网络安全流行语多如牛毛。对于信息安全这种快速迭代的创新行业而言,流行语是不可避免的现实,往往用于简化复杂的术语,或者促进销售和营销活动。然而,这些术语并非总是有所帮助,可能是不准确且过时的,具有误导性,甚至可能造成伤害。例如,利用恐惧、不确定性和怀疑(FUD)来最大化盈利的流行语可能具有破坏性,而曾经有用的合理术语可能会过时,继续使用和依赖这种流行语会阻碍对根本问题的深入理解。
以下是11个容易产生误导作用的网络安全流行语:
1. 勒索软件
Orange Cyberdefense安全研究主管Charl van der Walt表示,尽管勒索软件是常见网络攻击讨论中最常用的术语之一,但从技术上讲,这是一个不合适的定义,不再适用。“在当前的新闻议程中很难避免提到勒索软件,这个词虽然足以概括主题,却并没有完全体现出这个实际上复杂且不断演变的问题。”
勒索软件的真正含义已经变味了,这个词现在被用于描述比其真正定义更加宽泛的网络攻击,也就是掌控计算机数据以勒索赎金的那类恶意软件。“这就混淆了执行加密的恶意软件、勒索软件攻击团伙使用的一般恶意软件,以及勒索软件攻击团伙本身。勒索软件的核心在于勒索行为,而网络罪犯将企业视为容易勒索得手的目标:你只要看看数据显示有多少公司支付了赎金就知道情况有多么糟糕了。”
随着这种威胁的不断发展,van der Walt提出了新的术语:网络勒索(Cy-X)。他认为,这个词更能涵盖这波犯罪潮的历史、当前形式和可能的未来,还可以区分犯罪行为本身和用于执行此犯罪行为所用的工具。
2. 零信任
零信任描述的是“默认不信任任何事物”的一种方法,用于保护用户和设备。该术语在最近几年里迅速蹿升成最为流行的市场营销热词之一,并在大幅转向远程办公和后续加强远程网络访问安全的需求推动下愈加火热。然而,佳能欧洲分公司信息安全总监Quentyn Taylor认为,零信任这个词过于模糊不清。“你根本没办法知道自己是否切实做到了零信任,事实上,我不认为有谁已经做到或者能够做到零信任。让我对这个概念敬谢不敏的是,很多人把它当成个新概念来讨论,但实际上我们早在多年前就在谈论去边界化了。零信任不过是个新造出来的市场营销词汇,用来描述我们早已尝试多年的一种方法。”
Qualys英国首席技术安全官Paul Baird对此观点表示认同,并补充道,零信任是个好概念,但作为流行语,这个词被过度使用了,而且往往表述不清。“零信任这个词在使用时常常脱离了上下文,给负责实现这一概念的人造成了混乱。零信任是个涵盖人员、过程和技术的思想体系。这可不是个你可以直接从货架上买来就用的产品。”
3. 白名单和黑名单
黑名单和白名单的历史可以追溯到网络安全最早期的时代。通过将“白”与良好、安全或允许联系起来,而将“黑”与不良、危险或禁止联系起来,白名单和黑名单这两个术语仍常常应用于允许或拒绝使用/访问与密码、应用和控制措施相关的各种元素上。
网络安全顾问Harman Singh认为,因为“黑白”二字带有种族色彩,需要尽快替换掉这两个术语,建议使用允许列表和拒绝列表来服务于相同的目的,从而摒弃与族裔和人种相关的有害内涵。“这是个微小却又重要的改变。英国国家网络安全中心(NCSC)去年特意做出这种改变来规避种族口吻。不过,现在业内仍只有少数公司考虑过替换掉这两个词。我们为什么不全都遵从NCSC的样板杜绝此类术语呢?”
在一篇博客帖子中,NCSC建议与指南主任Emma W写道:“你可能没注意到为什么这件事很重要。如果你没有受到种族成见的负面影响,那算你走运。但对你的某些同事(或者潜在的未来同事)而言,这真的是一项值得做出的改变。”
采取这一步骤的少数公司当中就包括微软,微软将非包容性语言视为保持和发展网络安全多样性的障碍。微软首席安全顾问Sarah Armstrong-Smith表示:“英国金融、安永和微软最近发布的一份报告发现,改变网络安全和更广泛的职场中的非包容性语言可以有力支持多样性。”因此,微软不再在技术论坛上使用或提及白名单/黑名单,选择采用允许列表和阻止列表代替。
4. 基于人工智能(AI)的安全
近十年来,围绕人工智能(AI)和机器学习技术改变网络安全的话题一直十分火爆。尽管没有哪位安全主管会不承认自动化在现代信息安全领域中日益加码的重要性,但大量安全供应商无限赞美最新AI或机器学习解决方案的论调还是让人颇为腻烦。
青少年理财平台gohenry首席信息安全官Guillaume Ehny称:“如今,无论哪种解决方案,大多数安全供应商都会马上提到他们的产品是智能的,集成了AI和机器学习来驱动决策过程。他们似乎认为我们想听到这些内容,但实际上他们就好像是在毫不了解自家产品实际运作方式的情况下在玩宾果游戏。“很遗憾,这种话也就仅限那一句了。只要问到关于模型的更多信息,答案永远是‘这就是个引擎中的黑盒,自行运作,我们啥都不用操心’。我知道AI/机器学习辅助的产品作为优势值得一提,但这种表达方式真心没啥用处。”
5. 网络9/11
2001年9月11日,激进的伊斯兰组织基地组织对美国发动协同恐怖袭击后,“网络9/11”一词首次出现。这个词指的是可造成恐惧、暴力、伤害和死亡等广泛重大影响的潜在恐怖相关网络攻击威胁。
除少数案例外,人类社会尚未实现对此类事件的预测,在Taylor看来,“网络9/11”和涉及重大新闻事件的其他类似网络安全词汇都不应使用。“这类词不尊重现实生活中受到这些事件影响的人。此外,此类词汇常被认为是纯粹的夸张。值得庆幸的是,我们还没有看到有哪起网络安全事件产生的影响堪比9/11事件或某些评论员喜欢提到的任何其他事件。我们应尽早摒弃将网络事件与导致重大生命损失的现实世界事件联系起来的做法,这样我们的行业才会受到更多重视。”
6. 数字化转型
尽管数字化转型是当今云驱动时代的流行语,但Exabeam安全工程副总裁Matt Rider认为,提及数字化转型不过是在描述企业在过去50年里所做的事情。“事实上,转型早已有之。一切都在不断发展,不断变化。这个词并不是突然之间就席卷整个行业的思想顿悟。”
我们回顾上世纪初工业革命时代,亨利·福特对装配流水线生产进行现代化改造的时候。他对于新兴技术和变革型领导的理解激发了新的工作方式。“这是一次技术性的变革,具有巨大的影响力,改变了他们当时所了解的职场。我所看到的成功企业无不具有正确的文化,而非正确的工具。如果你现在还没‘数字化转型’,那你就出局了。这种观点是不对的,我认为我们应该跳出数字化转型的潮流了。”
7. 安全信息与事件管理(SIEM)
安全信息与事件管理(SIEM)定义了将安全信息管理(SIM)与安全事件管理(SEM)结合起来的软件产品和服务。作为首字母缩写词和一类产品,SIEM似乎被无数网络安全供应商大力宣扬。
然而,佛瑞斯特研究所安全与风险分析师Allie Mellen表示,SIEM在合规方面历史悠久,却未必能够昭示如今的地位。“SIEM现在专注于威胁检测和响应,结合安全用户行为分析(SUBA)和安全编排、自动化与响应(SOAR)来处理事件响应生命周期的每个步骤。在佛瑞斯特研究所,我们将SIEM称之为安全分析平台,以便更好地表征这类产品的功用:对数据执行安全分析,并作为平台连接第三方产品连接进行事件响应。”
8. 人员是最弱一环
CREST Australia总裁兼新南威尔士大学网络安全研究所所长Nigel Phair表示,全球几乎每次安全会议都举出将人视为安全链中最薄弱环节的概念,但这种提法应该马上停止了。“人是信息安全和保护企业网络及其上数据的最强大力量。点名怪罪到人的头上没用,也永远不会有用。正确的理解是,由于在线犯罪没有放之四海而皆准的技术万灵丹,我们需要将员工也纳入防御能力的一部分,向他们解释为什么设置某些控制措施,强调他们在企业网络防护当中的作用。”
9. 网络安全意识
对很多首席信息安全官而言,提高整个公司的网络安全意识是非常重要的目标。但Votiro首席执行官Ravi Srinivasan表示,网络安全意识这个术语其实被误用了。“网络安全意识这个词营造了一种用户应该为安全事件负责的说法,并鼓励企业制定植根于教育和培训的安全战略,以之检测(并最终预防)网络威胁。”
然而,当今网络攻击非常复杂,而且一直在发展变化,甚至最具安全意识的企业都难以保持一直领先网络威胁一步。安全和IT主管需要调整自身企业安全战略,关注他们全球运营的业务。“我建议用提高‘网络安全警惕性’来代替‘网络安全意识’,并鼓励公司加强员工与其雇主、企业和IT主管、私营和公共部门实体之间的合作,一起努力挫败网络威胁。”
10. 网络杀伤链
随着数字领域与物理领域的联系越来越紧密,与网络相关的军事风词汇势力愈加强大,尤其是网络杀伤链。这个词描述的是网络攻击的各个阶段,且与高级持续性威胁(APT)相关联。安永威胁情报高级经理Leanne Salibury称:“我不确定这是否完全合适,也不确定是否会导致我们采用更重磅的语言来增添沉闷话题的吸引力。而且,我觉得,对老兵而言(尤其是真正实地目睹过冲突和有战争经验的那些),在企业环境中要求他们与平民分享自身项目经验的时候,这种用词可能有点问题。”
11. 黑客
Acronis网络安全分析师Topher Tebow认为,在今天的环境下,应该严肃对待“黑客”这个词的用法,虽然未必需要彻底弃用,但不正确的用法必须予以根除。“黑客只是可以找到绕过给定项目、流程或软件的正常应用而达到预期结果的人。”
Tebow补充称,这个词的问题在于,在成千上万的黑客为了更大的利益而进行黑客攻击的时候,这个词就常被用来描述网络罪犯了。“所以,我们需要考虑我们想表达的意思,使用攻击者、网络罪犯和恶意行为者等术语,而不是将不良行为者统称为黑客。”
为网络流行语说几句
尽管多位专家表示很多网络安全流行语应该入土为安或者用别的词代替,但Byte高级网络安全总监年度前欧洲首席信息安全官Ed Tucker认为,网络安全流行语本身并没有什么问题,很多问题实际上都源自这些流行语的使用方式。“我们面临的最大问题之一不是流行语本身,这些流行语不过是商业化行业的一部分,而是懒惰的使用方式,以及对流行语语境理解和实际应用的缺乏。这延续了流行语不过如此的主题。”他的结论是,业界需要进一步了解经常使用的流行语,并深入研究这些概念及其适用的场景、时机和方式。