為什么如今的網絡安全威脅更加危險
過去兩年間,大額贖金勒索軟件攻擊的興起以及軟件供應鏈危機的爆發(fā),已將網絡安全提升到政府議程的首要位置。與此同時,美國業(yè)界乃至普通民眾也都已意識到民族國家行為者和犯罪組織構成的一系列新的數(shù)字威脅。
為此,今年的阿斯彭(Aspen)網絡峰會特別就兩大主題——我們如今面臨的網絡安全威脅的復雜性;以及它們與我們過去面臨的挑戰(zhàn)有何不同——展開了激烈討論。
Thistle Technologies公司CEO Window Snyder表示,“如今,系統(tǒng)間的復雜性和相互依賴性越來越大,因此,威脅行為者抓住漏洞的機會和速度都遠超我們緩解它們的能力。”
與20年前不同的是,當時即便是廣泛的IT系統(tǒng)也相對獨立和直接,而如今系統(tǒng)的相互依賴性使得處理和防御威脅變得愈發(fā)困難。這里的核心問題就是系統(tǒng)間的復雜性和相互依賴性,而這都是我們無法舍棄的東西,因為我們需要它來提供靈活性和所需的所有其他關鍵功能。
數(shù)字組合中出現(xiàn)的一個新變量是勒索軟件的快速增長,這使得網絡攻擊變得越來越嚴重。如今,勒索軟件攻擊者似乎已經找到了一種非常成功的非法商業(yè)模式。每次發(fā)生大規(guī)模攻擊時,我們都能看到受害者支付贖金以解決問題。對于這種商業(yè)模式來說,這無疑是非常好的廣告。
哥倫比亞大學高級研究學者Jay Healey表示,在某一層面上,網絡安全風險與二十年前相比沒有變化。20年前(比如說,從90年代末到2003年),大規(guī)模的攻擊同樣也會導致互聯(lián)網的大部分內容癱瘓,而且這種情況十分常見。那時候,Nimda、Code Red、SQL Slammer、Melissa和I Love You等病毒和蠕蟲都是主要的網絡威脅。
從那以后,微軟方面進行了很大的改革,其他企業(yè)也隨之做出了很大改變,但許多基本漏洞仍然存在。
不安全的設備就像“床底下的怪物”
即使一些主要科技公司(例如微軟)已經改善了他們的安全狀況,但網絡安全行業(yè)的整體停滯就像“床底下最大的怪物”。從早期蠕蟲和病毒準備削弱網絡的重要部分以來,安全行業(yè)整體來說并沒有做太多事情——我們沒有實施更好的技術;沒有更好地緩解這些策略;沒有減少我們的攻擊面;也沒有處理內存損壞問題等。
與以往相比,如今的攻擊面不僅要廣泛得多,而且還包含大量物聯(lián)網設備——與大型計算機和筆記本電腦甚至移動設備不同,從安全角度來看,許多物聯(lián)網設備通常不具備充足的內存、存儲或CPU能力來適應安全更新。這無疑為攻擊者創(chuàng)造了巨大的機會。管理這些設備的人員甚至很難檢測并識別它們是否受到了入侵,或者是否在部署時使用了正確的運行代碼。這些不安全的設備無疑就像“床底下的大毛毛怪”!
除此之外,萬物互聯(lián)(包括無所不在的關鍵基礎設施部門與數(shù)字網絡的互連)的局面構成的威脅,確實要比早期的蠕蟲和病毒嚴重得多。20年前,蠕蟲只能擊潰由硅以及由1和0創(chuàng)造的東西,因為當時的互聯(lián)網上只有這些東西。如今,它們卻有能力危及生命。總結來看,2000年代和2010年代應該算是最后的“黃金時代”,因為那時沒有人真正死于網絡攻擊。
網絡犯罪的門檻很低
FireEye公司CEO Kevin Mandia表示,與20年前相比,另一個重大改變是網絡犯罪的性質發(fā)生了變化。20年前的罪犯必須技能超群,而如今網絡犯罪的準入門檻非常低,甚至正在演變成一種服務。此外,與過去不同的是,越來越多的民族國家行為者正在進入網絡犯罪領域,這無疑進一步加劇了威脅態(tài)勢。
如今,最有利可圖的網絡犯罪活動要數(shù)勒索軟件,它會滋生更危險的威脅,并且需要更具創(chuàng)新性的集體防御。隨著民族國家行為者和網絡罪犯之間的關系越來越模糊,那些為犯罪分子提供安全避風港和舒適環(huán)境的民族國家成了治理重點。想要維護網絡環(huán)境,必須開始直接與這些國家對話以解決問題。
鑒于威脅格局變化之快,我們面臨的真正挑戰(zhàn)其實是了解風險。但遺憾的是,目前的政府和私營部門可能都不具備了解風險的能力。所以,無論是政府還是私營部門都必須擺正態(tài)度,認真地對待不斷變化的威脅格局,并迅速做出響應。
COVID-19改變了系統(tǒng)性風險
另一個迅速改變系統(tǒng)性網絡風險的重要力量是COVID-19。工作場所的突然關閉以及長時間、大規(guī)模的隔離,迫使網絡安全風險管理方式發(fā)生了根本性變化。企業(yè)組織不得不重新配置網絡并擴增容量。
COVID-19危機的突然爆發(fā)也引起了網絡犯罪分子對新行業(yè)的關注。強生公司副總裁兼首席信息安全官Marene Allison表示,“我們從來都不是攻擊者的目標,真正的目標。在疫苗問世之前,甚至沒有人關注我們。但一夜之間,醫(yī)療保健行業(yè)的威脅態(tài)勢發(fā)生了巨變。”
COVID-19期間,即便是受到高度保護的金融業(yè)也不得不爭先恐后地改變其數(shù)字風險狀況。萬事達卡負責人表示,“2020年第二季度,我們看到非接觸式支付大幅增加。為此,我們?yōu)榭蛻籼峁┑姆墙佑|式解決方案比上一年多出5倍。”
