过去两年间,大额赎金勒索软件攻击的兴起以及软件供应链危机的爆发,已将网络安全提升到政府议程的首要位置。与此同时,美国业界乃至普通民众也都已意识到民族国家行为者和犯罪组织构成的一系列新的数字威胁。
为此,今年的阿斯彭(Aspen)网络峰会特别就两大主题——我们如今面临的网络安全威胁的复杂性;以及它们与我们过去面临的挑战有何不同——展开了激烈讨论。
Thistle Technologies公司CEO Window Snyder表示,“如今,系统间的复杂性和相互依赖性越来越大,因此,威胁行为者抓住漏洞的机会和速度都远超我们缓解它们的能力。”
与20年前不同的是,当时即便是广泛的IT系统也相对独立和直接,而如今系统的相互依赖性使得处理和防御威胁变得愈发困难。这里的核心问题就是系统间的复杂性和相互依赖性,而这都是我们无法舍弃的东西,因为我们需要它来提供灵活性和所需的所有其他关键功能。
数字组合中出现的一个新变量是勒索软件的快速增长,这使得网络攻击变得越来越严重。如今,勒索软件攻击者似乎已经找到了一种非常成功的非法商业模式。每次发生大规模攻击时,我们都能看到受害者支付赎金以解决问题。对于这种商业模式来说,这无疑是非常好的广告。
哥伦比亚大学高级研究学者Jay Healey表示,在某一层面上,网络安全风险与二十年前相比没有变化。20年前(比如说,从90年代末到2003年),大规模的攻击同样也会导致互联网的大部分内容瘫痪,而且这种情况十分常见。那时候,Nimda、Code Red、SQL Slammer、Melissa和I Love You等病毒和蠕虫都是主要的网络威胁。
从那以后,微软方面进行了很大的改革,其他企业也随之做出了很大改变,但许多基本漏洞仍然存在。
不安全的设备就像“床底下的怪物”
即使一些主要科技公司(例如微软)已经改善了他们的安全状况,但网络安全行业的整体停滞就像“床底下最大的怪物”。从早期蠕虫和病毒准备削弱网络的重要部分以来,安全行业整体来说并没有做太多事情——我们没有实施更好的技术;没有更好地缓解这些策略;没有减少我们的攻击面;也没有处理内存损坏问题等。
与以往相比,如今的攻击面不仅要广泛得多,而且还包含大量物联网设备——与大型计算机和笔记本电脑甚至移动设备不同,从安全角度来看,许多物联网设备通常不具备充足的内存、存储或CPU能力来适应安全更新。这无疑为攻击者创造了巨大的机会。管理这些设备的人员甚至很难检测并识别它们是否受到了入侵,或者是否在部署时使用了正确的运行代码。这些不安全的设备无疑就像“床底下的大毛毛怪”!
除此之外,万物互联(包括无所不在的关键基础设施部门与数字网络的互连)的局面构成的威胁,确实要比早期的蠕虫和病毒严重得多。20年前,蠕虫只能击溃由硅以及由1和0创造的东西,因为当时的互联网上只有这些东西。如今,它们却有能力危及生命。总结来看,2000年代和2010年代应该算是最后的“黄金时代”,因为那时没有人真正死于网络攻击。
网络犯罪的门槛很低
FireEye公司CEO Kevin Mandia表示,与20年前相比,另一个重大改变是网络犯罪的性质发生了变化。20年前的罪犯必须技能超群,而如今网络犯罪的准入门槛非常低,甚至正在演变成一种服务。此外,与过去不同的是,越来越多的民族国家行为者正在进入网络犯罪领域,这无疑进一步加剧了威胁态势。
如今,最有利可图的网络犯罪活动要数勒索软件,它会滋生更危险的威胁,并且需要更具创新性的集体防御。随着民族国家行为者和网络罪犯之间的关系越来越模糊,那些为犯罪分子提供安全避风港和舒适环境的民族国家成了治理重点。想要维护网络环境,必须开始直接与这些国家对话以解决问题。
鉴于威胁格局变化之快,我们面临的真正挑战其实是了解风险。但遗憾的是,目前的政府和私营部门可能都不具备了解风险的能力。所以,无论是政府还是私营部门都必须摆正态度,认真地对待不断变化的威胁格局,并迅速做出响应。
COVID-19改变了系统性风险
另一个迅速改变系统性网络风险的重要力量是COVID-19。工作场所的突然关闭以及长时间、大规模的隔离,迫使网络安全风险管理方式发生了根本性变化。企业组织不得不重新配置网络并扩增容量。
COVID-19危机的突然爆发也引起了网络犯罪分子对新行业的关注。强生公司副总裁兼首席信息安全官Marene Allison表示,“我们从来都不是攻击者的目标,真正的目标。在疫苗问世之前,甚至没有人关注我们。但一夜之间,医疗保健行业的威胁态势发生了巨变。”
COVID-19期间,即便是受到高度保护的金融业也不得不争先恐后地改变其数字风险状况。万事达卡负责人表示,“2020年第二季度,我们看到非接触式支付大幅增加。为此,我们为客户提供的非接触式解决方案比上一年多出5倍。”