“根本上不可能有完美的防守。”

在國際象棋中，您有64個方格，2人在玩，以及一組不變的，眾所周知的規則。

在服務器基礎結構中，有無數的資產和接近這些資產的方法，數量不明的人在玩，規則不斷變化，而玩家故意彎曲，破壞或繞過規則。

請考慮兩個可以證明我觀點的元素：零天和巧克力棒。

首先，零時更改遊戲規則。一方雖然獲得了這一要素的好處，但另一方卻沒有意識到這一優勢，並且即使最終知道了這些攻擊，仍然可能無法抵抗這些攻擊。每個零日都是一條不規則地應用於遊戲的新規則。即使可以設計並完美實施“完善的安全策略”，零日也意味著該策略建立在防禦方可能永遠不會知道的未知弱點上。

第二，巧克力棒可以做到破壞基礎架構的安全性比其他任何因素都更多。我的意思是說，人們可能被賄賂或引誘到“轉換側”，並給相對側以優勢，有時是像巧克力棒一樣小的東西（研究表明）。網絡釣魚，賄賂，數據洩露等都是技術無法完全解決的人為因素。只要在基礎架構中擁有人手，系統中總會存在這種弱點。

做什麼？

在歷史上，我們看到了許多情況，在這種情況下，大規模的防禦嘗試被一些不可預見的小事打敗了（例如，中國的長城之門向a子打開了，a子是蒙古人的雙重代理人）。作為防御者，目標不是建立完美的防禦系統，而是設計一種彈性和透明的基礎結構，使攻擊者可以快速看到攻擊並做出完全反應。不是更高的城牆，而是更警覺的民兵。不是不可動搖的基礎，而是可替換的體系結構。

可以證明安全性，但是您必須了解證明的事實

https://sel4.systems/FAQ/proof.pml

我們的高級自然語言證明如下：

seL4微內核的二進制代碼正確地實現了其抽象規範中描述的行為，僅此而已。此外，該規範和seL4二進製文件滿足稱為安全性和機密性的經典安全屬性。

完整性表示未經許可就不能更改數據，而機密性意味著未經許可就不能讀取數據。

我們的證明甚至更進一步，表明在一定程度上，未經允許就無法推斷數據。已知存在所謂的信息側信道（也稱為隱蔽信道）。該證明僅涵蓋形式模型中存在的那些信息推斷渠道：機密性證明涵蓋所有內核存儲渠道，但不包括必須憑經驗處理的計時渠道。

因此，為什麼每個人都不只是使用sel4？ （當前最有可能遇到的地方是某些Apple設備的TrustZone處理器上。）

答案是，證明僅覆蓋內核，而不涉及任何用戶空間軟件。您可能要運行。例如，沒有經過驗證的安全Web服務器，更不用說要在其上運行的應用程序的語言實現了。而且，您還必須證明您的Web應用程序安全。開發這些東西將需要非常大的投資，沒有大公司對此感興趣。

高安全性系統通常會在密鑰和登錄管理點受到攻擊

如果管理員錯誤地將密碼保留在pastebin上，則係統的安全性無關緊要。就在前幾天，我們看到TSA員工在Twitter上發布了（物理）TSA萬能鑰匙在行李箱鎖上的圖片，因此這些東西都遭到了破壞。弱密碼，可猜測的密碼，不安全存儲的密碼，不良的硬件安全令牌，複製的指紋：所有這些都是可能的攻擊媒介。

沒有人發現任何特殊的理由相信他們已經找到了這樣的系統。

您提到國際象棋，這是一個在8x8網格上不錯的遊戲。考慮到現代服務器要比這複雜得多。相反，讓我們在65536x65536的面板中播放，使其更加逼真。同樣，在國際象棋中，您玩的次數越多，可能的位置就越少。相反，一個更現實的系統就像Go。您玩的越多，位置就越糾纏在一起。我會注意到，圍棋遊戲使我們在國際象棋計算機上的工作顯得微不足道。

康威，大約在1970年左右，試圖打破圍棋的遊戲。他發現，董事會經常似乎會分成子遊戲，每個子遊戲都在自己的空間中進行遊戲以增加最終的贏家。他發現他們一起工作的方式非常複雜。結果，他發現了超現實的數字，這個數字方案實際上比我們在物理學中使用的實際數字更大。別開玩笑，實際上預測全球天氣要比分而治之在Go比賽中獲勝要容易。這裡可能有“勝利”的案例嗎？也許。祝你好運。唯一可以確定的方法是一次性解決整個65536x65536電路板的問題。

凱文·米特尼克（Kevin Mitnick）在他的其中一本書中評論道：唯一真正安全的計算機是與互聯網斷開連接，斷電，拔下電源並存儲在武裝警衛下的混凝土掩體中的計算機。即使這樣，我也會不時檢查一下。”

與國際象棋的比較很有趣，因為它表明了保護系統不是什麼。與國際象棋相比，IT安全中好人與壞人之間的比賽沒有固定的規則，您不知道對手是誰，並且可以在國際象棋棋盤之外受到攻擊。而且，如果對手輸了一個數字，那麼您就可以得到一個新的數字。

• 保護您的系統的資源（時間，金錢，知識）有限。攻擊者的資源也很有限，但是如果您是一個有趣的目標，那麼就會有足夠的黑客感興趣，而這些黑客總共可能擁有比您更多的資源。這意味著關閉攻擊者可能用來進入的所有可能的方式（可能對您來說是未知的）。攻擊者只能找到一種方法並使用它。
• 此外，可用性和安全性之間存在衝突。只需查看密碼的訪問控制，重置忘記的密碼的方法等即可。由於其在安全性和可用性之間進行了權衡，因此設計上並非100％安全。您可以將所有用戶轉移到更安全的方法上，例如兩因素授權，客戶端證書，智能卡等，但是這些方法對於用戶而言可能會帶來很大的不便，並且會失去客戶。而且它們也不是100％安全的，僅比密碼安全。
• 安全性和性能之間也存在衝突。您越難分析所有傳入數據以檢測攻擊，速度就會越慢。儘管您可以投入更多的硬件解決問題，但它不會線性擴展，因此您必須在分析速度和深度之間找到平衡。
• 您必須處理不安全的軟件。它可能是封閉源代碼，因此您無法查找和修復它，但是即使使用開放源代碼，您也沒有時間和經驗來發現任何意外或故意隱藏的錯誤或後門。即使您擁有所有的錢和最好的專家，您也有有限的時間進行評估和分析，但並不能與專家的數量成線性比例（即，如果您獲得1000名專家，這無濟於事）必須分析1000行代碼，因為這1000行不是彼此獨立的。）
• 最後還有一些人可以保護您的基礎結構並可以訪問您的基礎結構。他們是人類，因此可以受到社會工程學的攻擊，賄賂，勒索...

總之：理論上，您可能擁有無限的資源（時間，金錢，知識，無限的快速硬件） ）以保護系統，並且也只有具有此類專家的客戶，並且更喜歡安全而不是便捷的訪問方法-實際上，您並非如此。總會有一種進入的方式，因此您應該為此做好準備。不要相信您會獲得100％安全的基礎架構，而是創建一個不僅可以抵抗外部攻擊的強大基礎架構，而且可以在其中發現威脅並儘快從中恢復。可能會造成危害，但應予以限制。

可能存在這樣的系統，但我們可能找不到它

我們有許多用於安全性的算法。其中一些可能是正確的。具體來說，其中一些可能難以突破。的確，我們知道有些根本無法打破的問題（一個時限）。問題是實現。

安全性與誰更聰明無關。安全性是關於維權者的謹慎性攻擊者的智慧和創造力。如果防御者可以非常仔細地遵循算法，就不必精明。完美辯護完美的進攻會導致安全領域的防禦勝利者。

問題在於服務器通常是複雜的機器。您擁有操作系統和程序的鏡像，以及不同的協議和編程語言以及AHH。在這樣的環境中，要擁有完美的安全性幾乎是不可能的。

另一方面，如果系統足夠簡單，那麼人們很可能就能使其完美。例如，我有一條消息，$ M $，編碼為從1到6的數字。我現在擲骰子，它將是鍵$ K $，並將添加$ M $和$ K $模塊化$ 6 $ ，獲得密文$ C $。

密文為$ 5 $。消息是什麼？

這個例子是如此簡單，我可以合理地考慮所有可能性。另一方面，服務器非常複雜。

我們可以從中得到什麼建議。 保持簡單，愚蠢。（K.I.S.S。原則。）儘管製造完美服務器可能超出了我們的能力，但服務器和算法越簡單越好。記錄您的代碼，使其易於理解，使其簡單。每行代碼都有其原因。使用簡單的操作系統（注意：請勿將簡單性與易用性混淆。請考慮使用Arch Linux，而不是iOS。）僅保留最少的程序。選擇一種定義簡單，沒有古怪的規則之類的編程語言（我正在看您的javascript。）雖然這不能使它變得完美，但它將使您更加安全。 >

假設安全性就像國際象棋一樣

與這裡的大多數人不同，我實際上對國際象棋了解很多，對安全性的了解也足夠使之成為有用的答案。

如果您考慮象棋，您會發現：

可能性的數量如此之大，以至於沒有任何實際的策略可以明確地涵蓋所有可能性

因此，正如我們在實踐中看到的那樣，最強的參與者最有可能獲勝。但是即使如此，一個堅強的人/計算機玩家總是有機會輸給（弱於）一個較弱的人。

因此得出結論：

除非您知道正確的做法在任何可能的情況下，都不可能有完美的防禦力

從根本上來說，完美的防守是可能的。

我在國際象棋上實際上是中等水平的，但是僵持世界上最偉大的球員對我來說微不足道，甚至可以僵持最快，最好的下象棋遊戲計算機。

我只是坐在我的手上，等待時間用完，而像棋大師無法贏得我的勝利。

類似地，堅不可摧的服務器永遠不會響應客戶端請求，即使是最聰明的黑客也無法擊敗它。

儘管它具有完美的安全性，但它完全沒有用。

信息安全從根本上不同於國際象棋。儘管國際象棋之間的差異可能會啟發人，但國際象棋是一個糟糕的模型，無法應用於信息安全。

國際象棋是一場完美的信息遊戲。雙方都確切地知道所有時刻都在哪裡。在信息安全中，許多信息都是隱藏的，一方可以通過擁有比另一方更多的信息來獲得優勢。 “最聰明”與此無關。

國際象棋是一種已知並設定所有規則的遊戲。在信息安全中，規則的存在充其量是可疑的。最好將“規則”視為環境，從而將其視為移動的目標。

國際象棋是一個零和遊戲。在信息安全中，每個人都可能輸，每個人都可以贏，沒有人可以贏，而輸贏就意味著什麼。

國際象棋是一個有兩個參與者的遊戲。信息安全具有多個動機不同的參與者（請參閱“非零和博弈”）。

國際象棋具有明確定義的贏與輸。勝利是完整的，損失是完整的。信息安全更加混亂，根本不是黑白的。該系統可能會受到部分損害，損失也會減少。

是的。空服務器基礎結構根本上是不可能破壞的。

沒有服務器=沒有要破壞的事物=根本上是不可能破壞的。

其他任何事情也基本上是可能破壞的。

很顯然，沒有完美的技術解決方案來防止人為錯誤或防止攻擊者賄賂您的sysadmin。但是，如果我們僅從確定性的角度來看技術，那麼答案（肯定）是。

您可以將網絡連接的系統視為功能。您有一些要計算的函數，其中輸入是系統狀態，位通過線路輸入，輸出是新的系統狀態，位通過線路發送。如果該函數是可計算的，則有一個系統實現將完全做到這一點。

問題是，通常無法確定給定係統是否完美地計算了函數，並且無法確定在系統行為複雜時進行練習。因此，一個系統真正難以滲透的人（同樣，從這種有限的技術角度來看）永遠無法確定這一點。相反，幾乎完全確定非常複雜系統的安全性的人幾乎肯定會持有該信念。

這背後的真正問題是：您願意花費多少資源來破壞防禦？甚至可以認為完全安全的最低安全級別是多少？無法訪問，怎麼回事？ Accessig是否有任何隨機數據？還是僅訪問可用於獲利的數據被視為違規？

以國際象棋為例：在將來的某個時候，我們將建造一台容納所有信息的計算機所有可能的國際象棋遊戲的位置。與自身相抵觸可能會導致100％的平局/僵局。有了“有限”的可能動作集，這就是完美防禦的有效假設。

現實有太多選擇可以繞開規則和可能的情況。也許您不想竊取數據，也許只是希望所有備份不再存在。因此，您轟炸了服務器設施-對無功能的碎片感到滿意。

在現實生活中，入侵檢測系統，冷存儲（非網絡存儲系統），激進帳戶&密碼管理流程，防禦性應用程序設計和使用行為分析等解決方案可能會增加成本要將這些系統入侵到如此高的水平，甚至只有非常有錢的人才能考慮攻擊它。

您將需要像“詹姆斯·邦德”一樣的能力和訓練有素的戰術技能集才能實現目標。對於黑客社區的很大一部分而言，這將被視為“近乎”的完美防禦。

新聞中被黑客入侵最多的網站甚至都不知道誰在他們的“數字草坪”上。許多黑客在系統中花費了數週或數月的時間，卻未被發現。他們根本不認為要花費數百萬美元用於最低限度的防禦，因為這不是法律所要求的，而且訴訟可能比開始“黑客防禦”國際象棋的遊戲更便宜。

事實證明，設計一種系統來將最聰明的人拒之門外，這比設計一種將無名，無恥，有創造力和執著的人拒之門外要容易得多。

聰明的人沿著可預測的努力和探索途徑以可識別的模式前進，並依靠一系列可悲的可預測和相似的假設。一個天才似乎總是假設，當利用加法函數時，2和2總是4，而不是22或2 &2。

對經驗，理性系統的最大威脅-在人類中術語-被證明是擁有低於智商水平的智商的對手，傾向於是特立獨行者或隨心所欲地跳舞，而不是遵循畜群的社會規範，稀缺從來都不被認為是聰明的一個在社會團體中。身體適應得當，對自己的皮膚和自己的狀態感到舒適，並且在任何地方都沒有擔任領頭羊的身份，因此，這個人不會受到可能影響他們的瑣碎個人競爭的影響，也不會參與其中。自我驅動，自我發動，受到內部內在現實的啟發和驅動，此人將某種自發性火花和真正的，非理性的創造力與堅定不移的毅力和內在，磨練，自律的意誌或意志結合在一起。

他們不需要您的社交驗證，因此大量的社交工程漏洞被證明是無用的。他們通常不會在人群中被忽視，因為他們既不關心也不競爭任何人的注意力，除非他們自己認為有趣或值得他們付出努力和專心的人。

我親眼目睹了機會像我這樣描述一個人的生活，他會蔑視，違反並使最聰明的天才的設計和實現規範無效。

同樣，我寧願設計一個針對最聰明的人的系統，也不願像我描述的那樣針對一個人。

如果有合法途徑，那就是非法途徑。

唯一根本不可能破壞的服務器就是根本無法訪問的服務器。在網絡安全中，這稱為“氣隙”。服務器或子網在物理上與任何其他網絡（包括外界）斷開連接。結合此氣密網絡組件的物理安全性（可防止未經授權的人員伸出並物理觸摸連接到該網絡的任何計算硬件），該網絡上的計算機不會受到黑客的攻擊。

...有點。同樣，如果有合法的出路，那就有非法的出路。物理安全最終是人類的工作，因此最終是容易犯錯的。社會工程可以用來繞過面對面的安全協議，方法是欺騙“守門員”讓未經授權的人進入，或者通過欺騙授權的人做一些他們不應該代表未經授權的人做的事情。所涉及的人員受過更好的遵循物理安全協議的培訓，這越不可能發生，但是總是有不零的機會繞過物理安全直至暴力，包括蠻力（諸如“零黑三十襲擊”，從理論上講，它可以對地球上的任何公司總部實施，儘管絲毫也不微妙；但這只是讓合適的人配備合適的設備來完成工作的問題。