大型安全灾难可否避免?如果我们继续接受现在糟糕的安全做法和后果,灾难可能无法避免。
在美国911事件之前,曾经有人提议增强机场安全,但这些提议受到阻拦,因为更广泛的措施没必要,并会让成本增加到不可接受的水平。
现在安全行业也处于类似的状态。2014年的计算机安全处于一种可怕的状态。数据泄漏事故不断发生,而解决方案要么没用要么太昂贵和便方便,让企业拒绝部署它们。
笔者认为我们应该创造更安全的互联网,而不是等到灾难性事故发生的时候,才意识到安全的重要性。但笔者并没有抱太大希望,他已经对抗网络犯罪近三十年,每年事情都变得更糟。下面让我们回顾一下现在可怕的安全状态。
1.网络犯罪很少遇到阻力
我们现在已经习惯了在线身份信息和财务信息被泄露的新闻:根据隐私权信息交流中心网站显示,单在2013年,就有2.58亿条信息被泄漏。与此同时,高级持续攻击(APT[注])团队正在尽全力发动攻击。勒索软件会加密硬盘中的敏感个人信息,并勒索受害者支付金额(通过比特币或者其他很难追踪的电子货币)来恢复访问。
企业很少会做好基本工作,例如修复漏洞或者准备备份。安全从业人员承认其企业的计算机并不安全。
很少有企业会强制用户断网几个星期来试图修复漏洞,但企业应该这样做,因为如果他们不修复漏洞,这会让攻击者趁虚而入。
2.反恶意软件公司在欺骗你
不要相信可以拦截一切的反恶意软件程序。这些软件实际并没有那么厉害,即使是现在的多态恶意软件程序出现之前,反恶意软件程序也不完美。
现在的恶意软件编写者会针对世界上大多数反恶意软件程序测试其程序,并仅在他们绕过检测后再发布他们的程序。另外,所有恶意软件系统都包含恶意代码,让它们在反病毒检测启用前能够更新自身。
笔者最喜欢的网站的VirusTotal,其中有55个反恶意软件程序,还有很多恶意软件编写者用来测试其程序的相同测试引擎。
反恶意软件产品的检测率非常糟糕,供应商怎么可以声称100%的检测率?
3.隐私权不再受关注
让笔者很惊讶的是,很多人已经接受其生活的各个方面都不在保密的事实。所有主流社交媒体网站都会追踪用户上网行为,这种精确度让任何国家的间谍机构眼红。
甚至我们的位置信息也可能被追踪,通过蓝牙、GPS或者需要我们提供身份信息的服务。
网络公司将隐私权隐藏在无人阅读的法律协议中(+微信关注网络世界),但即使隐私侵犯用大字写在整个屏幕,用户仍然会点击确定。例如,供应商可能会告诉你他们可以永远访问你的联系人信息,甚至代表你发布内容。这种隐私侵犯很疯狂。
4.更好的身份验证并不是万能药
经常有读者认为更强的身份验证(双因素身份验证或生物识别)可以解决大部分网络安全问题。确实,更强的身份验证可以帮助我们抵御网络犯罪,但大多数网络犯罪并不是源于身份验证问题。通常情况下,攻击者会入侵计算机,并获取合法用户的权限。他们并不关心你使用何种身份验证方式,他们关注的是你是否忘记修复你的计算机或者下载并运行了木马程序。更好的身份验证是该解决方案的一部分,但并不是全部。
该怎么办?
911事件让全世界认识到松懈空中安全带来的可怕后果。现在我们已经强化了驾驶舱门、提高了机场安全,以及各国和执法机构之间的沟通。我们可能不喜欢在机场安全检查站的不便,但我们的空中旅行更安全了。
现在,网络犯罪很严重,但这仍然被认为是做生意的成本,而不是危机。笔者衷心希望我们将不再需要忍受糟糕的网络安全状况,而是发展到这样的水平,即经营成本和不便要高于真正变革的成本和不便。无论怎样,我们应该让互联网变成更安全的地方。(邹铮编译)