Facebook安全官談加密計(jì)劃:沒有完美的安全策略

發(fā)布時(shí)間:2014-03-26 15:03:20 瀏覽:

Facebook在全球用戶共享信息的基礎(chǔ)上建立了自己的業(yè)務(wù),但是保護(hù)這些數(shù)據(jù)卻是一個(gè)相當(dāng)大的責(zé)任——而這需要不斷增加透明度。

周二上午,F(xiàn)acebook首席安全官Joe Sullivan在公司總部的白板討論會(huì)上深入探討了公司的安全策略。


Sullivan解釋稱,這個(gè)策略是從Facebook內(nèi)部的安全知識(shí)和文化開始。


“你不能期待有完美的安全策略,”因?yàn)榘踩且粋€(gè)不斷改善的過程。


十年前,Sullivan懷疑大多數(shù)網(wǎng)民不能守護(hù)自己的安全,而且如果互聯(lián)網(wǎng)用戶不能預(yù)先采取合適的預(yù)警措施是無法建立安全模式的。


現(xiàn)在,Sullivan觀察發(fā)現(xiàn),安全已經(jīng)從“一些人不想做的事情”轉(zhuǎn)變?yōu)椤傲畲蠹腋械襟@喜”的事情——從公司在加州Menlo Park的總部用來當(dāng)案例的內(nèi)部攻擊和釣魚郵件開始。


Facebook要求員工打開登陸許可設(shè)置,增加安全驗(yàn)證層級,防止其他人登陸其賬戶,這個(gè)要求雖然簡單,但要讓員工習(xí)以為常,仍有很長的路要走。


在談到最近一些高端網(wǎng)絡(luò)攻擊時(shí),尤其是由敘利亞電子軍執(zhí)導(dǎo)的攻擊案例,Sullivan認(rèn)為這類攻擊總是存在人為和社交因素。


他認(rèn)為,對于Facebook而言,這涉及到每個(gè)員工。


“一些公司會(huì)在這方面設(shè)置專門的安全團(tuán)隊(duì),”Sullivan稱,F(xiàn)acebook至少有四個(gè)不同的團(tuán)隊(duì),覆蓋了技術(shù)安全,安全架構(gòu),網(wǎng)站整體性和安全幾個(gè)方面。


其中兩組安全團(tuán)隊(duì)直接向Sullivan報(bào)告,他承認(rèn),這在去年六月NSA事件被披露后,為他管理前端合法進(jìn)程提供了有用視角。


Facebook是聯(lián)邦秘密數(shù)據(jù)收集項(xiàng)目PRISM棱鏡計(jì)劃所利用的九大科技公司之一,棱鏡計(jì)劃最初是由斯諾登披露。


Facebook CEO 扎克伯格和其他技術(shù)大牛都一直想和NSA劃清界線,指責(zé)聯(lián)邦政府對侵犯隱私。


但是,Sullivan保持著冷靜的態(tài)度,稱他的工作之一就是避免發(fā)出不必要的警報(bào)。他補(bǔ)充稱,任何專注安全的人都不會(huì)被我們所見到的東西感到驚訝。


“我們這些安全人員,有妄想癥,”Sullivan稱?!暗钱?dāng)你真正看到一些部署的鐵證時(shí),你就從妄想癥患者變成了專家?!?/span>


加密就是安全領(lǐng)域的一個(gè)熱詞,即便在NSA的事件開始前也是,而且它也是周二白板討論會(huì)的主題。


但是Sullivan確定,加密不是隨便成為熱議話題的,要談?wù)撨@個(gè)話題,得先回答兩個(gè)問題:一是你做的是哪種加密,二是如何部署你的加密措施。


Suvillan強(qiáng)調(diào)稱,F(xiàn)acebook在2009年就開始部署HTTP的后防措施,以便用戶在2011年可以啟用。


當(dāng)時(shí)預(yù)計(jì),F(xiàn)acebook上三分之一的用戶都可以在功能上線后啟用,Sullivan承認(rèn)他當(dāng)時(shí)驚呆了,因?yàn)橛脩魧Π踩姆e極性很高,而且了解這種安全加密措施的不同之處。


Sullivan還指出,F(xiàn)acebook的開源存儲(chǔ)加密機(jī)制Conceal由一套安卓API組成。應(yīng)用可以利用Conceal加密數(shù)據(jù)和保存在公共位置(如SD卡)的大文件。


移動(dòng)是Facebook優(yōu)先考慮的東西,該公司的季度財(cái)報(bào)也表明移動(dòng)是其向前發(fā)展的主要營收來源。因此,保護(hù)這個(gè)渠道的數(shù)據(jù)將是重中之重。


談到Facebook在開源方面的持續(xù)動(dòng)作時(shí),Sullivan稱,每個(gè)公司都需要用發(fā)展的方式部署加密,要隨著標(biāo)準(zhǔn)的演化而演化。


當(dāng)問及他是否認(rèn)為斯諾登的行為是在尋求有關(guān)透明度的對話時(shí),Sullivan笑了,不過,他口風(fēng)很緊,表示不愿對此作出評價(jià),但歡迎這類討論。


Sullivan總結(jié)稱?!耙粋€(gè)人人關(guān)心安全和加密等事宜的世界,才充滿希望?!?/span>