在對多個項目進行了研究后，我發現有些分析師并不認可，大部分安全漏洞來自網絡內部這樣的主流觀點。特別是在剛讀完網絡世界上的一篇文章時，這樣的觀點引起了我的特別關注：

“根據加利福尼亞州舊金山的計算機安全協會(CSI)的觀點，大約60%到80%的網絡濫用事件起源于內部網絡。”

很明顯，在進行下一步討論前，我們需要對“內部人士”的確切含義進行說明，以免產生誤解?；蛘哒f，在安全調查報告中是怎樣進行確認的。在這里，我想先給出一些定義，讓你確認。

內部人士的定義

美國特勤局國家威脅評估中心和卡內基·梅隆大學的計算機緊急反應小組(CERT)正在合作進行一個稱之為內部威脅研究的課題項目。在下面列出的我認為非常準確的定義就是由該團隊依據其專業知識給出的：

◆內部人士：包括了擁有公司/組織計算機系統和網絡的存儲權限的現有/前職員和承包商。

◆安全漏洞：故意或者濫用網絡、系統或數據存取等資源給公司/組織的數據、系統或業務安全帶來了消極影響。

討論開始

你應該還記得，在網絡世界的文章中曾引用CSI的報告。自從1996年開始，CSI就和聯邦調查局(FBI)開始共享計算機犯罪研究方面的信息。從2001年開始，他們開始出版包含了完整的信息安全漏洞內容的年度全面報告。

似乎不這么簡單

“按照傳統的觀點，80%的計算機安全問題都是由于內部人士的原因造成的?！?/P>

記得我是在2001年的調查報告中第一次看到這句話;我想終于可以確定80%這個數據的準確來源了。如果你仔細想想，這種說法是有道理的;相比而言，內部人士進行攻擊確實比較方便。

但當我再次閱讀的時間，我意識到這不是研究人員說的。根據來自喬治城大學的丹寧博士在報告中的說法，他們說的情況已經發生了改變，并且這個所謂的“常識”是錯誤：

“一個有趣的發展趨勢是，威脅的主要來源開始由內部人士轉向外部。這么多年來，第一次有更多的受訪者說，比起來自不滿或不誠實人士的攻擊，獨立黑客是更可能的來源?！?/P>

這下子，我開始困惑了。先把問題放到一邊，這個臭名昭著的80%在2001年再次出現的位置，是尤金·舒爾茨博士的調查報告中：

“不幸的是，造成大量混亂的原因來自于一個事實，即有些人不斷引述17年前的FBI統計，表明80%的攻擊來自內部。”

因此，這是80%的來源。盡管，考慮到技術的發展，這個比例可能并不精確。但值得慶幸的是，舒爾茨博士提及并證實了這一點：

“當該統計數字第一次公布的時間，幾乎可以肯定是有效的。當時世界上計算機的主流是大型主機和單獨的個人計算機。但現在，我們有了大量的網絡服務(大部分都是全球范圍的網絡服務)，整個互聯網已經成為充滿了可攻擊目標的環境?！?/P>

這無疑會導致情況發生了變化。CSI和聯邦調查局的研究表明，來自外部的攻擊正在呈現日益增長的趨勢。具體變化如下圖所示：

圖3

情況有什么變化?

因此，為什么80%內部人士的觀點還在流行，我在前面提到的網絡世界的文章還堅信這一點呢?特別是CSI還將其用為參考來源。為了理解這一點，我找到了CSI/FBI計算機犯罪和安全調查(2008)版本，看看內容是否有所改變：

幸運的是，CSI/FBI的研究團隊繼續使用相同的格式，要求受訪者估計來自內部人士的攻擊所占的百分比。下表顯示的就是相關結果：

圖4

該圖清楚地表明，受訪者認為發動安全攻擊最多的位置都是來自公司/組織的外部。我并不確認每家公司的情況都是一樣的，但我可以肯定，在過去的一年中，大多數網絡管理員都發現來自外部的攻擊大幅度上升。

并非表面上看起來這么簡單

我也相信，確認原始觀點不是這么簡單的事情。舉例來說，對于外部攻擊，什么樣才算成功地滲透到網絡中。這樣就會讓它變成一次內部攻擊?如果從內部人士的定義來看，這樣的攻擊顯然比較高。它是否具有來自內部人士攻擊的所有特征?

不同觀點

在本周末，我有機會與一位朋友就這篇文章進行討論。這位朋友恰好是一位安全分析師。我很高興他介紹了一個完全不同的觀點，在這里我想與大家分享。

首先，他提醒我說，報告或者確認安全漏洞是一個很敏感的話題，大部分公司并不會很積極的進行這項工作的。第二，他指出，每個人都有自己的日常工作事項。例如：

◆設備、軟件和服務供應商會夸大威脅的狀況，以幫助產品的銷售。

◆公司則更喜歡將威脅歸咎于來自外部的攻擊，這樣可以減少很多麻煩。

◆公司的IT安全團隊傾向于警告所有的威脅，因為這樣可以證明他們存在的必要性。

有趣的是，至少可以說，我同意這些因素將會在公司內部運作的時間發揮作用。

結 論

我有幾點要說明的：

◆我同意CSI/FBI的調查結果，外部威脅現在更為普遍。

◆我認為來自內部的攻擊更容易實現。

◆內部安全漏洞帶來的威脅更大，特別是對于由于數據被盜造成以及由此產生的后果來說。

我并不確認最后一點是否符合實際。最近關于外部安全漏洞導致國防部上TB規模的數據被竊取看起來是非常值得注意的。

安全漏洞是一個復雜有爭議的問題，很難確保萬無一失。我所說的僅僅是個人的觀點，在討論中起到的是拋磚引玉的作用。因此，請告訴我你是怎么想的。

【編輯推薦】

1. 構建企業安全局域網網管員需主動出擊
2. 局域網共享隱身術防止內部攻擊