互聯(lián)網(wǎng)與網(wǎng)絡(luò)安全形勢不容樂觀���,而且在迎來改善之前恐怕還要經(jīng)歷一系列低谷。要氛圍這一被動局面�����,CIO與IT管理者需要重新審視當前安全保障方式,反思目前通行的黑客及網(wǎng)絡(luò)犯罪扼制手段��。
“朝鮮正在研發(fā)州際導(dǎo)彈����,伊朗也堅持進行原子彈制造,但這都不是我們面臨的最大問題�,”博科通訊公司董事長David House在本周于加州山景城舉辦的以太網(wǎng)創(chuàng)新峰會中,借未來預(yù)測研討會發(fā)表了這一觀點���。“我們最大的問題其實是網(wǎng)絡(luò)安全��。”
雖然說起安全話題���,但House并沒有涉及隱私范疇——在該領(lǐng)域我們已然一敗涂地。“放棄吧�����,”他表示���,“已經(jīng)沒有改變的余地——一切都將暴露在所有人面前����,這已經(jīng)成為定局。”
我們在網(wǎng)站上進行的每一次點擊操作都會受到追蹤��。“目前�����,Amazon與谷歌掌握我們所做的一切�����,彈出的廣告內(nèi)容也一定符合我們這段時間經(jīng)常搜索的項目�,”House指出。“這些服務(wù)業(yè)巨頭早就把用戶情況吃透了���。”
但這沒什么問題。“你猜怎么著?Larry Page對我們的個人情況或者喜好取向根本不感興趣�����,”他解釋道��。“真正了解我們的是計算機設(shè)備���。”我們自身不是計算機的關(guān)注目標��,我們的購買習慣才是���。 “整個過程可以概括為海量個體產(chǎn)生數(shù)據(jù)�、這些數(shù)據(jù)匯聚成大數(shù)據(jù)�����、大數(shù)據(jù)由數(shù)據(jù)庫系統(tǒng)處理����、處理結(jié)果指導(dǎo)商家制定營銷方針。”
既然Page和他豢養(yǎng)的計算機都不打算真正窺探我們的隱私���,那我們到底該擔心什么?根據(jù)House的意見����,最大的威脅來自黑客����。“服務(wù)巨頭會掌握用戶的全方位信息,而有能力突破服務(wù)商防御體系的家伙可以借此了解我們��,”他表示。“我們真正需要擔心的是黑客��,而非谷歌本身���。”
我們對網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計方式令隱私問題不斷加深��,House指出��。“在過去四十年中����,我們一直在把以線纜為基礎(chǔ)的網(wǎng)絡(luò)體系推向更高的抽象層面����,”他解釋道。“而虛擬化與軟件定義網(wǎng)絡(luò)則是我們向網(wǎng)絡(luò)環(huán)境中塞進的最新抽象層����。”
這些抽象因素的介入令黑客突破網(wǎng)絡(luò)防御機制的途徑愈發(fā)多樣����。“其中每一層都像一條隧道,人們可以借此訪問那些他們本無法訪問的內(nèi)容�����,”他警告稱。
在另一次峰會的對話中���,很多安全高層也表達了同樣的悲觀情緒�。舉例來說�����,數(shù)據(jù)安全企業(yè)Vormetric公司CEO Alan Kessler就干脆放棄了傳統(tǒng)安全措施����。“在網(wǎng)絡(luò)體系周圍建立起屏障已經(jīng)不再有效,”他指出��。“惡意人士早已經(jīng)滲透到企業(yè)內(nèi)部���。他們擁有訪問業(yè)務(wù)網(wǎng)絡(luò)的能力——事實上����,他們可能就在員工中間�。”
Kessler還認為云計算的普及同樣該被視為新生威脅。“即使大家看好自己的數(shù)據(jù)中心�����、信任自己的員工,但如果數(shù)據(jù)駐留在他人的云環(huán)境中�����,你還能對安全性毫無疑慮嗎?管理云服務(wù)器的系統(tǒng)管理員們又是否值得信任?這些還都是未知數(shù)���。”
根據(jù)Kessler的觀點——請注意����,他是一家數(shù)據(jù)安全企業(yè)的高管���,所以在安全事務(wù)方面難免有些偏執(zhí)——這一切都不能信任���。保護網(wǎng)絡(luò)免受入侵并不是保障安全的最好辦法;相反,我們應(yīng)該專注于鎖定數(shù)據(jù)�,而不僅僅是網(wǎng)絡(luò)本身。
網(wǎng)絡(luò)安全企業(yè)SourceFire公司安全戰(zhàn)略副總裁Jason Brvenik也表達了對數(shù)據(jù)鎖定方案的強烈關(guān)注����。根據(jù)他的說明���,網(wǎng)絡(luò)安全狀況之糟糕可以用一項數(shù)字來說明——Verizon調(diào)查報告指出��,網(wǎng)絡(luò)攻擊活動與企業(yè)自身發(fā)現(xiàn)問題之間的平均相隔時間長達一百天以上��。
Brvenik認為���,企業(yè)需要利用先進分析機制收集更多關(guān)于網(wǎng)絡(luò)活動的細節(jié)信息�����,并將這些惡意活動信息更好地與他人分享���。如果能做到這一點,他表示 “我們就可以縮短問題出現(xiàn)與問題暴露之間的時間差����。我們可以將其壓縮至數(shù)周乃至數(shù)天。對于某些機構(gòu)��,我們甚至可以將間隔縮短至幾小時或者幾分鐘��。”
安全分析軟件供應(yīng)商Click Security公司聯(lián)合創(chuàng)始人兼CTO Brian Smith也支持Brvenik對信息分享的意見���。“人們往往傾向于隱瞞安全威脅��,”他解釋稱���。“而我們需要以行業(yè)為單位推廣知識分享機制�,因為攻擊者群體往往以企業(yè)形式出現(xiàn)——他們開發(fā)出了惡意軟件��,并需要以此為基礎(chǔ)產(chǎn)生投資回報����。”
Smith補充道,攻擊者在入侵一家企業(yè)后又會瞄準下一家��、接著是第三家���,以此類推并在每次惡意活動中獲利���。“我們希望擊垮這種經(jīng)濟模式,”他告訴我們——只要受害企業(yè)能夠與其它同行分享細節(jié)資料��,攻擊者就很難順利實現(xiàn)下一波入侵���,從而導(dǎo)致經(jīng)濟鏈條斷裂——這才是安全體系的良性循環(huán)���。
不過除非企業(yè)擁有素養(yǎng)出眾的網(wǎng)絡(luò)安全技術(shù)人員并為其提供豐厚的報酬��,否則我們很難獲得良好的安全規(guī)劃——安全團隊的人員流動會嚴重損害保護機制的實際效果。
Smith同時指出�����,大多數(shù)機構(gòu)只是簡單意識到“哦���,我們應(yīng)該對安全表示關(guān)注——然后隨便找一位IT人士����,指派其負責安全事務(wù)�。最離譜的是,經(jīng)營管理者往往希望安全工作能以‘兼職’方式進行��,也就是負責人不要因此影響到本職任務(wù)�����。”這顯然遠遠不夠�。他建議稱,企業(yè)應(yīng)當在培訓(xùn)����、教育以及網(wǎng)絡(luò)安全管理員的“專業(yè)化”方面加大投入�。
但用戶培訓(xùn)似乎注定無法得到理想效果����。正如“下一代威脅保護”開發(fā)商FireEye公司產(chǎn)品高級副總裁Manish Gupta的解釋,“我們不可能將限制強加給用戶�����,這一點過去做不到�����、未來也同樣無法實現(xiàn)����。”Kessler也表示,用戶個人習慣中往往存在很多安全陋習��,安全專家的工作是盡量避免這些陋習導(dǎo)致問題����,但基本不可能真正扭轉(zhuǎn)這股歪風。
Smith還指出����,企業(yè)應(yīng)當對黑客施加更為猛烈的主動進攻���。“我認為在過去二十年中,我們一直在以亡羊補牢的心態(tài)采取被動防守;但在目前的形勢下�����,我們更應(yīng)該以防患于未然的姿態(tài)主動出擊����。”
“我們曾試圖通過安裝殺毒軟件提升設(shè)備安全性���,并利用網(wǎng)絡(luò)控制機制避免破壞事故�,”Smith總結(jié)道�。
“但事實上,惡意人士總會從現(xiàn)有體系中找到突破口����。”這些預(yù)防性措施的實際表現(xiàn)相當無力,根據(jù)Verizon公司的違規(guī)事件報告��,只有5%的入侵活動能被安全機制發(fā)現(xiàn)��。
“整個行業(yè)在IT安全方面投入六十億美元巨資�,”他指出����。“但現(xiàn)有方案卻只帶來二十分之一的入侵識別成功率�。”
因此,廣泛培訓(xùn)�����、鎖定數(shù)據(jù)����、改進分析、縮短入侵檢測周期以及主動出擊等一系列措施很可能為我們呈現(xiàn)更加光明的安全前景��。不過從目前來看��,局勢仍然不容樂觀����。
在上述乃至更多安全措施真正成熟并付諸行動之前,博科公司的House認為“安全問題還將進一步惡化”�。
