2014年災難性安全狀態
責編:admin |2014-12-04 13:15:45大型安全災難可否避免?如果我們繼續接受現在糟糕的安全做法和后果,災難可能無法避免。
在美國911事件之前,曾經有人提議增強機場安全,但這些提議受到阻攔,因為更廣泛的措施沒必要,并會讓成本增加到不可接受的水平。
現在安全行業也處于類似的狀態。2014年的計算機安全處于一種可怕的狀態。數據泄漏事故不斷發生,而解決方案要么沒用要么太昂貴和便方便,讓企業拒絕部署它們。
筆者認為我們應該創造更安全的互聯網,而不是等到災難性事故發生的時候,才意識到安全的重要性。但筆者并沒有抱太大希望,他已經對抗網絡犯罪近三十年,每年事情都變得更糟。下面讓我們回顧一下現在可怕的安全狀態。
1.網絡犯罪很少遇到阻力
我們現在已經習慣了在線身份信息和財務信息被泄露的新聞:根據隱私權信息交流中心網站顯示,單在2013年,就有2.58億條信息被泄漏。與此同時,高級持續攻擊(APT[注])團隊正在盡全力發動攻擊。勒索軟件會加密硬盤中的敏感個人信息,并勒索受害者支付金額(通過比特幣或者其他很難追蹤的電子貨幣)來恢復訪問。
企業很少會做好基本工作,例如修復漏洞或者準備備份。安全從業人員承認其企業的計算機并不安全。
很少有企業會強制用戶斷網幾個星期來試圖修復漏洞,但企業應該這樣做,因為如果他們不修復漏洞,這會讓攻擊者趁虛而入。
2.反惡意軟件公司在欺騙你
不要相信可以攔截一切的反惡意軟件程序。這些軟件實際并沒有那么厲害,即使是現在的多態惡意軟件程序出現之前,反惡意軟件程序也不完美。
現在的惡意軟件編寫者會針對世界上大多數反惡意軟件程序測試其程序,并僅在他們繞過檢測后再發布他們的程序。另外,所有惡意軟件系統都包含惡意代碼,讓它們在反病毒檢測啟用前能夠更新自身。
筆者最喜歡的網站的VirusTotal,其中有55個反惡意軟件程序,還有很多惡意軟件編寫者用來測試其程序的相同測試引擎。
反惡意軟件產品的檢測率非常糟糕,供應商怎么可以聲稱100%的檢測率?
3.隱私權不再受關注
讓筆者很驚訝的是,很多人已經接受其生活的各個方面都不在保密的事實。所有主流社交媒體網站都會追蹤用戶上網行為,這種精確度讓任何國家的間諜機構眼紅。
甚至我們的位置信息也可能被追蹤,通過藍牙、GPS或者需要我們提供身份信息的服務。
網絡公司將隱私權隱藏在無人閱讀的法律協議中(+微信關注網絡世界),但即使隱私侵犯用大字寫在整個屏幕,用戶仍然會點擊確定。例如,供應商可能會告訴你他們可以永遠訪問你的聯系人信息,甚至代表你發布內容。這種隱私侵犯很瘋狂。
4.更好的身份驗證并不是萬能藥
經常有讀者認為更強的身份驗證(雙因素身份驗證或生物識別)可以解決大部分網絡安全問題。確實,更強的身份驗證可以幫助我們抵御網絡犯罪,但大多數網絡犯罪并不是源于身份驗證問題。通常情況下,攻擊者會入侵計算機,并獲取合法用戶的權限。他們并不關心你使用何種身份驗證方式,他們關注的是你是否忘記修復你的計算機或者下載并運行了木馬程序。更好的身份驗證是該解決方案的一部分,但并不是全部。
該怎么辦?
911事件讓全世界認識到松懈空中安全帶來的可怕后果。現在我們已經強化了駕駛艙門、提高了機場安全,以及各國和執法機構之間的溝通。我們可能不喜歡在機場安全檢查站的不便,但我們的空中旅行更安全了。
現在,網絡犯罪很嚴重,但這仍然被認為是做生意的成本,而不是危機。筆者衷心希望我們將不再需要忍受糟糕的網絡安全狀況,而是發展到這樣的水平,即經營成本和不便要高于真正變革的成本和不便。無論怎樣,我們應該讓互聯網變成更安全的地方。