企业在防御网络攻击上,越做越好,MIT Sloan的Stuart Madnick说,但是黑暗网络的黑客仍然保持优势。他解释了原因。
在持续进行的,越来越多的针对世界知名企业的恶意网络攻击中,坏人占据上风。Stuart Madnick说,他是MIT Sloan School,信息技术 的John Norris Maguire教授,并将在MIT Sloan CIO Symposium大会上演讲。Madnick,目前担任MIT Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity的主任,解释了黑暗网络的黑客是如何利用技术和信息来获得优势的。
企业在打击网络攻击上做的如何?他们应该已经更强大了。
Stuart Madnick:的确是,人们都认为,我们正在变得更强大。但是,我们没有注意到的是,坏人强大的更快。这就是挑战所在。所以我认为,现实在变好,但是,不幸的是,最坏的也更坏,如果有这样一个词。(实际上,我来自于马萨诸塞州的伍斯特,所以我认为这个词是合适的。)
什么让坏人变得更强大,而好人却跟不上呢?
Madnick:原因之一,这种攻击正在变得商品化,曾经这很罕见——需要计算机科学的博士学位,才能攻击进入系统等等。现在,在黑暗网络中,只需要支付14.95美元就可以购买。黑客提供的工具和技术,已经越来越多、越来越强大,并快速增长。
另一个原因,我在研究中发现,好人不善于信息共享。现在,当Target这样的公司受到攻击时,法律规定他们必须上报,因为个人信息被泄露。所以新闻会报导。但是,如果一个德国钢厂受到攻击,部分系统崩溃,并没有义务公开报告。事实上,即使Bloomberg进行了报导,他们也会否认。
好人保持沉默的原因有很多。他们不想毁坏名声。他们不想鼓励更多入侵者进行模仿。另一方面,坏人在黑暗网络上,有很特别的信息共享安排,这就是为什么坏人比好人强大的更快。
因此,黑暗网络的黑客占据上风。你会认为应该有一个能够轻松共享信息,而不会损害公司声誉,并引入模仿攻击的机制存在。
Madnick:并不是没有这样的尝试。事实上,有大量的企业想要分享。不幸的是,他们非常零散。我不确定我可以公开讨论这些,但是很显然,大型石油公司的确聚在一起,分享信息,但只有那些大型公司参与。他们不会与下一级别的公司共享,因为他们只想将信息保持在一个封闭的团体内。
FBI不与CIA共享信息也是同样的原因,因为他们认为CIA内有内奸,他们会把信息泄露出去。CIA也不想与FBI共享信息,因为他们担心FBI的内奸会把信息泄露出去。
并不是没有人想这样做,但是他们一直担心:‘如果我公开这个信息,公众获得信息后,会对我产生什么不利?’
这有点讽刺。坏人其实喜欢声誉。“我是那个攻击XYZ银行,并偷走数十亿美元的人。”在某种程度上,这是一种炫耀。所以,有很多原因,那些黑暗网络会寻求宣传。
你能举一个例子,关于黑暗网络生态系统中的信息共享网络?
Madnick:我不知道它的名字,但实际上有一个网站,黑客对世界上最讨厌的公司进行排名。你会发现这样的关联:随着你的公司排名上升到顶部,网络攻击的数量上升,因为相当多的人不会因为个人利益或国家利益进行攻击。他们只是喜欢表达自己的愤怒。随着你的公司排名的上升,你会发现这些人在讨论,“Monsanto是一个邪恶的公司。我要给他们一个教训。我要攻击他们。”
我还知道,一些公司实际上在黑暗网络中雇佣他人,进行投票,让他们的排名降低,以减少攻击的数量。
Stuart Madnick:在几年内,将会有超过1000亿个联网设备、物联网。要给1000扇门上锁是一回事;想象一下,要给100万甚至1000亿扇门上锁。所以,攻击对象的数量正在迅速增加。
还有一个问题,将以其他方式威胁我们。一年前,我在休假,我在尼斯大学的汽车遥测团队中工作。他们正在尝试从未做过的事情,比如自动驾驶等等。
我了解到,要完成这些事情极其困难。他们承受着巨大的约束,组件的成本,能量的消耗,空间大小的使用。他们要面对很多极具挑战性的工程问题。如果你有N项优先级事项,那么,网络安全,至少在一年前,就是N+1。他们必须处理的事情实在太多,他们只能说,‘我们只能先关注这些,其它的,以后再操心。’
部分原因是物联网很新,要面对的挑战很多,要把网络安全纳入关注因素非常困难。
因此,物联网安全组件并不是从一开始就构建的,而是之后再添加的?
Madnick:正在慢慢发生变化。但一年前,情况的确如此,我认为这仍然是大部分物联网项目的现状。
我的一位同事是一名顾问。他为一家正在推出某种物联网设备的公司工作。他们正准备推出一个设备,然后他们意识到,这个设备会受到某些类型的网络安全攻击,而他们之前没有考虑到。
他们意识到,他们设计中的计算能力,不允许他们进行软件的修改,使产品更加安全。他们面对一个决定。我们是按计划,在本月发布产品呢,还是重新设计,花费六到八个月的时间,并可能失去市场?
你猜他们做出了什么决定。提示:产品推出了。
你非常重视对于物联网基础设施的攻击。能给我举一个例子吗?
Madnick:土耳其管道爆炸,就是一个例子,当然,土耳其否认这是网络攻击,声称这只是一个故障。但其他分析师指出,这就是一个网络攻击。但有趣的是,这次网络攻击显然是通过最近增加到管道中的安全摄像头发起的。
因此,这一安全摄像头,并没有成为一个安全设备,而是成为接入设备。讽刺的是,攻击者除了引起管道爆炸,据说,他们还抹去了监控录像,并切断了报警系统。有人告诉我,土耳其中央控制人员意识到有爆炸发生,是有人看到四英里之外,天空中有火在燃烧。
我之所以提到这件事,是因为现在的热门单品之一,就是这些互联网安全摄像头,你可以把它们放置在你的屋外,或屋内,用于监视你的宝宝等等。我被告知,这些设备中的50%仍然保留它们的默认密码。
美国政府在保护关键基础设施上,投入足够吗?
Madnick:嗯,从积极的一面来看,你可能已经看到,奥巴马总统最近宣布……对于网络的投入将增加到190亿美元。因此,至少投入的钱越来越多了。
我们担心,投入的方向被误导了,很多人认为只要能够有一个更好的密码系统,所有的问题都能解决。所以他们几乎不关注任何企业,管理,文化上的问题。
与网络安全相关的企业和文化问题,是麻省理工学院重点关注的研究方向,你是其负责人。
Madnick:我们重点关注的是人为元素。各种报告显示,50%到70%的网络攻击都是由内部人员教唆或协助的。更宽泛的来说,如果,作为一个房主,在你购买安全摄像头时,不改变它的密码,我就认为你是网络攻击的一个助力因素。人类的作为或不作为都是目前的主要问题。如果你把钥匙给别人或者放在门垫下面,那给你的门装锁是没有意义的。
这就是为什么,在我们的研究中,我们更关注管理和企业因素,这些被其他人忽略的因素。
比如?
Madnick:让我用几个例子,来回答这个问题。我在麻省理工学院斯隆商学院工作,相邻的建筑在过去的一到两年中,经历了翻新。很长一段时间,外面都有脚手架。如果你在过去的四到五个月内,来过麻省理工学院,你就会看到脚手架上,有一张10英尺*10英尺大小的海报。上面是一个工人的照片,在他的手里,他拿着一张家人的照片。他上面有一个标语,写着,‘我知道为什么安全是很重要的。’言下之意就是,我的家庭需要我。如果我不安全,我受伤了,就会伤害我的家庭。
如果你去一家工厂,最有可能的是,你会看到门上有一个标语,写着,‘距离上次工业事故,已经过去570天了。’你什么时候在计算机机房,门上可以看到一个标语,写着‘距离上次网络攻击,已经过去50毫秒?’
我的解释很长,我们想要创造的,是一个网络安全纪律。
我知道你的关于网络安全的研究是基于一个麻省理工学院的模型,称为STAMP (Systems Theoretic Accident Modeling and Processes),一种减少和减轻工业事故的方法。
Madnick:是的,STAMP是主要的研究来源。麻省理工学院研究STAMP已经20年了。它被用来分析挑战者号航天飞机爆炸。
STAMP如何应用于网络安全?
Madnick:有几个方面。当你分析很多小型网络攻击,或任何类型的事故,你通常会发现最终原因是人为错误。‘她在桌子上留有一张写有她密码的纸条,’之类的原因。这个问题的原因就是如此。
我们相信,在大多数情况下,人们不会故意想创造工业事故或网络事件。通常,是他们周围的激励制度,企业架构,和企业文化,影响着他们的行为。这是STAMP在网络安全中,首要关注的总体。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Executive Editor Linda Tucci oversees news and e-zine projects for SearchCIO.com and SearchCIO-Midmarket.com. She has covered CIO strategy since joining TechTarget in 2005, focusing most recently on big data, mobile computing and social media. She also writes frequently about the CIO role and CIO careers for SearchCIO.com's weekly CIO Matters column. Prior to joining TechTarget she was a business columnist for the St. Louis Post-Dispatch. Her freelance work has appeared in The Boston Globe and T