如果你使用電腦的經(jīng)驗超過了十年半，那么你無意中以某種方式發(fā)現(xiàn)這些協(xié)議的幾率是非常高的，尤其是在大公司當(dāng)中。

如今的企業(yè)（特別是IT企業(yè)）跟1995年那時候的企業(yè)已經(jīng)有了巨大的不同，然Ylonen仍然致力于研究同一個關(guān)鍵問題：敏感信息的訪問安全問題。（他的公司，SSH通信安全，剛剛發(fā)布了一個新的SSH密鑰識別和清除服務(wù)。）事實證明，在這個隨時在線的世界中，它比任何時候都更加重要。

我們對他進行了采訪，了解企業(yè)如何保證他們的數(shù)據(jù)安全，以及某些錯誤做法。

ZDNet：你現(xiàn)在的工作內(nèi)容是什么？你想解決什么樣的問題呢？

Tatu Ylonen：我們正在努力解決的問題是關(guān)于在IT基礎(chǔ)設(shè)施中授權(quán)訪問服務(wù)器的關(guān)鍵問題，授權(quán)訪問在IT基礎(chǔ)設(shè)施的建設(shè)中還沒有真正得到妥善管理。我們已經(jīng)推出了減輕這些風(fēng)險的服務(wù)，前陣子，我們剛剛與一個重要的銀行完成250萬美元的合作。

我們基本上是為他們提供了一些基礎(chǔ)知識——關(guān)于如何獲得控制下的SSH密鑰以及IT環(huán)境中后門的相關(guān)內(nèi)容，然后幫助他們淘汰這些過時的密鑰。在今天的環(huán)境中，有成千上萬的這種密鑰。這是確保交易商或者其他人在未經(jīng)任何授權(quán)下，禁制訪問系統(tǒng)的。

我們想讓它能夠自動改變密鑰，所以，如果某些離職的員工存有密鑰副本，那么也能夠有效地阻止他們進行訪問。

在過去的幾年中，我們已經(jīng)挖掘出不少SSH密鑰管理的問題。我們得到了更多的用戶請求。排在我們前三名中的一個零售連鎖客戶，通過他所提供的問題我們開始挖掘。實際上跟大多數(shù)客戶一樣，他們當(dāng)中沒有一個人知道在他們的環(huán)境中到底有多少SSH密鑰。他們根本不清楚哪個人可以訪問些什么內(nèi)容，他們沒有控制權(quán)。

ZDNet：這聽起來可真瘋狂，真的。

Tatu Ylonen：這個問題已經(jīng)被掩藏在IT環(huán)境中了。在自動化管理責(zé)任中通常會使用到這種密鑰。這些企業(yè)似乎有2萬臺服務(wù)器運行在他們的IT環(huán)境中。其實，協(xié)議沒有什么錯誤，只是這些控制的管理一直都相當(dāng)草率。

一家銀行估計，他們在過去的10年中已經(jīng)累積了40萬的訪問密鑰。他們根本不清楚應(yīng)該刪除哪些密鑰，因為他們不知道那些密鑰是允許訪問什么內(nèi)容的。所以，他們不想再去關(guān)閉那些密鑰了，因為他們不想誤關(guān)了某些關(guān)鍵系統(tǒng)的訪問大門。

在一個全球性的銀行中，我們發(fā)現(xiàn)了超過一百萬個密鑰，而且都是授權(quán)訪問服務(wù)器的。百分之十給的是訪問根目錄的。你可以想象，最大的風(fēng)險是：在一種網(wǎng)絡(luò)中，這些密鑰能夠相互連接到不同的服務(wù)器。如果你闖入一臺服務(wù)器，那么肯定有相當(dāng)大的風(fēng)險，你就可以攻入到其他服務(wù)器，從而繼續(xù)攻擊所有的服務(wù)器。在短短幾分鐘之內(nèi)，你就有可能攻陷絕大部分的企業(yè)IT基礎(chǔ)設(shè)施。這聽起來似乎很愚蠢，哪個企業(yè)會這么做呢？但在1988年就發(fā)生過類似的攻擊事件。而很多企業(yè)中都存在著這樣的風(fēng)險，這是不容忽視的。

ZDNet：當(dāng)遇到這種問題，企業(yè)是處于主動的還是被動的呢？那么在危急發(fā)生之前，他們就沒發(fā)現(xiàn)并處理掉這些事情？

Tatu Ylonen：IT管理員只能看到基礎(chǔ)設(shè)施的一個小角落。他們只看到了問題的一部分，也不清楚問題的嚴重程度，也不知道他們到底有多少個密鑰。他們非常忙碌，尤其是在過去幾年的裁員中。他們只是沒有足夠的帶寬。甚至審計師也沒有意識到。

有很多管理員參與創(chuàng)建了這些密鑰。他們可以讀取和復(fù)制私有密鑰存儲在該賬戶上。有些密鑰很短，你甚至可以把它們寫在你的手背上。

我們可以來計算一下用于創(chuàng)建密鑰的成本。在一個企業(yè)中，200名管理員花費他們10%的時間來做這個。另一家企業(yè)設(shè)立了一個15人的專業(yè)團隊來進行安全管理。若你來估算一下做那種類似工作，每年的成本是多少，結(jié)果是在這些企業(yè)中大概相當(dāng)于2萬美元到3萬美元不等。這非常簡單，通過軟件就可以支付費用了。這可以讓某些人自圓其說了。

每個“財富”500強的企業(yè)中都存在著這樣一個問題。他們每個企業(yè)都有Linux和Unix服務(wù)器。這也是大型主機。使用SSH下的路由器進行管理。這也適用于最大的云服務(wù)提供商。世界上超過一半的網(wǎng)站都運行在Apache上，Apache運行在Linux或BSD上，通常，這些機器都使用SSH管理。

ZDNet：那他們會聽取意見嗎？

Tatu Ylonen：如果我們跟合適的人討論，他們幾乎都能認識到他們可能有問題。他們幾乎從沒有意識到問題的嚴重性。其實有很多的培訓(xùn)是必不可少的。

我相信大部分的美國上市公司都會遵守“薩班斯-奧克斯利法案”【美國法律，針對企業(yè)財務(wù)狀況收緊監(jiān)管的準確性——編者注】因為他們沒有正確地控制誰訪問什么，而且也沒有對離職員工進行終止訪問的管理，還沒有對這些密鑰進行正確地審核。

我們這兒有個具備20臺服務(wù)器的客戶案例。在這個項目中存在著大量的服務(wù)組件，我們需要雇傭其他資訊公司并且要對內(nèi)部的IT部門進行培訓(xùn)，從而讓他們掌握這些知識。審計準則的實施也存在著很大的問題，審計師不知道SSH密鑰的存在。

這個問題具有相當(dāng)大的挑戰(zhàn)性。對于我們來說，在商業(yè)上，它可以幫助我們擁有眾多使用SSH的大客戶——超過半數(shù)的美國十家最大的企業(yè)都在使用SSH。銀行和十個全球公司中的七個都在使用我們的商業(yè)SSH客戶端和服務(wù)器。我們可以跟他們談?wù)撌裁词钦嬲膯栴}。

ZDNet：在我最新的一些訪問中，發(fā)現(xiàn)對于網(wǎng)絡(luò)安全的態(tài)度已經(jīng)有了轉(zhuǎn)向，不再是只關(guān)注如果你被攻擊的問題，而是更關(guān)注于你何時被攻擊。你是否發(fā)現(xiàn)，企業(yè)高管們考慮安全問題的角度已經(jīng)有所不同？

Tatu Ylonen：如今，企業(yè)的邊界變得非常復(fù)雜。現(xiàn)在的工作環(huán)境是多點運行。人們在家里會用移動設(shè)備進行工作，也會把自己的筆記本電腦帶到辦公室。

你不再能夠控制一切。你必須具有多道防線。若是有一臺服務(wù)器被闖入，那你就需要及時控制事態(tài)，不能再讓他闖入到另一個服務(wù)器中。IT基礎(chǔ)設(shè)施已經(jīng)成為了一個將各種合作伙伴捆綁在一起的變形蟲。相關(guān)的協(xié)議也變得非常復(fù)雜，Javascript、Flash甚至是PDF等也變得極為復(fù)雜。即使在內(nèi)部，協(xié)議也是非常復(fù)雜的語義。因為更多的復(fù)雜性，所以你具有更大的潛在的暴露性。更多的代碼，更大的服務(wù)器，更多的漏洞。

我們已經(jīng)找到了發(fā)掘客戶環(huán)境中密鑰的方法——想要正確操作其本身也是相當(dāng)棘手的——并且要跟蹤環(huán)境，也就是找出哪些密鑰是可以使用的。這樣我們就會知道哪些密鑰是永遠不必刪除的了。當(dāng)我們要刪除根目錄的密鑰時，普通用戶對其它用戶不能創(chuàng)建密鑰，這特別適用于自動化流程——我們的自動化密鑰管理，讓他們每年減少了15-20人的崗位需求，從而節(jié)約了一部分相當(dāng)可觀的成本。然后我們開始旋轉(zhuǎn)該密鑰，使其每一個月或每三個月改變一次。

你可以節(jié)約成本，減少管理員數(shù)量，從而提高運營效率。而我們的目標就是將風(fēng)險降到最低。