大型安全災(zāi)難可否避免?如果我們繼續(xù)接受現(xiàn)在糟糕的安全做法和后果，災(zāi)難可能無法避免。

[[123699]]

在美國(guó)911事件之前，曾經(jīng)有人提議增強(qiáng)機(jī)場(chǎng)安全，但這些提議受到阻攔，因?yàn)楦鼜V泛的措施沒必要，并會(huì)讓成本增加到不可接受的水平。

現(xiàn)在安全行業(yè)也處于類似的狀態(tài)。2014年的計(jì)算機(jī)安全處于一種可怕的狀態(tài)。數(shù)據(jù)泄漏事故不斷發(fā)生，而解決方案要么沒用要么太昂貴和便方便，讓企業(yè)拒絕部署它們。

筆者認(rèn)為我們應(yīng)該創(chuàng)造更安全的互聯(lián)網(wǎng)，而不是等到災(zāi)難性事故發(fā)生的時(shí)候，才意識(shí)到安全的重要性。但筆者并沒有抱太大希望，他已經(jīng)對(duì)抗網(wǎng)絡(luò)犯罪近三十年，每年事情都變得更糟。下面讓我們回顧一下現(xiàn)在可怕的安全狀態(tài)。

1.網(wǎng)絡(luò)犯罪很少遇到阻力

我們現(xiàn)在已經(jīng)習(xí)慣了在線身份信息和財(cái)務(wù)信息被泄露的新聞：根據(jù)隱私權(quán)信息交流中心網(wǎng)站顯示，單在2013年，就有2.58億條信息被泄漏。與此同時(shí)，高級(jí)持續(xù)攻擊(APT[注])團(tuán)隊(duì)正在盡全力發(fā)動(dòng)攻擊。勒索軟件會(huì)加密硬盤中的敏感個(gè)人信息，并勒索受害者支付金額(通過比特幣或者其他很難追蹤的電子貨幣)來恢復(fù)訪問。

企業(yè)很少會(huì)做好基本工作，例如修復(fù)漏洞或者準(zhǔn)備備份。安全從業(yè)人員承認(rèn)其企業(yè)的計(jì)算機(jī)并不安全。

很少有企業(yè)會(huì)強(qiáng)制用戶斷網(wǎng)幾個(gè)星期來試圖修復(fù)漏洞，但企業(yè)應(yīng)該這樣做，因?yàn)槿绻麄儾恍迯?fù)漏洞，這會(huì)讓攻擊者趁虛而入。

2.反惡意軟件公司在欺騙你

不要相信可以攔截一切的反惡意軟件程序。這些軟件實(shí)際并沒有那么厲害，即使是現(xiàn)在的多態(tài)惡意軟件程序出現(xiàn)之前，反惡意軟件程序也不完美。

現(xiàn)在的惡意軟件編寫者會(huì)針對(duì)世界上大多數(shù)反惡意軟件程序測(cè)試其程序，并僅在他們繞過檢測(cè)后再發(fā)布他們的程序。另外，所有惡意軟件系統(tǒng)都包含惡意代碼，讓它們?cè)诜床《緳z測(cè)啟用前能夠更新自身。

筆者最喜歡的網(wǎng)站的VirusTotal，其中有55個(gè)反惡意軟件程序，還有很多惡意軟件編寫者用來測(cè)試其程序的相同測(cè)試引擎。

反惡意軟件產(chǎn)品的檢測(cè)率非常糟糕，供應(yīng)商怎么可以聲稱100%的檢測(cè)率?

3.隱私權(quán)不再受關(guān)注

讓筆者很驚訝的是，很多人已經(jīng)接受其生活的各個(gè)方面都不在保密的事實(shí)。所有主流社交媒體網(wǎng)站都會(huì)追蹤用戶上網(wǎng)行為，這種精確度讓任何國(guó)家的間諜機(jī)構(gòu)眼紅。

甚至我們的位置信息也可能被追蹤，通過藍(lán)牙、GPS或者需要我們提供身份信息的服務(wù)。

網(wǎng)絡(luò)公司將隱私權(quán)隱藏在無人閱讀的法律協(xié)議中(+微信關(guān)注網(wǎng)絡(luò)世界)，但即使隱私侵犯用大字寫在整個(gè)屏幕，用戶仍然會(huì)點(diǎn)擊確定。例如，供應(yīng)商可能會(huì)告訴你他們可以永遠(yuǎn)訪問你的聯(lián)系人信息，甚至代表你發(fā)布內(nèi)容。這種隱私侵犯很瘋狂。

4.更好的身份驗(yàn)證并不是萬能藥

經(jīng)常有讀者認(rèn)為更強(qiáng)的身份驗(yàn)證(雙因素身份驗(yàn)證或生物識(shí)別)可以解決大部分網(wǎng)絡(luò)安全問題。確實(shí)，更強(qiáng)的身份驗(yàn)證可以幫助我們抵御網(wǎng)絡(luò)犯罪，但大多數(shù)網(wǎng)絡(luò)犯罪并不是源于身份驗(yàn)證問題。通常情況下，攻擊者會(huì)入侵計(jì)算機(jī)，并獲取合法用戶的權(quán)限。他們并不關(guān)心你使用何種身份驗(yàn)證方式，他們關(guān)注的是你是否忘記修復(fù)你的計(jì)算機(jī)或者下載并運(yùn)行了木馬程序。更好的身份驗(yàn)證是該解決方案的一部分，但并不是全部。

該怎么辦?

911事件讓全世界認(rèn)識(shí)到松懈空中安全帶來的可怕后果。現(xiàn)在我們已經(jīng)強(qiáng)化了駕駛艙門、提高了機(jī)場(chǎng)安全，以及各國(guó)和執(zhí)法機(jī)構(gòu)之間的溝通。我們可能不喜歡在機(jī)場(chǎng)安全檢查站的不便，但我們的空中旅行更安全了。

現(xiàn)在，網(wǎng)絡(luò)犯罪很嚴(yán)重，但這仍然被認(rèn)為是做生意的成本，而不是危機(jī)。筆者衷心希望我們將不再需要忍受糟糕的網(wǎng)絡(luò)安全狀況，而是發(fā)展到這樣的水平，即經(jīng)營(yíng)成本和不便要高于真正變革的成本和不便。無論怎樣，我們應(yīng)該讓互聯(lián)網(wǎng)變成更安全的地方。(鄒錚編譯)