译者:VeraS 原文地址:wired.com

大误:网络安全五大迷思插图

“网虫的地盘”,这是20世纪90年代伊始人们对于互联网的一贯看法。直到所有人都开始使用并逐渐对互联网产生依赖后,这种看法才有所改变。但是今年早些时候,白宫官方在描述当今的网络安全问题被过度关注时援引了这一说法。问题切实存在,且需要解决方案。

无论生活中的角色为何,我们每个人在网络安全的问题上所做的决定,都会影响到电脑之外的这个真实世界未来的形成。但大众总以为这个问题只跟IT众相关,导致我们在缺乏合适工具的情况下频频做着各种决定。大众一再疏漏掉各种定义“不可能”、“不恰当”的基础术语和必要概念,更糟的情况下甚至将其曲解;人们过度看重一些威胁,却忽略掉另一些。

也许最大的问题在于:尽管互联网让我们有能力对任何问题追根溯底,但是互联网的安全领域终归是一片过去迷思与未来宣传交织并举的区域,真实发生的事情和我们现在所处的情况都因此变得模糊起来。如果我们想要让互联世界的安全防护获得切实有效的执行,必须先得揭开它神秘的面纱。

迷思一:网络安全不同于我们所面临过的任何挑战


由于全球信息网络有着超光速的传播速度,人们很容易感觉信息过载,尽管没什么真正新鲜的玩意儿。试想一下在维多利亚时代的人们对于通讯和社交的感受吧,最早人们只能通过马匹与风力来驱动电报收发,继而无线广播出现,这无异于一场巨变,他们必须全力调节自己的观念。

从古观今,学习历史可以指导人们如何应对现今的新奇事物,这种了解不局限在对互联网历史以及时至今日的发展历程,还包括对IT领域之外的其他领域。例如,在定义政府的合适位置时,我们可以回顾一下历史上那些最为成功的政府机构,像是疾控中心;公共卫生学教会我们,需要关注预防的价值,明了学习与教育的益处,并进行可信赖的信息共享。

在对付全球公共领域中进行犯罪的组织及准国家组织时,或可回顾一下大航海时期对付最初的海盗还有私掠船(与中国黑客组织极其相似)的方法,那时政府是通过一系列打击其市场以及创建国际标准的行为,来对其进行海上追踪的。引申到普通大众的问题上,还有两者所产生的外部效应之共性上,我们可以借助惯常用来对抗环境污染的法律和经济工具。

完美配套的一次性解决方案不存在,但是我们所面临的很多问题,并非是完全意义上的新问题。

迷思2:每天我们都在面对“成千上万次的网络攻击”


这是新近退役的美国军事情报网络局前局长基斯·亚历山大将军在2010年对国会的说法。有趣的是,在其黑客被起诉之后,中国的领导者也作出了类似的指控,网络攻击的幕后黑手直指向美国。这些数字的确是真实的,却完全无用。

对单个攻击的探测,或者对恶意软件的特有构造进行计数,无异于对细菌进行计数。你可以快速拿到大量的数字,但是你所关注的重点却在于其影响与来源。

对单个攻击的探测,或者对恶意软件的特有构造进行计数,无异于对细菌进行计数。你可以快速拿到大量的数字,但是你所关注的重点却在于其影响与来源。更甚之的是,这些数字囊括所有的威胁,范围从尚未造成伤害的采自基础防御系统扫描与探测到的威胁,到包括恶作剧、政治抗议、经济安全相关的间谍活动(但显而易见没有什么“网络珍珠港”,这个说法在政府演讲与大众媒体中被提及了有五十万次)在内的所有尝试都混杂在一起,使得我们更加一头雾水。

所有数据都被混杂在一起,像是玩爆竹的孩子、用烟雾弹示威的抗议者、手拿散弹枪的罪犯、持手枪的间谍、用手榴弹攻击的恐怖分子还有使用导弹的军队,全部都被放在同一档里,就因为以上这些全部都涉及了火药相关的技术。

好的解决方案并非可以用新闻稿的数量来衡量的,也不是将一些不同的东西并在一起来增加冲击程度——尽管同真实世界一样,我们需要将网络威胁扼杀扑灭、权衡风险,并考虑由谁来解决、如何解决的问题。

迷思3:这是一个技术问题


在这个技术支撑起来的世界里,有一个关于“PEBCAK”的旧时笑谈,意思是存在于椅子和键盘间的问题。网络安全其实跟人和奖励因素都有关系,需要采纳很多重要的技术修复和新的工具,但是如果组织与个人都不愿意在安全问题上投资,最终还是没办法解决的。

“保持冷静,继续前进”应当被作为我们的座右铭,无论对于我们所使用的系统而言,还是对于我们自身的灵魂而言。

我们所能做到的至关重要的事情就是:将害怕转变为无视(不再自欺欺人,幻想有捷径或者什么网络高人来拯救我们),而是致力于更加重要的问题:韧性。防御和威慑都很有用,但是只要我们还在使用互联网,就会一直有风险,包括罪犯、敌人还有常见的老套说法——坏运气。关键在于,如何从每一次的挫折中快速恢复、重新获得力量。

“保持冷静,继续前进”应当被作为我们的座右铭,无论对于我们所使用的系统而言,还是对于我们自身的灵魂而言。这句话尤其适用于那些总是散布恐惧,不断引用像是高压电网衰退或者华尔街宕机之类事件的领导者和媒体们。每年,松鼠会导致成百上千的电力中断事故,还有两次曾导致纳斯达克交易关停。如果我们能够在《飞鼠洛基冒险记》的真实世界版本中存活下来,我们就有能力在对抗恐惧方面更有韧性,将来自网络的危险像小说里那样解决掉。

迷思4:最好的(网络)防御就是好的(网络)攻击


五角大厦的高级领导者谈到:几名还在父母地窖里拿“红牛”喝的半大少年,居然执行了一次大规模杀伤性武器类型的袭击(译者注:指的是震网病毒由一群喝红牛的年轻人发起)。事实上,一份报道有所表述:“在可预见的未来”,攻击将占据主导地位。而这同时反过来导致五角大厦每年花在攻击性网络研究方面的费用,大约比在防御性网络研究方面的费用要多出2.5倍。

现实更加复杂。著名的震网病毒曾经破坏了伊朗的核电站项目,这个网络武器向大家展示了新生代的网络威胁,但是也证明了它们是如何获取比“红牛”这种甜饮料更高层次的技术和资源。“红牛”让你插上双翅,但是给不了你像这种即时技术所带来的更高层次的袭击。震网病毒的产生来源于情报分析还有对工程学与核子物理等高等知识的收集。

更重要的是,攻击这种手段并非正确的解决方案。现今可不是什么“二进制”的冷战关系,想要单靠类似游戏中的能力和利益令另一个国家望而却步绝不可行。无数各种各样的袭击云集在互联网络中,鉴于我们的主要问题在于从龙卷风、邻居小孩或是恐怖分子的攻击中找到保护你家玻璃房子的最佳方案,那么在攻击突破中所花费的越多,就像买磨石头的工具一样事倍功半。现实可能没那么吸引人,但是无论在“超级碗”(译者注:美国国家美式足球联盟也称为国家橄榄球联盟的年度冠军赛)还是网络安全中,最好的防御实际上都是好的防御本身。

迷思5:“黑客”是当今互联网最大的威胁


互联网上有坏人在谋划制造着坏事情,但如果不够当心,治愈方案本身比疾病会更加糟糕。互联网依赖于信任这一生态系统,我们知道威胁来自四面八方。这就是有针对性的网络犯罪如何与美国国家安全局的元数据集有所关联,又如何与俄罗斯8.2万网络黑名单网站产生交集的地方。这些解决方案都会对我们喜爱的互联网特质:信任、公开性还有互联网的信息分享管制有所影响。

在回应网络威胁时,世界范围内的若干政府都呼吁提升控制能力,对互联网管制进行改革,以国内秩序之名对自由言论和民间团体进行管制,并借以国家安全之名引出技术贸易壁垒。对于任何保护我们不受网络威胁的提议,我们都必须非常小心,也许其最终会将我们政治、经济还有生命中的社会变革统统摧毁,让一切成为历史。


作者简介:彼得·W·辛格和艾伦·弗里德曼

彼得·W·辛格是新勒德技术咨询公司的创始人,而艾伦·弗里德曼则是乔治·华盛顿大学工程与应用科学学院的一位研究科学家。 

分享到