时代在进步：十大注定要被淘汰的安全技术

一些防火墙厂商经常鼓吹他们的"高级"防火墙拥有传统产品远不能及的功能。但这种所谓的"高级防火墙"只要它们进行"数据包深度检查"或签名扫描，只会导致两种结果：其一，网速大幅度下降，返回结果充斥着假阳性；其二，只扫描一小部分攻击。大多数"高级"防火墙只会扫描数十到数百种攻击。如今，每天都会出现超过39万种新型恶意软件，这还不包括那些隐藏在合法活动中无法识别的。

　　即使防火墙真的达到了他们宣称的防护级别，它们也不是真的有效。因为如今企业面临的两种最主要的恶意攻击类型是：未打补丁的软件和社会工程。

　　这么说吧，是否配备防火墙都一样被黑。也许它们在过去表现太好了，导致黑客转向了别的攻击类型。但不管是什么原因，防火墙如今已经几乎没有用了，从过去十年前这个趋势就开始了。

　　No.6：反病毒扫描

　　恶意软件数量目前在数千万到上亿级别，其具体数字取决于你相信谁给出的数据。一个压倒性的事实是，反病毒扫描软件几乎已经没有用了。

　　但也并不是完全没用，因为它们会阻挡80到99.9%对普通用户的攻击。但普通用户每年都会接触到成百上千的恶意程序。哪怕用户手气再好，坏人也会时不时地赢上那么一两次。如果你的PC一年都没有接触到恶意软件，你一定是做了什么特别的事情。

　　这并不是说我们不应该为反病毒厂商喝彩。为了对抗天文数字的赔率，他们的工作量巨大。我想不到有任何一个产业能够应对恶意软件数量如此快速的增长，而且使用的还是自上世纪八十年代以来就存在的老技术，在那时候只有几十种病毒需要检测。

　　真正杀死反病毒扫描软件的不是恶意软件的数量，而是白名单。当今的普通计算机会运行所有你安装的程序。这使得恶意软件到处都是。但电脑和操作系统厂商已经开始改变"见什么运行什么"的模式，以提升用户的安全性。这项运动和杀毒软件是对立的。后者的逻辑是，让一切运行畅通，除了包括那些含有已知的那5亿反病毒签名的软件。"默认运行，例外禁止"正被"默认禁止，例外运行"所代替。

　　当然，电脑上早就有白名单程序了，也就是应用控制软件。我在2009年回顾了一些受欢迎的此类产品。问题在于：大多数人不使用白名单，即便它是内置的。最大的障碍？用户担心不能再安装所有那些乱七八糟的东西了，而且批准能在用户系统上运行的所有软件也是一项令人头疼的工程。

　　然而恶意软件和黑客攻击正日益普遍，厂商开始在默认情况下启用白名单。苹果的OS X系统在三年前推出了一项默认白名单功能，被称为Gatekeeper。iOS设备使用白名单机制的历史更长，除非越狱，它们只能运行被批准在App Store上架的应用。苹果漏掉了一些恶意软件，但这项工程对于阻止针对流行操作系统和程序的大量恶意软件功不可没。

　　微软在更早的时候就通过软件限制策略（Software Restriction Policies）和AppLocker引入了类似机制。Windows10带来的DeviceGuard则有力地推动了这项工程。微软的Windows 商店采取了和苹果App Store类似的保护机制。尽管微软不会默认开启DeviceGuard，也不会默认只运行从Windows商店上安装的应用，但白名单功能已经相对健全，也比以前更易用。

　　一旦白名单变成了多数操作系统上的默认选项，对恶意软件而言就是游戏结束的时间，然后，对反病毒扫描软件而言也是如此。很难说人们会想念两者之中的任何一个。

　　No.7：反骚扰过滤

　　骚扰邮件仍旧占全网邮件数的一半。多亏了反骚扰过滤，你可能没有注意到这一点。反骚扰过滤真的实现了那些反病毒厂商声称的精确性，不过它们每天仍旧会漏过数以十亿计的邮件。只有两件东西可以阻止骚扰：通用的、普适的、高安全性的认证和更具结合性的国际法。

　　垃圾邮件发送者仍旧存在，因为我们很难轻易抓住他们。但随着互联网日益成熟，普适性的匿名将被高可信度的身份所代替。到那时，如果一个人给你发邮件说有一麻袋钱要寄给你，你能够同时确定他是否真的是他。

　　只有通过对每个用户的登录都采取双因素验证，才能实现高可信度的身份，然后则是高可信度的计算机和网络。发送者和接受者之间的每一个齿轮都会有更高的可靠性。这种可靠性是通过无处不在的HTTPS提供的，但要确认你就是你，还需要加入额外机制。

　　今天，几乎所有人都可以声称自己是某某，而我们并没有普适性的方式来验证他的说法。这将会改变。几乎每一种我们依赖的关键基础设施：交通、电力等等都需要这样的身份凭据。互联网现在还处在狂野西部的时代，但它作为基础设施的本质日益凸现，几乎必然向身份凭据化的方向发展。

国际边境问