與意識培養。這雖然是老生常談,但再昂貴的產品也無法彌補這樣的缺陷:失控的訪問權限、缺失的資產清單、未受訓的員工或崩潰的響應流程。若無人監控告警,天價XDR(擴展檢測響應)系統形同虛設;若權限過度分配,頂級IAM(身份訪問管理)方案亦難降風險。安全工作的真諦在于設定邊界、執行約束、提出詰問,并日復一日地踐行。
今時不同往日的是,安全已成董事會層級議題,但對“銀彈”(silver bullets)的渴求仍存。AI即最新候選者:供應商承諾其將遏止威脅、替代分析師、填補人才缺口。此說或許成真,但攻擊者同樣能運用AI,博弈天平永不靜止。這意味著唯一持久的優勢非更智能的工具,而是更嚴謹的思維。Ross說,安全不是產品,而是實踐。技術固然助力,但唯有判斷力、流程規范與責任歸屬,方能區分堅韌組織與淪陷者。二十五年前如此,二十五年后亦然。
結語
文章最后,Ross表示,其主要思想并非斷言過去的25年毫無變革,事實恰恰相反,他曾詳述自己對網絡安全前景持樂觀態度,過去三十載安全界確已取得長足進步,比如:
1、僅29年歷史的CISO角色如今認可度遠超十年前,職能認知亦顯著深化;
2、網絡安全已成董事會層級議題,推動越來越多安全負責人獲得話語權,甚至躋身上市公司及私營企業董事會;
3、創新共享協作網絡穩步構建——從信息共享與分析中心(ISACs)到同行交流網絡,CISO們已有豐富渠道互通知識;
4、漏洞賞金與負責任披露制度已成行業主流。微軟的轉變極具代表性:2009年其高管曾公開反對效仿Mozilla與谷歌的漏洞付費機制,而如今其不僅成為負責任披露的堅定踐行者,更推動幾乎所有頭部企業加入漏洞賞金生態;
5、近年跨境合作成效卓著,FBI、國際刑警、英國國家犯罪調查局、美國特勤局及加拿大、德國、法國、羅馬尼亞、立陶宛、瑞典、挪威、葡萄牙、西班牙、愛爾蘭等十余國執法機構協同行動,有力打擊網絡犯罪集團與勒索組織。
Ross對此表示,行業進步遠不止于此,這些成就理應被傳頌禮贊。然而耐人尋味的是:縱使產業格局變遷、技術迭代演進、安全領導者代際更替、微軟標識革新,二十五年前定義的安全十誡至今仍如當時般振聾發聵。有人認為這昭示安全領域“已然崩壞”,但Ross并不認同。“我深契Stafford Beer的洞見:‘系統的本質在于其實際行為,標榜其未能實現的目標毫無意義。’安全即是如此,接納此現實方為有效駕馭之第一步。”
原文地址:
https://ventureinsecurity.net/p/10-immutable-laws-of-security-25
作者:
Ross Haleliuk 網絡安全領域撰寫者