改变和相互依存的快速发展让人束手无策,网络安全未来学家带你清醒认识未来的样子。
丹·吉尔不认为自己是个先知,但他或许是IT安全界最接近这个称号的人。而他的观点是,网络世界的当前趋势虽然未必不可逆,却一直在向着反乌托邦的方向前进。
上周,波士顿SOURCE大会上,这位In-Q-Tel风投资本公司的CISO做了闭幕演讲。尽管他没有主张先知的地位,他却在做着预测的事。“未来,从来都是安全话题的主题。因为网络安全和人类未来如今已经联结在一起了。”
地质演化需要千万年时间,网络世界的进化,却比照着快得多的时钟频率。 |
吉尔对未来的预测包括:
1. 网络安全是,且依然会是最重大的国家安全风险。
2. 伊朗核设施震网攻击展现出来的那种“相互保证毁灭”,将不会像当年一样灵验。“原因在于归因溯源。”他说,“洲际弹道导弹有可见飞行轨迹,且只有少数几个国家有发射这种导弹的能力,攻击性软件可没有这些限制。”
3. 正如公共安全论证促成了对手机地址编码的强制性要求,公共安全论证也将促成对互联网地址编码的强制要求。
4. 主要民族国家将在自己的部分关键基础设施上禁止使用其他国家的产品。“因此,工业间谍对民族国家的重要性将有所上升,就好像现在的重要性还不够高一样。”
5. 几乎可以肯定,网络武器将会被预部署在之前的非军事位置——设备、网络等等。其中大多会被用于拒绝信息服务,但只要传感器占据了自治设备关键路径中的节点,很有可能会扩展成用于假消息散布。
6. 主要网络犯罪集团仍将在一小部分主权辖区运营,不是为了利润分成,也为了这些地区对犯罪的宽容度。
7. 采用行为分析技术的网络攻击检测——异常检测,将得到重用,但会伴随巨大的副作用。
8. 将决策移交给机器看起来“非常迷人”,但除非这些系统以人为尊,否则都是不安全的。这就会需要保留不要委托也能操作的情况。
“除了在座各位中的某些洞察力深厚的网络安全实践者,这一教训可能要通过非常惨烈的失败经验才能习得。”
9. 金融高频交易的特性——自调整算法的高速决策,将开始在其他领域出现,包括政府。
10. 网络安全界的人才短缺问题得不到解决。1%——大约半打有能力支付高额薪酬的大公司,将吸纳进全部或者说绝大部分人才。政府不在这1%之列。
11. 因为西方社会的大多数关键基础设施都是私营的,无论愿不愿意,政府将“委派”它们为国家安全服务。
12. 最终用户许可协议(EULA)——绝大部分拒绝承担产品引发的各种破坏的玩意儿,只要适当的危机出现,就会遭到有效挑战。自治车辆或许会是第一滴血溅下的领域。
13. 网络安全产业没有崩塌的危险,因为要做的事总是太多。“网络安全作为正经科学,将依然是一个目标,而不是一种成就。”
如果以上预测还不那么令人不安,吉尔给出了几个当普遍监视降临和个人隐私丧失的未来场景,还有引发这些的工具在私营产业里也像在公共领域里一样普遍时的景象。
“大家都知道,现在政府且只有政府拥有的东西,明天就会被富人阶层拥有。富人们明天拥有的东西,会在后天轮到无产者手里。这都在一个已经建立起来的先例范围内——公众使用破除掉政府或其他机构的使用限制。”
于是,从面部识别到运动传感器,到心脏电磁脉冲,到微波,到蓝牙信号,到无处不在的WiFi路由器,能看到的公平游戏就是波长的独立性了——你发射的任何东西都可以被捕获。
再加上持续爆炸式增长的物联网,意味着:当今社会的相互依赖,绝对是以互联网为中心的,除了气候依赖,再无其他依赖可与之抗衡。而互联网的变化速率,比气候起码快出5个数量级。
记住,当某样东西被采纳得足够广泛的时候,就自动转变为“关键基础设施”了;采纳是通往关键性的入口。 |
于是,业界面对两个极端选择。“要么延缓变化速率,将之减缓到可以给预测留出有效性验证的时间,或者故意增加不可预测性,让对手的目标锁定动作难以为继。
“如果取前者,我们就放弃了很多各种各样的发展。后者的话,我们放弃的是多种多样的自由,因为这种方法下必然是机器而不是人类在主导。无论哪种方式,融合都是不可避免的。网络安全从业者们,你们不是选了这行,而是选了一条漫漫长征路。”