互聯(lián)網(wǎng)與網(wǎng)絡(luò)安全形勢(shì)不容樂(lè)觀，而且在迎來(lái)改善之前恐怕還要經(jīng)歷一系列低谷。要氛圍這一被動(dòng)局面，CIO與IT管理者需要重新審視當(dāng)前安全保障方式，反思目前通行的黑客及網(wǎng)絡(luò)犯罪扼制手段。

“朝鮮正在研發(fā)州際導(dǎo)彈，伊朗也堅(jiān)持進(jìn)行原子彈制造，但這都不是我們面臨的最大問(wèn)題，”博科通訊公司董事長(zhǎng)David House在本周于加州山景城舉辦的以太網(wǎng)創(chuàng)新峰會(huì)中，借未來(lái)預(yù)測(cè)研討會(huì)發(fā)表了這一觀點(diǎn)。“我們最大的問(wèn)題其實(shí)是網(wǎng)絡(luò)安全。”

雖然說(shuō)起安全話題，但House并沒(méi)有涉及隱私范疇——在該領(lǐng)域我們已然一敗涂地。“放棄吧，”他表示，“已經(jīng)沒(méi)有改變的余地——一切都將暴露在所有人面前，這已經(jīng)成為定局。”

我們?cè)诰W(wǎng)站上進(jìn)行的每一次點(diǎn)擊操作都會(huì)受到追蹤。“目前，Amazon與谷歌掌握我們所做的一切，彈出的廣告內(nèi)容也一定符合我們這段時(shí)間經(jīng)常搜索的項(xiàng)目，”House指出。“這些服務(wù)業(yè)巨頭早就把用戶情況吃透了。”

但這沒(méi)什么問(wèn)題。“你猜怎么著?Larry Page對(duì)我們的個(gè)人情況或者喜好取向根本不感興趣，”他解釋道。“真正了解我們的是計(jì)算機(jī)設(shè)備。”我們自身不是計(jì)算機(jī)的關(guān)注目標(biāo)，我們的購(gòu)買(mǎi)習(xí)慣才是。“整個(gè)過(guò)程可以概括為海量個(gè)體產(chǎn)生數(shù)據(jù)、這些數(shù)據(jù)匯聚成大數(shù)據(jù)、大數(shù)據(jù)由數(shù)據(jù)庫(kù)系統(tǒng)處理、處理結(jié)果指導(dǎo)商家制定營(yíng)銷(xiāo)方針。”

既然Page和他豢養(yǎng)的計(jì)算機(jī)都不打算真正窺探我們的隱私，那我們到底該擔(dān)心什么?根據(jù)House的意見(jiàn)，最大的威脅來(lái)自黑客。“服務(wù)巨頭會(huì)掌握用戶的全方位信息，而有能力突破服務(wù)商防御體系的家伙可以借此了解我們，”他表示。“我們真正需要擔(dān)心的是黑客，而非谷歌本身。”

我們對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)方式令隱私問(wèn)題不斷加深，House指出。“在過(guò)去四十年中，我們一直在把以線纜為基礎(chǔ)的網(wǎng)絡(luò)體系推向更高的抽象層面，”他解釋道。“而虛擬化與軟件定義網(wǎng)絡(luò)則是我們向網(wǎng)絡(luò)環(huán)境中塞進(jìn)的最新抽象層。”

這些抽象因素的介入令黑客突破網(wǎng)絡(luò)防御機(jī)制的途徑愈發(fā)多樣。“其中每一層都像一條隧道，人們可以借此訪問(wèn)那些他們本無(wú)法訪問(wèn)的內(nèi)容，”他警告稱(chēng)。

在另一次峰會(huì)的對(duì)話中，很多安全高層也表達(dá)了同樣的悲觀情緒。舉例來(lái)說(shuō)，數(shù)據(jù)安全企業(yè)Vormetric公司CEO Alan Kessler就干脆放棄了傳統(tǒng)安全措施。“在網(wǎng)絡(luò)體系周?chē)⑵鹌琳弦呀?jīng)不再有效，”他指出。“惡意人士早已經(jīng)滲透到企業(yè)內(nèi)部。他們擁有訪問(wèn)業(yè)務(wù)網(wǎng)絡(luò)的能力——事實(shí)上，他們可能就在員工中間。”

Kessler還認(rèn)為云計(jì)算的普及同樣該被視為新生威脅。“即使大家看好自己的數(shù)據(jù)中心、信任自己的員工，但如果數(shù)據(jù)駐留在他人的云環(huán)境中，你還能對(duì)安全性毫無(wú)疑慮嗎?管理云服務(wù)器的系統(tǒng)管理員們又是否值得信任?這些還都是未知數(shù)。”

根據(jù)Kessler的觀點(diǎn)——請(qǐng)注意，他是一家數(shù)據(jù)安全企業(yè)的高管，所以在安全事務(wù)方面難免有些偏執(zhí)——這一切都不能信任。保護(hù)網(wǎng)絡(luò)免受入侵并不是保障安全的最好辦法;相反，我們應(yīng)該專(zhuān)注于鎖定數(shù)據(jù)，而不僅僅是網(wǎng)絡(luò)本身。

網(wǎng)絡(luò)安全企業(yè)SourceFire公司安全戰(zhàn)略副總裁Jason Brvenik也表達(dá)了對(duì)數(shù)據(jù)鎖定方案的強(qiáng)烈關(guān)注。根據(jù)他的說(shuō)明，網(wǎng)絡(luò)安全狀況之糟糕可以用一項(xiàng)數(shù)字來(lái)說(shuō)明——Verizon調(diào)查報(bào)告指出，網(wǎng)絡(luò)攻擊活動(dòng)與企業(yè)自身發(fā)現(xiàn)問(wèn)題之間的平均相隔時(shí)間長(zhǎng)達(dá)一百天以上。

Brvenik認(rèn)為，企業(yè)需要利用先進(jìn)分析機(jī)制收集更多關(guān)于網(wǎng)絡(luò)活動(dòng)的細(xì)節(jié)信息，并將這些惡意活動(dòng)信息更好地與他人分享。如果能做到這一點(diǎn)，他表示“我們就可以縮短問(wèn)題出現(xiàn)與問(wèn)題暴露之間的時(shí)間差。我們可以將其壓縮至數(shù)周乃至數(shù)天。對(duì)于某些機(jī)構(gòu)，我們甚至可以將間隔縮短至幾小時(shí)或者幾分鐘。”

安全分析軟件供應(yīng)商Click Security公司聯(lián)合創(chuàng)始人兼CTO Brian Smith也支持Brvenik對(duì)信息分享的意見(jiàn)。“人們往往傾向于隱瞞安全威脅，”他解釋稱(chēng)。“而我們需要以行業(yè)為單位推廣知識(shí)分享機(jī)制，因?yàn)楣粽呷后w往往以企業(yè)形式出現(xiàn)——他們開(kāi)發(fā)出了惡意軟件，并需要以此為基礎(chǔ)產(chǎn)生投資回報(bào)。”

Smith補(bǔ)充道，攻擊者在入侵一家企業(yè)后又會(huì)瞄準(zhǔn)下一家、接著是第三家，以此類(lèi)推并在每次惡意活動(dòng)中獲利。“我們希望擊垮這種經(jīng)濟(jì)模式，”他告訴我們——只要受害企業(yè)能夠與其它同行分享細(xì)節(jié)資料，攻擊者就很難順利實(shí)現(xiàn)下一波入侵，從而導(dǎo)致經(jīng)濟(jì)鏈條斷裂——這才是安全體系的良性循環(huán)。

不過(guò)除非企業(yè)擁有素養(yǎng)出眾的網(wǎng)絡(luò)安全技術(shù)人員并為其提供豐厚的報(bào)酬，否則我們很難獲得良好的安全規(guī)劃——安全團(tuán)隊(duì)的人員流動(dòng)會(huì)嚴(yán)重?fù)p害保護(hù)機(jī)制的實(shí)際效果。

Smith同時(shí)指出，大多數(shù)機(jī)構(gòu)只是簡(jiǎn)單意識(shí)到“哦，我們應(yīng)該對(duì)安全表示關(guān)注——然后隨便找一位IT人士，指派其負(fù)責(zé)安全事務(wù)。最離譜的是，經(jīng)營(yíng)管理者往往希望安全工作能以‘兼職’方式進(jìn)行，也就是負(fù)責(zé)人不要因此影響到本職任務(wù)。”這顯然遠(yuǎn)遠(yuǎn)不夠。他建議稱(chēng)，企業(yè)應(yīng)當(dāng)在培訓(xùn)、教育以及網(wǎng)絡(luò)安全管理員的“專(zhuān)業(yè)化”方面加大投入。

但用戶培訓(xùn)似乎注定無(wú)法得到理想效果。正如“下一代威脅保護(hù)”開(kāi)發(fā)商FireEye公司產(chǎn)品高級(jí)副總裁Manish Gupta的解釋?zhuān)?ldquo;我們不可能將限制強(qiáng)加給用戶，這一點(diǎn)過(guò)去做不到、未來(lái)也同樣無(wú)法實(shí)現(xiàn)。”Kessler也表示，用戶個(gè)人習(xí)慣中往往存在很多安全陋習(xí)，安全專(zhuān)家的工作是盡量避免這些陋習(xí)導(dǎo)致問(wèn)題，但基本不可能真正扭轉(zhuǎn)這股歪風(fēng)。

Smith還指出，企業(yè)應(yīng)當(dāng)對(duì)黑客施加更為猛烈的主動(dòng)進(jìn)攻。“我認(rèn)為在過(guò)去二十年中，我們一直在以亡羊補(bǔ)牢的心態(tài)采取被動(dòng)防守;但在目前的形勢(shì)下，我們更應(yīng)該以防患于未然的姿態(tài)主動(dòng)出擊。”

“我們?cè)噲D通過(guò)安裝殺毒軟件提升設(shè)備安全性，并利用網(wǎng)絡(luò)控制機(jī)制避免破壞事故，”Smith總結(jié)道。

“但事實(shí)上，惡意人士總會(huì)從現(xiàn)有體系中找到突破口。”這些預(yù)防性措施的實(shí)際表現(xiàn)相當(dāng)無(wú)力，根據(jù)Verizon公司的違規(guī)事件報(bào)告，只有5%的入侵活動(dòng)能被安全機(jī)制發(fā)現(xiàn)。

“整個(gè)行業(yè)在IT安全方面投入六十億美元巨資，”他指出。“但現(xiàn)有方案卻只帶來(lái)二十分之一的入侵識(shí)別成功率。”

因此，廣泛培訓(xùn)、鎖定數(shù)據(jù)、改進(jìn)分析、縮短入侵檢測(cè)周期以及主動(dòng)出擊等一系列措施很可能為我們呈現(xiàn)更加光明的安全前景。不過(guò)從目前來(lái)看，局勢(shì)仍然不容樂(lè)觀。

在上述乃至更多安全措施真正成熟并付諸行動(dòng)之前，博科公司的House認(rèn)為“安全問(wèn)題還將進(jìn)一步惡化”。