以太网峰会:网络安全持续恶化 隐私保护恐难成功
赵培培 发表于:13年05月28日 13:00 [转载] 至顶网
互联网与网络安全形势不容乐观,而且在迎来改善之前恐怕还要经历一系列低谷。要氛围这一被动局面,CIO与IT管理者需要重新审视当前安全保障方式,反思目前通行的黑客及网络犯罪扼制手段。
“朝鲜正在研发州际导弹,伊朗也坚持进行原子弹制造,但这都不是我们面临的最大问题,”博科通讯公司董事长David House在本周于加州山景城举办的以太网创新峰会中,借未来预测研讨会发表了这一观点。“我们最大的问题其实是网络安全。”
虽然说起安全话题,但House并没有涉及隐私范畴——在该领域我们已然一败涂地。“放弃吧,”他表示,“已经没有改变的余地——一切都将暴露在所有人面前,这已经成为定局。”
我们在网站上进行的每一次点击操作都会受到追踪。“目前,Amazon与谷歌掌握我们所做的一切,弹出的广告内容也一定符合我们这段时间经常搜索的项目,”House指出。“这些服务业巨头早就把用户情况吃透了。”
但这没什么问题。“你猜怎么着?Larry Page对我们的个人情况或者喜好取向根本不感兴趣,”他解释道。“真正了解我们的是计算机设备。”我们自身不是计算机的关注目标,我们的购买习惯才是。 “整个过程可以概括为海量个体产生数据、这些数据汇聚成大数据、大数据由数据库系统处理、处理结果指导商家制定营销方针。”
既然Page和他豢养的计算机都不打算真正窥探我们的隐私,那我们到底该担心什么?根据House的意见,最大的威胁来自黑客。“服务巨头会掌握用户的全方位信息,而有能力突破服务商防御体系的家伙可以借此了解我们,”他表示。“我们真正需要担心的是黑客,而非谷歌本身。”
我们对网络结构的设计方式令隐私问题不断加深,House指出。“在过去四十年中,我们一直在把以线缆为基础的网络体系推向更高的抽象层面,”他解释道。“而虚拟化与软件定义网络则是我们向网络环境中塞进的最新抽象层。”
这些抽象因素的介入令黑客突破网络防御机制的途径愈发多样。“其中每一层都像一条隧道,人们可以借此访问那些他们本无法访问的内容,”他警告称。
在另一次峰会的对话中,很多安全高层也表达了同样的悲观情绪。举例来说,数据安全企业Vormetric公司CEO Alan Kessler就干脆放弃了传统安全措施。“在网络体系周围建立起屏障已经不再有效,”他指出。“恶意人士早已经渗透到企业内部。他们拥有访问业务网络的能力——事实上,他们可能就在员工中间。”
Kessler还认为云计算的普及同样该被视为新生威胁。“即使大家看好自己的数据中心、信任自己的员工,但如果数据驻留在他人的云环境中,你还能对安全性毫无疑虑吗?管理云服务器的系统管理员们又是否值得信任?这些还都是未知数。”
根据Kessler的观点——请注意,他是一家数据安全企业的高管,所以在安全事务方面难免有些偏执——这一切都不能信任。保护网络免受入侵并不是保障安全的最好办法;相反,我们应该专注于锁定数据,而不仅仅是网络本身。
网络安全企业SourceFire公司安全战略副总裁Jason Brvenik也表达了对数据锁定方案的强烈关注。根据他的说明,网络安全状况之糟糕可以用一项数字来说明——Verizon调查报告指出,网络攻击活动与企业自身发现问题之间的平均相隔时间长达一百天以上。
Brvenik认为,企业需要利用先进分析机制收集更多关于网络活动的细节信息,并将这些恶意活动信息更好地与他人分享。如果能做到这一点,他表示 “我们就可以缩短问题出现与问题暴露之间的时间差。我们可以将其压缩至数周乃至数天。对于某些机构,我们甚至可以将间隔缩短至几小时或者几分钟。”
安全分析软件供应商Click Security公司联合创始人兼CTO Brian Smith也支持Brvenik对信息分享的意见。“人们往往倾向于隐瞒安全威胁,”他解释称。“而我们需要以行业为单位推广知识分享机制,因为攻击者群体往往以企业形式出现——他们开发出了恶意软件,并需要以此为基础产生投资回报。”
Smith补充道,攻击者在入侵一家企业后又会瞄准下一家、接着是第三家,以此类推并在每次恶意活动中获利。“我们希望击垮这种经济模式,”他告诉我们——只要受害企业能够与其它同行分享细节资料,攻击者就很难顺利实现下一波入侵,从而导致经济链条断裂——这才是安全体系的良性循环。
不过除非企业拥有素养出众的网络安全技术人员并为其提供丰厚的报酬,否则我们很难获得良好的安全规划——安全团队的人员流动会严重损害保护机制的实际效果。
Smith同时指出,大多数机构只是简单意识到“哦,我们应该对安全表示关注——然后随便找一位IT人士,指派其负责安全事务。最离谱的是,经营管理者往往希望安全工作能以‘兼职’方式进行,也就是负责人不要因此影响到本职任务。”这显然远远不够。他建议称,企业应当在培训、教育以及网络安全管理员的“专业化”方面加大投入。
但用户培训似乎注定无法得到理想效果。正如“下一代威胁保护”开发商FireEye公司产品高级副总裁Manish Gupta的解释,“我们不可能将限制强加给用户,这一点过去做不到、未来也同样无法实现。”Kessler也表示,用户个人习惯中往往存在很多安全陋习,安全专家的工作是尽量避免这些陋习导致问题,但基本不可能真正扭转这股歪风。
Smith还指出,企业应当对黑客施加更为猛烈的主动进攻。“我认为在过去二十年中,我们一直在以亡羊补牢的心态采取被动防守;但在目前的形势下,我们更应该以防患于未然的姿态主动出击。”
“我们曾试图通过安装杀毒软件提升设备安全性,并利用网络控制机制避免破坏事故,”Smith总结道。
“但事实上,恶意人士总会从现有体系中找到突破口。”这些预防性措施的实际表现相当无力,根据Verizon公司的违规事件报告,只有5%的入侵活动能被安全机制发现。
“整个行业在IT安全方面投入六十亿美元巨资,”他指出。“但现有方案却只带来二十分之一的入侵识别成功率。”
因此,广泛培训、锁定数据、改进分析、缩短入侵检测周期以及主动出击等一系列措施很可能为我们呈现更加光明的安全前景。不过从目前来看,局势仍然不容乐观。
在上述乃至更多安全措施真正成熟并付诸行动之前,博科公司的House认为“安全问题还将进一步恶化”。