2014年災(zāi)難性安全狀態(tài)
責編:admin |2014-12-04 13:15:45大型安全災(zāi)難可否避免?如果我們繼續(xù)接受現(xiàn)在糟糕的安全做法和后果,災(zāi)難可能無法避免。
在美國911事件之前,曾經(jīng)有人提議增強機場安全,但這些提議受到阻攔,因為更廣泛的措施沒必要,并會讓成本增加到不可接受的水平。
現(xiàn)在安全行業(yè)也處于類似的狀態(tài)。2014年的計算機安全處于一種可怕的狀態(tài)。數(shù)據(jù)泄漏事故不斷發(fā)生,而解決方案要么沒用要么太昂貴和便方便,讓企業(yè)拒絕部署它們。
筆者認為我們應(yīng)該創(chuàng)造更安全的互聯(lián)網(wǎng),而不是等到災(zāi)難性事故發(fā)生的時候,才意識到安全的重要性。但筆者并沒有抱太大希望,他已經(jīng)對抗網(wǎng)絡(luò)犯罪近三十年,每年事情都變得更糟。下面讓我們回顧一下現(xiàn)在可怕的安全狀態(tài)。
1.網(wǎng)絡(luò)犯罪很少遇到阻力
我們現(xiàn)在已經(jīng)習慣了在線身份信息和財務(wù)信息被泄露的新聞:根據(jù)隱私權(quán)信息交流中心網(wǎng)站顯示,單在2013年,就有2.58億條信息被泄漏。與此同時,高級持續(xù)攻擊(APT[注])團隊正在盡全力發(fā)動攻擊。勒索軟件會加密硬盤中的敏感個人信息,并勒索受害者支付金額(通過比特幣或者其他很難追蹤的電子貨幣)來恢復(fù)訪問。
企業(yè)很少會做好基本工作,例如修復(fù)漏洞或者準備備份。安全從業(yè)人員承認其企業(yè)的計算機并不安全。
很少有企業(yè)會強制用戶斷網(wǎng)幾個星期來試圖修復(fù)漏洞,但企業(yè)應(yīng)該這樣做,因為如果他們不修復(fù)漏洞,這會讓攻擊者趁虛而入。
2.反惡意軟件公司在欺騙你
不要相信可以攔截一切的反惡意軟件程序。這些軟件實際并沒有那么厲害,即使是現(xiàn)在的多態(tài)惡意軟件程序出現(xiàn)之前,反惡意軟件程序也不完美。
現(xiàn)在的惡意軟件編寫者會針對世界上大多數(shù)反惡意軟件程序測試其程序,并僅在他們繞過檢測后再發(fā)布他們的程序。另外,所有惡意軟件系統(tǒng)都包含惡意代碼,讓它們在反病毒檢測啟用前能夠更新自身。
筆者最喜歡的網(wǎng)站的VirusTotal,其中有55個反惡意軟件程序,還有很多惡意軟件編寫者用來測試其程序的相同測試引擎。
反惡意軟件產(chǎn)品的檢測率非常糟糕,供應(yīng)商怎么可以聲稱100%的檢測率?
3.隱私權(quán)不再受關(guān)注
讓筆者很驚訝的是,很多人已經(jīng)接受其生活的各個方面都不在保密的事實。所有主流社交媒體網(wǎng)站都會追蹤用戶上網(wǎng)行為,這種精確度讓任何國家的間諜機構(gòu)眼紅。
甚至我們的位置信息也可能被追蹤,通過藍牙、GPS或者需要我們提供身份信息的服務(wù)。
網(wǎng)絡(luò)公司將隱私權(quán)隱藏在無人閱讀的法律協(xié)議中(+微信關(guān)注網(wǎng)絡(luò)世界),但即使隱私侵犯用大字寫在整個屏幕,用戶仍然會點擊確定。例如,供應(yīng)商可能會告訴你他們可以永遠訪問你的聯(lián)系人信息,甚至代表你發(fā)布內(nèi)容。這種隱私侵犯很瘋狂。
4.更好的身份驗證并不是萬能藥
經(jīng)常有讀者認為更強的身份驗證(雙因素身份驗證或生物識別)可以解決大部分網(wǎng)絡(luò)安全問題。確實,更強的身份驗證可以幫助我們抵御網(wǎng)絡(luò)犯罪,但大多數(shù)網(wǎng)絡(luò)犯罪并不是源于身份驗證問題。通常情況下,攻擊者會入侵計算機,并獲取合法用戶的權(quán)限。他們并不關(guān)心你使用何種身份驗證方式,他們關(guān)注的是你是否忘記修復(fù)你的計算機或者下載并運行了木馬程序。更好的身份驗證是該解決方案的一部分,但并不是全部。
該怎么辦?
911事件讓全世界認識到松懈空中安全帶來的可怕后果。現(xiàn)在我們已經(jīng)強化了駕駛艙門、提高了機場安全,以及各國和執(zhí)法機構(gòu)之間的溝通。我們可能不喜歡在機場安全檢查站的不便,但我們的空中旅行更安全了。
現(xiàn)在,網(wǎng)絡(luò)犯罪很嚴重,但這仍然被認為是做生意的成本,而不是危機。筆者衷心希望我們將不再需要忍受糟糕的網(wǎng)絡(luò)安全狀況,而是發(fā)展到這樣的水平,即經(jīng)營成本和不便要高于真正變革的成本和不便。無論怎樣,我們應(yīng)該讓互聯(lián)網(wǎng)變成更安全的地方。
- 360助力“奧運冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財報
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書