過去兩年間，大額贖金勒索軟件攻擊的興起以及軟件供應(yīng)鏈危機的爆發(fā)，已將網(wǎng)絡(luò)安全提升到政府議程的首要位置。與此同時，美國業(yè)界乃至普通民眾也都已意識到民族國家行為者和犯罪組織構(gòu)成的一系列新的數(shù)字威脅。

[[434172]]

為此，今年的阿斯彭(Aspen)網(wǎng)絡(luò)峰會特別就兩大主題——我們?nèi)缃衩媾R的網(wǎng)絡(luò)安全威脅的復(fù)雜性;以及它們與我們過去面臨的挑戰(zhàn)有何不同——展開了激烈討論。

Thistle Technologies公司CEO Window Snyder表示，“如今，系統(tǒng)間的復(fù)雜性和相互依賴性越來越大，因此，威脅行為者抓住漏洞的機會和速度都遠超我們緩解它們的能力。”

與20年前不同的是，當(dāng)時即便是廣泛的IT系統(tǒng)也相對獨立和直接，而如今系統(tǒng)的相互依賴性使得處理和防御威脅變得愈發(fā)困難。這里的核心問題就是系統(tǒng)間的復(fù)雜性和相互依賴性，而這都是我們無法舍棄的東西，因為我們需要它來提供靈活性和所需的所有其他關(guān)鍵功能。

數(shù)字組合中出現(xiàn)的一個新變量是勒索軟件的快速增長，這使得網(wǎng)絡(luò)攻擊變得越來越嚴(yán)重。如今，勒索軟件攻擊者似乎已經(jīng)找到了一種非常成功的非法商業(yè)模式。每次發(fā)生大規(guī)模攻擊時，我們都能看到受害者支付贖金以解決問題。對于這種商業(yè)模式來說，這無疑是非常好的廣告。

哥倫比亞大學(xué)高級研究學(xué)者Jay Healey表示，在某一層面上，網(wǎng)絡(luò)安全風(fēng)險與二十年前相比沒有變化。20年前(比如說，從90年代末到2003年)，大規(guī)模的攻擊同樣也會導(dǎo)致互聯(lián)網(wǎng)的大部分內(nèi)容癱瘓，而且這種情況十分常見。那時候，Nimda、Code Red、SQL Slammer、Melissa和I Love You等病毒和蠕蟲都是主要的網(wǎng)絡(luò)威脅。

從那以后，微軟方面進行了很大的改革，其他企業(yè)也隨之做出了很大改變，但許多基本漏洞仍然存在。

不安全的設(shè)備就像“床底下的怪物”

即使一些主要科技公司(例如微軟)已經(jīng)改善了他們的安全狀況，但網(wǎng)絡(luò)安全行業(yè)的整體停滯就像“床底下最大的怪物”。從早期蠕蟲和病毒準(zhǔn)備削弱網(wǎng)絡(luò)的重要部分以來，安全行業(yè)整體來說并沒有做太多事情——我們沒有實施更好的技術(shù);沒有更好地緩解這些策略;沒有減少我們的攻擊面;也沒有處理內(nèi)存損壞問題等。

與以往相比，如今的攻擊面不僅要廣泛得多，而且還包含大量物聯(lián)網(wǎng)設(shè)備——與大型計算機和筆記本電腦甚至移動設(shè)備不同，從安全角度來看，許多物聯(lián)網(wǎng)設(shè)備通常不具備充足的內(nèi)存、存儲或CPU能力來適應(yīng)安全更新。這無疑為攻擊者創(chuàng)造了巨大的機會。管理這些設(shè)備的人員甚至很難檢測并識別它們是否受到了入侵，或者是否在部署時使用了正確的運行代碼。這些不安全的設(shè)備無疑就像“床底下的大毛毛怪”!

除此之外，萬物互聯(lián)(包括無所不在的關(guān)鍵基礎(chǔ)設(shè)施部門與數(shù)字網(wǎng)絡(luò)的互連)的局面構(gòu)成的威脅，確實要比早期的蠕蟲和病毒嚴(yán)重得多。20年前，蠕蟲只能擊潰由硅以及由1和0創(chuàng)造的東西，因為當(dāng)時的互聯(lián)網(wǎng)上只有這些東西。如今，它們卻有能力危及生命?？偨Y(jié)來看，2000年代和2010年代應(yīng)該算是最后的“黃金時代”，因為那時沒有人真正死于網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)犯罪的門檻很低

FireEye公司CEO Kevin Mandia表示，與20年前相比，另一個重大改變是網(wǎng)絡(luò)犯罪的性質(zhì)發(fā)生了變化。20年前的罪犯必須技能超群，而如今網(wǎng)絡(luò)犯罪的準(zhǔn)入門檻非常低，甚至正在演變成一種服務(wù)。此外，與過去不同的是，越來越多的民族國家行為者正在進入網(wǎng)絡(luò)犯罪領(lǐng)域，這無疑進一步加劇了威脅態(tài)勢。

如今，最有利可圖的網(wǎng)絡(luò)犯罪活動要數(shù)勒索軟件，它會滋生更危險的威脅，并且需要更具創(chuàng)新性的集體防御。隨著民族國家行為者和網(wǎng)絡(luò)罪犯之間的關(guān)系越來越模糊，那些為犯罪分子提供安全避風(fēng)港和舒適環(huán)境的民族國家成了治理重點。想要維護網(wǎng)絡(luò)環(huán)境，必須開始直接與這些國家對話以解決問題。

鑒于威脅格局變化之快，我們面臨的真正挑戰(zhàn)其實是了解風(fēng)險。但遺憾的是，目前的政府和私營部門可能都不具備了解風(fēng)險的能力。所以，無論是政府還是私營部門都必須擺正態(tài)度，認真地對待不斷變化的威脅格局，并迅速做出響應(yīng)。

COVID-19改變了系統(tǒng)性風(fēng)險

另一個迅速改變系統(tǒng)性網(wǎng)絡(luò)風(fēng)險的重要力量是COVID-19。工作場所的突然關(guān)閉以及長時間、大規(guī)模的隔離，迫使網(wǎng)絡(luò)安全風(fēng)險管理方式發(fā)生了根本性變化。企業(yè)組織不得不重新配置網(wǎng)絡(luò)并擴增容量。

COVID-19危機的突然爆發(fā)也引起了網(wǎng)絡(luò)犯罪分子對新行業(yè)的關(guān)注。強生公司副總裁兼首席信息安全官Marene Allison表示，“我們從來都不是攻擊者的目標(biāo)，真正的目標(biāo)。在疫苗問世之前，甚至沒有人關(guān)注我們。但一夜之間，醫(yī)療保健行業(yè)的威脅態(tài)勢發(fā)生了巨變。”

COVID-19期間，即便是受到高度保護的金融業(yè)也不得不爭先恐后地改變其數(shù)字風(fēng)險狀況。萬事達卡負責(zé)人表示，“2020年第二季度，我們看到非接觸式支付大幅增加。為此，我們?yōu)榭蛻籼峁┑姆墙佑|式解決方案比上一年多出5倍。”