| 自Sony遭黑客袭击以来,网络安全如同阴霾一般笼罩着诸多企业。长久以来,企业对安全问题的态度或是回避或是自欺欺人,Sony的悲剧使得各大公司不得不直视自己的心病。是时候正面迎战网络攻击了,试看本文教你如何还击。
2014年末,Sony的黑客袭击让人不寒而栗。黑客在其服务器内部横行、商业机密悉数泄露,局面一发不可收拾。在离新年还有一周时,已经有大部分比特币遭到攻击,而网络系统攻击紧随其后。这就像是轮盘赌博,轮盘停止时即是下一个受害者确定时,我们只能任人宰割!
为什么我们毫无还手之力?为什么企业间不能合作解决该问题呢?纵观政府、金融界、各类私营企业,哪个能忽视安全问题?没人想步JP Morgan、Home Depot 或Sony(三家公司均遭受过网络攻击,损失惨重)的后尘。正因为我们各自的脆弱才需要合作,集各家之长解决问题。关键的是,事不宜迟。
风险投资公司Bessemer Ventures 的合伙人David Cowan自上世纪90年代就开始与安全公司合作,他说:“多数公司的问题是不擅长安全防御。比如Sony的科技确实无可厚非,但它不像Google和Amazon有自己的安全措施。它依靠别人的安全防护,连自己的数据、信托和安全问题都不考虑。”
Ping Identity的CEO Andre Durand则指出安全产业的缺陷,他认为安全产业均采用被动防御的模式,并不能主动修缮漏洞。
网络安全2
他解释说:“只有攻击发生后,安全公司才能发现漏洞并修补,而不是主动寻找和排除潜在威胁。尽管也有漏洞检测功能,但效果微乎其微,主要还是以防御为主。”
Cowan指出,多数企业都普遍存在安全隐患,这些骇人听闻的网络攻击,可能会促使它们重新审视这个严峻的问题。
他说:“以前,许多公司和个人以事不关己的态度看待网络攻击。他们觉得没人会打自己电子邮件的主意。”不过今年的Sony袭击事件让他们幡然醒悟——面对国家级的黑客进攻,个人的防御根本微不足道。
Cowan说: “像俄罗斯、美国、以色列、朝鲜或者伊朗等国家的技术,足以获得他们想得知的任何信息。”
政府、企业和个人应该承认自身的脆弱、直面自己的安全隐患。即使关闭网络也无法保证信息的安全,比如Edward Snowden,他可没有精心策划入侵,只是简单地用U盘存储了不利文件,公诸于世罢了。
Cowan强调,这不是夸大的FUD(Fear, Uncertainty, Doubt,即惧、惑、疑),这即是现代网络的残酷现实。每次遭受攻击后,我们总想找些借口来略微宽慰自己,这根本就是自欺欺人。
他说:“正是因为轻视态度使得网络攻击如此猖獗。在这样的阴影下,人们变得绝望。诚然,安全问题确实棘手,而且没有一劳永逸的解决办法。网络安全就像漏洞百出的边境围栏一样。只有在受到攻击后,才能发现漏洞,才能修缮,留下摄像机和武装警卫后我们安心地离开。一旦我们放松警惕,又遭到更大的攻击。因为围栏有上千米长,我们应接不暇。”
合作是有效的防御手段,我们应视安全为集体问题,集众人之长来应对网络攻击。
Steve Herrod(General Catalyst Partners 的总经理兼VMware的前首席技术官和研发部的高级副总裁)不久前撰文称,他认为企业分享其内部和外部的网络安全数据,安全防护才能有所起色。尽管已有公司分享了数据,但很不情愿,他们执迷不悟地认为这些数据是私有财产。Herrod wrote. Herrod在文章中写到,数据分享和最新的大量数据分析(在安全产业中非常实在的效用)的运用,让企业认识到数据的力量。孤立的企业确实难以阻挡有组织的犯罪和恶意国家的入侵,然而合作使得防御能力大大增加。
ThreatStream(一家网络安全公司,资金源于General Catalyst)的CEO Hugh Njemanze赞同Herrod的看法。他补充说:“群聚比孤立更安全,因为当第一家公司受到攻击后,其余公司都会提高警惕。”
除了合作的另一种有效途径则是悬赏漏洞。诸如Google等一些公司已经采取这种机制,它们以现金的形式鼓励他人举报自身产品的漏洞。这种机制的好处在于一旦得知漏洞,即可在遭受攻击前采取修补措施。Rapid7(一家网络安全厂商)的CEO HD Moore指出,每次举报漏洞都相当于给了这些公司一笔可观的投资。
近年来上市的两家创业公司帮助包括HackerOne 和 Synack在内的公司研发漏洞悬赏程序。这种鼓励人们举报漏洞的奖励机制应该进入所有公司,而不是局限在Google、 Yahoo!和 Facebook等大型公司。
Moore说:“Yahoo、Google和 Dropbox等服务提供商的漏洞悬赏机制是明智的选择,花几千美元就找到一个漏洞实在是太划算了。这点钱虽然不至于使安全专家心动,但足以使擅长该领域而又不宽裕的人行动。
Cowan指出,企业合作固然是很好的办法,但最根本的途径还是提高设备和软件的安全性。我们本该在设计时就添加保护措施,可惜程序员不是安全专家。
他说:“在应用开发时添加保护措施是非常有效的防御手段。可惜程序员和大多数人一样,不了解加密档案、访问权限和多方识别等方面的技术。好在出现了一类新型安全公司,它们为应用开发商提供API(应用程序接口),为应用增添保护措施。”他以Stripe为例,该公司向开发商提供API的访问权,使他们可以轻松地为信用卡添加保护层。
网络安全3
不过安全问题的阴影并没有笼罩在每个人的心头。ThreatStream公司的Njemanze认为这是一场持续的战斗,尽管目前黑客猖獗,但我们未来的表现会更好。
他说:“我们应该换个角度来看待网络安全问题。它就像一场我们与黑客间的军备竞赛。倘若没有安全工具的防御,我们的网络可能很早以前就崩溃了。所以不要觉得这场竞赛我们一败涂地。”
我们确实该保持乐观的态度,同时也不能否认许多公司还处在进退维谷的局面。如Cowan所言,网络安全仍旧脆弱,如果某人有意盗取数据,总是有可趁之机的。所以企业绝对不能懈怠,提高警惕、找到有效的防御手段才是当务之急。
Cowan说:“纵然此刻我们驰骋于科技大潮的浪尖,但也要留有救生员有备无患…增加安全防御方面的预算,不仅是为了企业自身,也是为员工、用户和投资者考虑。” 他的话确实无从反驳。
(责任编辑:编程游戏开发) 本文章原创来自:http://www.hack6.com QQ:283422135 (转载请保留网站版权。侵权必究) |
京ICP备14024464 公安备案号 京1081234