在對(duì)多個(gè)項(xiàng)目進(jìn)行了研究后，我發(fā)現(xiàn)有些分析師并不認(rèn)可，大部分安全漏洞來(lái)自網(wǎng)絡(luò)內(nèi)部這樣的主流觀點(diǎn)。特別是在剛讀完網(wǎng)絡(luò)世界上的一篇文章時(shí)，這樣的觀點(diǎn)引起了我的特別關(guān)注：

“根據(jù)加利福尼亞州舊金山的計(jì)算機(jī)安全協(xié)會(huì)(CSI)的觀點(diǎn)，大約60%到80%的網(wǎng)絡(luò)濫用事件起源于內(nèi)部網(wǎng)絡(luò)。”

很明顯，在進(jìn)行下一步討論前，我們需要對(duì)“內(nèi)部人士”的確切含義進(jìn)行說(shuō)明，以免產(chǎn)生誤解?；蛘哒f(shuō)，在安全調(diào)查報(bào)告中是怎樣進(jìn)行確認(rèn)的。在這里，我想先給出一些定義，讓你確認(rèn)。

內(nèi)部人士的定義

美國(guó)特勤局國(guó)家威脅評(píng)估中心和卡內(nèi)基·梅隆大學(xué)的計(jì)算機(jī)緊急反應(yīng)小組(CERT)正在合作進(jìn)行一個(gè)稱之為內(nèi)部威脅研究的課題項(xiàng)目。在下面列出的我認(rèn)為非常準(zhǔn)確的定義就是由該團(tuán)隊(duì)依據(jù)其專業(yè)知識(shí)給出的：

◆內(nèi)部人士：包括了擁有公司/組織計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的存儲(chǔ)權(quán)限的現(xiàn)有/前職員和承包商。

◆安全漏洞：故意或者濫用網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)存取等資源給公司/組織的數(shù)據(jù)、系統(tǒng)或業(yè)務(wù)安全帶來(lái)了消極影響。

討論開(kāi)始

你應(yīng)該還記得，在網(wǎng)絡(luò)世界的文章中曾引用CSI的報(bào)告。自從1996年開(kāi)始，CSI就和聯(lián)邦調(diào)查局(FBI)開(kāi)始共享計(jì)算機(jī)犯罪研究方面的信息。從2001年開(kāi)始，他們開(kāi)始出版包含了完整的信息安全漏洞內(nèi)容的年度全面報(bào)告。

似乎不這么簡(jiǎn)單

“按照傳統(tǒng)的觀點(diǎn)，80%的計(jì)算機(jī)安全問(wèn)題都是由于內(nèi)部人士的原因造成的。”

記得我是在2001年的調(diào)查報(bào)告中第一次看到這句話;我想終于可以確定80%這個(gè)數(shù)據(jù)的準(zhǔn)確來(lái)源了。如果你仔細(xì)想想，這種說(shuō)法是有道理的;相比而言，內(nèi)部人士進(jìn)行攻擊確實(shí)比較方便。

但當(dāng)我再次閱讀的時(shí)間，我意識(shí)到這不是研究人員說(shuō)的。根據(jù)來(lái)自喬治城大學(xué)的丹寧博士在報(bào)告中的說(shuō)法，他們說(shuō)的情況已經(jīng)發(fā)生了改變，并且這個(gè)所謂的“常識(shí)”是錯(cuò)誤：

“一個(gè)有趣的發(fā)展趨勢(shì)是，威脅的主要來(lái)源開(kāi)始由內(nèi)部人士轉(zhuǎn)向外部。這么多年來(lái)，第一次有更多的受訪者說(shuō)，比起來(lái)自不滿或不誠(chéng)實(shí)人士的攻擊，獨(dú)立黑客是更可能的來(lái)源?！?/P>

這下子，我開(kāi)始困惑了。先把問(wèn)題放到一邊，這個(gè)臭名昭著的80%在2001年再次出現(xiàn)的位置，是尤金·舒爾茨博士的調(diào)查報(bào)告中：

“不幸的是，造成大量混亂的原因來(lái)自于一個(gè)事實(shí)，即有些人不斷引述17年前的FBI統(tǒng)計(jì)，表明80%的攻擊來(lái)自內(nèi)部?！?/P>

因此，這是80%的來(lái)源。盡管，考慮到技術(shù)的發(fā)展，這個(gè)比例可能并不精確。但值得慶幸的是，舒爾茨博士提及并證實(shí)了這一點(diǎn)：

“當(dāng)該統(tǒng)計(jì)數(shù)字第一次公布的時(shí)間，幾乎可以肯定是有效的。當(dāng)時(shí)世界上計(jì)算機(jī)的主流是大型主機(jī)和單獨(dú)的個(gè)人計(jì)算機(jī)。但現(xiàn)在，我們有了大量的網(wǎng)絡(luò)服務(wù)(大部分都是全球范圍的網(wǎng)絡(luò)服務(wù))，整個(gè)互聯(lián)網(wǎng)已經(jīng)成為充滿了可攻擊目標(biāo)的環(huán)境?！?/P>

這無(wú)疑會(huì)導(dǎo)致情況發(fā)生了變化。CSI和聯(lián)邦調(diào)查局的研究表明，來(lái)自外部的攻擊正在呈現(xiàn)日益增長(zhǎng)的趨勢(shì)。具體變化如下圖所示：

圖3

情況有什么變化?

因此，為什么80%內(nèi)部人士的觀點(diǎn)還在流行，我在前面提到的網(wǎng)絡(luò)世界的文章還堅(jiān)信這一點(diǎn)呢?特別是CSI還將其用為參考來(lái)源。為了理解這一點(diǎn)，我找到了CSI/FBI計(jì)算機(jī)犯罪和安全調(diào)查(2008)版本，看看內(nèi)容是否有所改變：

幸運(yùn)的是，CSI/FBI的研究團(tuán)隊(duì)繼續(xù)使用相同的格式，要求受訪者估計(jì)來(lái)自內(nèi)部人士的攻擊所占的百分比。下表顯示的就是相關(guān)結(jié)果：

圖4

該圖清楚地表明，受訪者認(rèn)為發(fā)動(dòng)安全攻擊最多的位置都是來(lái)自公司/組織的外部。我并不確認(rèn)每家公司的情況都是一樣的，但我可以肯定，在過(guò)去的一年中，大多數(shù)網(wǎng)絡(luò)管理員都發(fā)現(xiàn)來(lái)自外部的攻擊大幅度上升。

并非表面上看起來(lái)這么簡(jiǎn)單

我也相信，確認(rèn)原始觀點(diǎn)不是這么簡(jiǎn)單的事情。舉例來(lái)說(shuō)，對(duì)于外部攻擊，什么樣才算成功地滲透到網(wǎng)絡(luò)中。這樣就會(huì)讓它變成一次內(nèi)部攻擊?如果從內(nèi)部人士的定義來(lái)看，這樣的攻擊顯然比較高。它是否具有來(lái)自內(nèi)部人士攻擊的所有特征?

不同觀點(diǎn)

在本周末，我有機(jī)會(huì)與一位朋友就這篇文章進(jìn)行討論。這位朋友恰好是一位安全分析師。我很高興他介紹了一個(gè)完全不同的觀點(diǎn)，在這里我想與大家分享。

首先，他提醒我說(shuō)，報(bào)告或者確認(rèn)安全漏洞是一個(gè)很敏感的話題，大部分公司并不會(huì)很積極的進(jìn)行這項(xiàng)工作的。第二，他指出，每個(gè)人都有自己的日常工作事項(xiàng)。例如：

◆設(shè)備、軟件和服務(wù)供應(yīng)商會(huì)夸大威脅的狀況，以幫助產(chǎn)品的銷售。

◆公司則更喜歡將威脅歸咎于來(lái)自外部的攻擊，這樣可以減少很多麻煩。

◆公司的IT安全團(tuán)隊(duì)傾向于警告所有的威脅，因?yàn)檫@樣可以證明他們存在的必要性。

有趣的是，至少可以說(shuō)，我同意這些因素將會(huì)在公司內(nèi)部運(yùn)作的時(shí)間發(fā)揮作用。

結(jié) 論

我有幾點(diǎn)要說(shuō)明的：

◆我同意CSI/FBI的調(diào)查結(jié)果，外部威脅現(xiàn)在更為普遍。

◆我認(rèn)為來(lái)自內(nèi)部的攻擊更容易實(shí)現(xiàn)。

◆內(nèi)部安全漏洞帶來(lái)的威脅更大，特別是對(duì)于由于數(shù)據(jù)被盜造成以及由此產(chǎn)生的后果來(lái)說(shuō)。

我并不確認(rèn)最后一點(diǎn)是否符合實(shí)際。最近關(guān)于外部安全漏洞導(dǎo)致國(guó)防部上TB規(guī)模的數(shù)據(jù)被竊取看起來(lái)是非常值得注意的。

安全漏洞是一個(gè)復(fù)雜有爭(zhēng)議的問(wèn)題，很難確保萬(wàn)無(wú)一失。我所說(shuō)的僅僅是個(gè)人的觀點(diǎn)，在討論中起到的是拋磚引玉的作用。因此，請(qǐng)告訴我你是怎么想的。

【編輯推薦】

1. 構(gòu)建企業(yè)安全局域網(wǎng)網(wǎng)管員需主動(dòng)出擊
2. 局域網(wǎng)共享隱身術(shù)防止內(nèi)部攻擊