網(wǎng)絡(luò)安全流行語多如牛毛。對于信息安全這種快速迭代的創(chuàng)新行業(yè)而言,流行語是不可避免的現(xiàn)實,往往用于簡化復(fù)雜的術(shù)語,或者促進銷售和營銷活動。然而,這些術(shù)語并非總是有所幫助,可能是不準確且過時的,具有誤導(dǎo)性,甚至可能造成傷害。例如,利用恐懼、不確定性和懷疑(FUD)來最大化盈利的流行語可能具有破壞性,而曾經(jīng)有用的合理術(shù)語可能會過時,繼續(xù)使用和依賴這種流行語會阻礙對根本問題的深入理解。
以下是11個容易產(chǎn)生誤導(dǎo)作用的網(wǎng)絡(luò)安全流行語:
1. 勒索軟件
Orange Cyberdefense安全研究主管Charl van der Walt表示,盡管勒索軟件是常見網(wǎng)絡(luò)攻擊討論中最常用的術(shù)語之一,但從技術(shù)上講,這是一個不合適的定義,不再適用。“在當(dāng)前的新聞議程中很難避免提到勒索軟件,這個詞雖然足以概括主題,卻并沒有完全體現(xiàn)出這個實際上復(fù)雜且不斷演變的問題。”
勒索軟件的真正含義已經(jīng)變味了,這個詞現(xiàn)在被用于描述比其真正定義更加寬泛的網(wǎng)絡(luò)攻擊,也就是掌控計算機數(shù)據(jù)以勒索贖金的那類惡意軟件。“這就混淆了執(zhí)行加密的惡意軟件、勒索軟件攻擊團伙使用的一般惡意軟件,以及勒索軟件攻擊團伙本身。勒索軟件的核心在于勒索行為,而網(wǎng)絡(luò)罪犯將企業(yè)視為容易勒索得手的目標:你只要看看數(shù)據(jù)顯示有多少公司支付了贖金就知道情況有多么糟糕了。”
隨著這種威脅的不斷發(fā)展,van der Walt提出了新的術(shù)語:網(wǎng)絡(luò)勒索(Cy-X)。他認為,這個詞更能涵蓋這波犯罪潮的歷史、當(dāng)前形式和可能的未來,還可以區(qū)分犯罪行為本身和用于執(zhí)行此犯罪行為所用的工具。
2. 零信任
零信任描述的是“默認不信任任何事物”的一種方法,用于保護用戶和設(shè)備。該術(shù)語在最近幾年里迅速躥升成最為流行的市場營銷熱詞之一,并在大幅轉(zhuǎn)向遠程辦公和后續(xù)加強遠程網(wǎng)絡(luò)訪問安全的需求推動下愈加火熱。然而,佳能歐洲分公司信息安全總監(jiān)Quentyn Taylor認為,零信任這個詞過于模糊不清。“你根本沒辦法知道自己是否切實做到了零信任,事實上,我不認為有誰已經(jīng)做到或者能夠做到零信任。讓我對這個概念敬謝不敏的是,很多人把它當(dāng)成個新概念來討論,但實際上我們早在多年前就在談?wù)撊ミ吔缁恕A阈湃尾贿^是個新造出來的市場營銷詞匯,用來描述我們早已嘗試多年的一種方法。”
Qualys英國首席技術(shù)安全官Paul Baird對此觀點表示認同,并補充道,零信任是個好概念,但作為流行語,這個詞被過度使用了,而且往往表述不清。“零信任這個詞在使用時常常脫離了上下文,給負責(zé)實現(xiàn)這一概念的人造成了混亂。零信任是個涵蓋人員、過程和技術(shù)的思想體系。這可不是個你可以直接從貨架上買來就用的產(chǎn)品。”
3. 白名單和黑名單
黑名單和白名單的歷史可以追溯到網(wǎng)絡(luò)安全最早期的時代。通過將“白”與良好、安全或允許聯(lián)系起來,而將“黑”與不良、危險或禁止聯(lián)系起來,白名單和黑名單這兩個術(shù)語仍常常應(yīng)用于允許或拒絕使用/訪問與密碼、應(yīng)用和控制措施相關(guān)的各種元素上。
網(wǎng)絡(luò)安全顧問Harman Singh認為,因為“黑白”二字帶有種族色彩,需要盡快替換掉這兩個術(shù)語,建議使用允許列表和拒絕列表來服務(wù)于相同的目的,從而摒棄與族裔和人種相關(guān)的有害內(nèi)涵。“這是個微小卻又重要的改變。英國國家網(wǎng)絡(luò)安全中心(NCSC)去年特意做出這種改變來規(guī)避種族口吻。不過,現(xiàn)在業(yè)內(nèi)仍只有少數(shù)公司考慮過替換掉這兩個詞。我們?yōu)槭裁床蝗甲駨腘CSC的樣板杜絕此類術(shù)語呢?”
在一篇博客帖子中,NCSC建議與指南主任Emma W寫道:“你可能沒注意到為什么這件事很重要。如果你沒有受到種族成見的負面影響,那算你走運。但對你的某些同事(或者潛在的未來同事)而言,這真的是一項值得做出的改變。”
采取這一步驟的少數(shù)公司當(dāng)中就包括微軟,微軟將非包容性語言視為保持和發(fā)展網(wǎng)絡(luò)安全多樣性的障礙。微軟首席安全顧問Sarah Armstrong-Smith表示:“英國金融、安永和微軟最近發(fā)布的一份報告發(fā)現(xiàn),改變網(wǎng)絡(luò)安全和更廣泛的職場中的非包容性語言可以有力支持多樣性。”因此,微軟不再在技術(shù)論壇上使用或提及白名單/黑名單,選擇采用允許列表和阻止列表代替。
4. 基于人工智能(AI)的安全
近十年來,圍繞人工智能(AI)和機器學(xué)習(xí)技術(shù)改變網(wǎng)絡(luò)安全的話題一直十分火爆。盡管沒有哪位安全主管會不承認自動化在現(xiàn)代信息安全領(lǐng)域中日益加碼的重要性,但大量安全供應(yīng)商無限贊美最新AI或機器學(xué)習(xí)解決方案的論調(diào)還是讓人頗為膩煩。
青少年理財平臺gohenry首席信息安全官Guillaume Ehny稱:“如今,無論哪種解決方案,大多數(shù)安全供應(yīng)商都會馬上提到他們的產(chǎn)品是智能的,集成了AI和機器學(xué)習(xí)來驅(qū)動決策過程。他們似乎認為我們想聽到這些內(nèi)容,但實際上他們就好像是在毫不了解自家產(chǎn)品實際運作方式的情況下在玩賓果游戲。“很遺憾,這種話也就僅限那一句了。只要問到關(guān)于模型的更多信息,答案永遠是‘這就是個引擎中的黑盒,自行運作,我們啥都不用操心’。我知道AI/機器學(xué)習(xí)輔助的產(chǎn)品作為優(yōu)勢值得一提,但這種表達方式真心沒啥用處。”
5. 網(wǎng)絡(luò)9/11
2001年9月11日,激進的伊斯蘭組織基地組織對美國發(fā)動協(xié)同恐怖襲擊后,“網(wǎng)絡(luò)9/11”一詞首次出現(xiàn)。這個詞指的是可造成恐懼、暴力、傷害和死亡等廣泛重大影響的潛在恐怖相關(guān)網(wǎng)絡(luò)攻擊威脅。
除少數(shù)案例外,人類社會尚未實現(xiàn)對此類事件的預(yù)測,在Taylor看來,“網(wǎng)絡(luò)9/11”和涉及重大新聞事件的其他類似網(wǎng)絡(luò)安全詞匯都不應(yīng)使用。“這類詞不尊重現(xiàn)實生活中受到這些事件影響的人。此外,此類詞匯常被認為是純粹的夸張。值得慶幸的是,我們還沒有看到有哪起網(wǎng)絡(luò)安全事件產(chǎn)生的影響堪比9/11事件或某些評論員喜歡提到的任何其他事件。我們應(yīng)盡早摒棄將網(wǎng)絡(luò)事件與導(dǎo)致重大生命損失的現(xiàn)實世界事件聯(lián)系起來的做法,這樣我們的行業(yè)才會受到更多重視。”
6. 數(shù)字化轉(zhuǎn)型
盡管數(shù)字化轉(zhuǎn)型是當(dāng)今云驅(qū)動時代的流行語,但Exabeam安全工程副總裁Matt Rider認為,提及數(shù)字化轉(zhuǎn)型不過是在描述企業(yè)在過去50年里所做的事情。“事實上,轉(zhuǎn)型早已有之。一切都在不斷發(fā)展,不斷變化。這個詞并不是突然之間就席卷整個行業(yè)的思想頓悟。”
我們回顧上世紀初工業(yè)革命時代,亨利·福特對裝配流水線生產(chǎn)進行現(xiàn)代化改造的時候。他對于新興技術(shù)和變革型領(lǐng)導(dǎo)的理解激發(fā)了新的工作方式。“這是一次技術(shù)性的變革,具有巨大的影響力,改變了他們當(dāng)時所了解的職場。我所看到的成功企業(yè)無不具有正確的文化,而非正確的工具。如果你現(xiàn)在還沒‘?dāng)?shù)字化轉(zhuǎn)型’,那你就出局了。這種觀點是不對的,我認為我們應(yīng)該跳出數(shù)字化轉(zhuǎn)型的潮流了。”
7. 安全信息與事件管理(SIEM)
安全信息與事件管理(SIEM)定義了將安全信息管理(SIM)與安全事件管理(SEM)結(jié)合起來的軟件產(chǎn)品和服務(wù)。作為首字母縮寫詞和一類產(chǎn)品,SIEM似乎被無數(shù)網(wǎng)絡(luò)安全供應(yīng)商大力宣揚。
然而,佛瑞斯特研究所安全與風(fēng)險分析師Allie Mellen表示,SIEM在合規(guī)方面歷史悠久,卻未必能夠昭示如今的地位。“SIEM現(xiàn)在專注于威脅檢測和響應(yīng),結(jié)合安全用戶行為分析(SUBA)和安全編排、自動化與響應(yīng)(SOAR)來處理事件響應(yīng)生命周期的每個步驟。在佛瑞斯特研究所,我們將SIEM稱之為安全分析平臺,以便更好地表征這類產(chǎn)品的功用:對數(shù)據(jù)執(zhí)行安全分析,并作為平臺連接第三方產(chǎn)品連接進行事件響應(yīng)。”
8. 人員是最弱一環(huán)
CREST Australia總裁兼新南威爾士大學(xué)網(wǎng)絡(luò)安全研究所所長Nigel Phair表示,全球幾乎每次安全會議都舉出將人視為安全鏈中最薄弱環(huán)節(jié)的概念,但這種提法應(yīng)該馬上停止了。“人是信息安全和保護企業(yè)網(wǎng)絡(luò)及其上數(shù)據(jù)的最強大力量。點名怪罪到人的頭上沒用,也永遠不會有用。正確的理解是,由于在線犯罪沒有放之四海而皆準的技術(shù)萬靈丹,我們需要將員工也納入防御能力的一部分,向他們解釋為什么設(shè)置某些控制措施,強調(diào)他們在企業(yè)網(wǎng)絡(luò)防護當(dāng)中的作用。”
9. 網(wǎng)絡(luò)安全意識
對很多首席信息安全官而言,提高整個公司的網(wǎng)絡(luò)安全意識是非常重要的目標。但Votiro首席執(zhí)行官Ravi Srinivasan表示,網(wǎng)絡(luò)安全意識這個術(shù)語其實被誤用了。“網(wǎng)絡(luò)安全意識這個詞營造了一種用戶應(yīng)該為安全事件負責(zé)的說法,并鼓勵企業(yè)制定植根于教育和培訓(xùn)的安全戰(zhàn)略,以之檢測(并最終預(yù)防)網(wǎng)絡(luò)威脅。”
然而,當(dāng)今網(wǎng)絡(luò)攻擊非常復(fù)雜,而且一直在發(fā)展變化,甚至最具安全意識的企業(yè)都難以保持一直領(lǐng)先網(wǎng)絡(luò)威脅一步。安全和IT主管需要調(diào)整自身企業(yè)安全戰(zhàn)略,關(guān)注他們?nèi)蜻\營的業(yè)務(wù)。“我建議用提高‘網(wǎng)絡(luò)安全警惕性’來代替‘網(wǎng)絡(luò)安全意識’,并鼓勵公司加強員工與其雇主、企業(yè)和IT主管、私營和公共部門實體之間的合作,一起努力挫敗網(wǎng)絡(luò)威脅。”
10. 網(wǎng)絡(luò)殺傷鏈
隨著數(shù)字領(lǐng)域與物理領(lǐng)域的聯(lián)系越來越緊密,與網(wǎng)絡(luò)相關(guān)的軍事風(fēng)詞匯勢力愈加強大,尤其是網(wǎng)絡(luò)殺傷鏈。這個詞描述的是網(wǎng)絡(luò)攻擊的各個階段,且與高級持續(xù)性威脅(APT)相關(guān)聯(lián)。安永威脅情報高級經(jīng)理Leanne Salibury稱:“我不確定這是否完全合適,也不確定是否會導(dǎo)致我們采用更重磅的語言來增添沉悶話題的吸引力。而且,我覺得,對老兵而言(尤其是真正實地目睹過沖突和有戰(zhàn)爭經(jīng)驗的那些),在企業(yè)環(huán)境中要求他們與平民分享自身項目經(jīng)驗的時候,這種用詞可能有點問題。”
11. 黑客
Acronis網(wǎng)絡(luò)安全分析師Topher Tebow認為,在今天的環(huán)境下,應(yīng)該嚴肅對待“黑客”這個詞的用法,雖然未必需要徹底棄用,但不正確的用法必須予以根除。“黑客只是可以找到繞過給定項目、流程或軟件的正常應(yīng)用而達到預(yù)期結(jié)果的人。”
Tebow補充稱,這個詞的問題在于,在成千上萬的黑客為了更大的利益而進行黑客攻擊的時候,這個詞就常被用來描述網(wǎng)絡(luò)罪犯了。“所以,我們需要考慮我們想表達的意思,使用攻擊者、網(wǎng)絡(luò)罪犯和惡意行為者等術(shù)語,而不是將不良行為者統(tǒng)稱為黑客。”
為網(wǎng)絡(luò)流行語說幾句
盡管多位專家表示很多網(wǎng)絡(luò)安全流行語應(yīng)該入土為安或者用別的詞代替,但Byte高級網(wǎng)絡(luò)安全總監(jiān)年度前歐洲首席信息安全官Ed Tucker認為,網(wǎng)絡(luò)安全流行語本身并沒有什么問題,很多問題實際上都源自這些流行語的使用方式。“我們面臨的最大問題之一不是流行語本身,這些流行語不過是商業(yè)化行業(yè)的一部分,而是懶惰的使用方式,以及對流行語語境理解和實際應(yīng)用的缺乏。這延續(xù)了流行語不過如此的主題。”他的結(jié)論是,業(yè)界需要進一步了解經(jīng)常使用的流行語,并深入研究這些概念及其適用的場景、時機和方式。
來源:數(shù)世咨詢