Facebook安全官谈加密计划:没有完美的安全策略

发布时间:2014-03-26 15:03:20 浏览:

Facebook在全球用户共享信息的基础上建立了自己的业务,但是保护这些数据却是一个相当大的责任——而这需要不断增加透明度。

周二上午,Facebook首席安全官Joe Sullivan在公司总部的白板讨论会上深入探讨了公司的安全策略。


Sullivan解释称,这个策略是从Facebook内部的安全知识和文化开始。


“你不能期待有完美的安全策略,”因为安全是一个不断改善的过程。


十年前,Sullivan怀疑大多数网民不能守护自己的安全,而且如果互联网用户不能预先采取合适的预警措施是无法建立安全模式的。


现在,Sullivan观察发现,安全已经从“一些人不想做的事情”转变为“令大家感到惊喜”的事情——从公司在加州Menlo Park的总部用来当案例的内部攻击和钓鱼邮件开始。


Facebook要求员工打开登陆许可设置,增加安全验证层级,防止其他人登陆其账户,这个要求虽然简单,但要让员工习以为常,仍有很长的路要走。


在谈到最近一些高端网络攻击时,尤其是由叙利亚电子军执导的攻击案例,Sullivan认为这类攻击总是存在人为和社交因素。


他认为,对于Facebook而言,这涉及到每个员工。


“一些公司会在这方面设置专门的安全团队,”Sullivan称,Facebook至少有四个不同的团队,覆盖了技术安全,安全架构,网站整体性和安全几个方面。


其中两组安全团队直接向Sullivan报告,他承认,这在去年六月NSA事件被披露后,为他管理前端合法进程提供了有用视角。


Facebook是联邦秘密数据收集项目PRISM棱镜计划所利用的九大科技公司之一,棱镜计划最初是由斯诺登披露。


Facebook CEO 扎克伯格和其他技术大牛都一直想和NSA划清界线,指责联邦政府对侵犯隐私。


但是,Sullivan保持着冷静的态度,称他的工作之一就是避免发出不必要的警报。他补充称,任何专注安全的人都不会被我们所见到的东西感到惊讶。


“我们这些安全人员,有妄想症,”Sullivan称。“但是当你真正看到一些部署的铁证时,你就从妄想症患者变成了专家。”


加密就是安全领域的一个热词,即便在NSA的事件开始前也是,而且它也是周二白板讨论会的主题。


但是Sullivan确定,加密不是随便成为热议话题的,要谈论这个话题,得先回答两个问题:一是你做的是哪种加密,二是如何部署你的加密措施。


Suvillan强调称,Facebook在2009年就开始部署HTTP的后防措施,以便用户在2011年可以启用。


当时预计,Facebook上三分之一的用户都可以在功能上线后启用,Sullivan承认他当时惊呆了,因为用户对安全的积极性很高,而且了解这种安全加密措施的不同之处。


Sullivan还指出,Facebook的开源存储加密机制Conceal由一套安卓API组成。应用可以利用Conceal加密数据和保存在公共位置(如SD卡)的大文件。


移动是Facebook优先考虑的东西,该公司的季度财报也表明移动是其向前发展的主要营收来源。因此,保护这个渠道的数据将是重中之重。


谈到Facebook在开源方面的持续动作时,Sullivan称,每个公司都需要用发展的方式部署加密,要随着标准的演化而演化。


当问及他是否认为斯诺登的行为是在寻求有关透明度的对话时,Sullivan笑了,不过,他口风很紧,表示不愿对此作出评价,但欢迎这类讨论。


Sullivan总结称。“一个人人关心安全和加密等事宜的世界,才充满希望。”