企業(yè)在防御網(wǎng)絡(luò)攻擊上,越做越好,MIT Sloan的Stuart Madnick說,但是黑暗網(wǎng)絡(luò)的黑客仍然保持優(yōu)勢(shì)。他解釋了原因。
在持續(xù)進(jìn)行的,越來越多的針對(duì)世界知名企業(yè)的惡意網(wǎng)絡(luò)攻擊中,壞人占據(jù)上風(fēng)。Stuart Madnick說,他是MIT Sloan School,信息技術(shù) 的John Norris Maguire教授,并將在MIT Sloan CIO Symposium大會(huì)上演講。Madnick,目前擔(dān)任MIT Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity的主任,解釋了黑暗網(wǎng)絡(luò)的黑客是如何利用技術(shù)和信息來獲得優(yōu)勢(shì)的。
企業(yè)在打擊網(wǎng)絡(luò)攻擊上做的如何?他們應(yīng)該已經(jīng)更強(qiáng)大了。
Stuart Madnick:的確是,人們都認(rèn)為,我們正在變得更強(qiáng)大。但是,我們沒有注意到的是,壞人強(qiáng)大的更快。這就是挑戰(zhàn)所在。所以我認(rèn)為,現(xiàn)實(shí)在變好,但是,不幸的是,最壞的也更壞,如果有這樣一個(gè)詞。(實(shí)際上,我來自于馬薩諸塞州的伍斯特,所以我認(rèn)為這個(gè)詞是合適的。)
什么讓壞人變得更強(qiáng)大,而好人卻跟不上呢?Madnick:原因之一,這種攻擊正在變得商品化,曾經(jīng)這很罕見——需要計(jì)算機(jī)科學(xué)的博士學(xué)位,才能攻擊進(jìn)入系統(tǒng)等等?,F(xiàn)在,在黑暗網(wǎng)絡(luò)中,只需要支付14.95美元就可以購買。黑客提供的工具和技術(shù),已經(jīng)越來越多、越來越強(qiáng)大,并快速增長(zhǎng)。
另一個(gè)原因,我在研究中發(fā)現(xiàn),好人不善于信息共享。現(xiàn)在,當(dāng)Target這樣的公司受到攻擊時(shí),法律規(guī)定他們必須上報(bào),因?yàn)閭€(gè)人信息被泄露。所以新聞會(huì)報(bào)導(dǎo)。但是,如果一個(gè)德國鋼廠受到攻擊,部分系統(tǒng)崩潰,并沒有義務(wù)公開報(bào)告。事實(shí)上,即使Bloomberg進(jìn)行了報(bào)導(dǎo),他們也會(huì)否認(rèn)。
好人保持沉默的原因有很多。他們不想毀壞名聲。他們不想鼓勵(lì)更多入侵者進(jìn)行模仿。另一方面,壞人在黑暗網(wǎng)絡(luò)上,有很特別的信息共享安排,這就是為什么壞人比好人強(qiáng)大的更快。
因此,黑暗網(wǎng)絡(luò)的黑客占據(jù)上風(fēng)。你會(huì)認(rèn)為應(yīng)該有一個(gè)能夠輕松共享信息,而不會(huì)損害公司聲譽(yù),并引入模仿攻擊的機(jī)制存在。Madnick:并不是沒有這樣的嘗試。事實(shí)上,有大量的企業(yè)想要分享。不幸的是,他們非常零散。我不確定我可以公開討論這些,但是很顯然,大型石油公司的確聚在一起,分享信息,但只有那些大型公司參與。他們不會(huì)與下一級(jí)別的公司共享,因?yàn)樗麄冎幌雽⑿畔⒈3衷谝粋€(gè)封閉的團(tuán)體內(nèi)。
FBI不與CIA共享信息也是同樣的原因,因?yàn)樗麄冋J(rèn)為CIA內(nèi)有內(nèi)奸,他們會(huì)把信息泄露出去。CIA也不想與FBI共享信息,因?yàn)樗麄儞?dān)心FBI的內(nèi)奸會(huì)把信息泄露出去。
并不是沒有人想這樣做,但是他們一直擔(dān)心:‘如果我公開這個(gè)信息,公眾獲得信息后,會(huì)對(duì)我產(chǎn)生什么不利?’
這有點(diǎn)諷刺。壞人其實(shí)喜歡聲譽(yù)。“我是那個(gè)攻擊XYZ銀行,并偷走數(shù)十億美元的人。”在某種程度上,這是一種炫耀。所以,有很多原因,那些黑暗網(wǎng)絡(luò)會(huì)尋求宣傳。
你能舉一個(gè)例子,關(guān)于黑暗網(wǎng)絡(luò)生態(tài)系統(tǒng)中的信息共享網(wǎng)絡(luò)?Madnick:我不知道它的名字,但實(shí)際上有一個(gè)網(wǎng)站,黑客對(duì)世界上最討厭的公司進(jìn)行排名。你會(huì)發(fā)現(xiàn)這樣的關(guān)聯(lián):隨著你的公司排名上升到頂部,網(wǎng)絡(luò)攻擊的數(shù)量上升,因?yàn)橄喈?dāng)多的人不會(huì)因?yàn)閭€(gè)人利益或國家利益進(jìn)行攻擊。他們只是喜歡表達(dá)自己的憤怒。隨著你的公司排名的上升,你會(huì)發(fā)現(xiàn)這些人在討論,“Monsanto是一個(gè)邪惡的公司。我要給他們一個(gè)教訓(xùn)。我要攻擊他們。”
我還知道,一些公司實(shí)際上在黑暗網(wǎng)絡(luò)中雇傭他人,進(jìn)行投票,讓他們的排名降低,以減少攻擊的數(shù)量。Stuart Madnick:在幾年內(nèi),將會(huì)有超過1000億個(gè)聯(lián)網(wǎng)設(shè)備、物聯(lián)網(wǎng)。要給1000扇門上鎖是一回事;想象一下,要給100萬甚至1000億扇門上鎖。所以,攻擊對(duì)象的數(shù)量正在迅速增加。
還有一個(gè)問題,將以其他方式威脅我們。一年前,我在休假,我在尼斯大學(xué)的汽車遙測(cè)團(tuán)隊(duì)中工作。他們正在嘗試從未做過的事情,比如自動(dòng)駕駛等等。
我了解到,要完成這些事情極其困難。他們承受著巨大的約束,組件的成本,能量的消耗,空間大小的使用。他們要面對(duì)很多極具挑戰(zhàn)性的工程問題。如果你有N項(xiàng)優(yōu)先級(jí)事項(xiàng),那么,網(wǎng)絡(luò)安全,至少在一年前,就是N+1。他們必須處理的事情實(shí)在太多,他們只能說,‘我們只能先關(guān)注這些,其它的,以后再操心。’
部分原因是物聯(lián)網(wǎng)很新,要面對(duì)的挑戰(zhàn)很多,要把網(wǎng)絡(luò)安全納入關(guān)注因素非常困難。
因此,物聯(lián)網(wǎng)安全組件并不是從一開始就構(gòu)建的,而是之后再添加的?Madnick:正在慢慢發(fā)生變化。但一年前,情況的確如此,我認(rèn)為這仍然是大部分物聯(lián)網(wǎng)項(xiàng)目的現(xiàn)狀。
我的一位同事是一名顧問。他為一家正在推出某種物聯(lián)網(wǎng)設(shè)備的公司工作。他們正準(zhǔn)備推出一個(gè)設(shè)備,然后他們意識(shí)到,這個(gè)設(shè)備會(huì)受到某些類型的網(wǎng)絡(luò)安全攻擊,而他們之前沒有考慮到。
他們意識(shí)到,他們?cè)O(shè)計(jì)中的計(jì)算能力,不允許他們進(jìn)行軟件的修改,使產(chǎn)品更加安全。他們面對(duì)一個(gè)決定。我們是按計(jì)劃,在本月發(fā)布產(chǎn)品呢,還是重新設(shè)計(jì),花費(fèi)六到八個(gè)月的時(shí)間,并可能失去市場(chǎng)?
你猜他們做出了什么決定。提示:產(chǎn)品推出了。
你非常重視對(duì)于物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的攻擊。能給我舉一個(gè)例子嗎?Madnick:土耳其管道爆炸,就是一個(gè)例子,當(dāng)然,土耳其否認(rèn)這是網(wǎng)絡(luò)攻擊,聲稱這只是一個(gè)故障。但其他分析師指出,這就是一個(gè)網(wǎng)絡(luò)攻擊。但有趣的是,這次網(wǎng)絡(luò)攻擊顯然是通過最近增加到管道中的安全攝像頭發(fā)起的。
因此,這一安全攝像頭,并沒有成為一個(gè)安全設(shè)備,而是成為接入設(shè)備。諷刺的是,攻擊者除了引起管道爆炸,據(jù)說,他們還抹去了監(jiān)控錄像,并切斷了報(bào)警系統(tǒng)。有人告訴我,土耳其中央控制人員意識(shí)到有爆炸發(fā)生,是有人看到四英里之外,天空中有火在燃燒。
我之所以提到這件事,是因?yàn)楝F(xiàn)在的熱門單品之一,就是這些互聯(lián)網(wǎng)安全攝像頭,你可以把它們放置在你的屋外,或屋內(nèi),用于監(jiān)視你的寶寶等等。我被告知,這些設(shè)備中的50%仍然保留它們的默認(rèn)密碼。
美國政府在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施上,投入足夠嗎?Madnick:嗯,從積極的一面來看,你可能已經(jīng)看到,奧巴馬總統(tǒng)最近宣布……對(duì)于網(wǎng)絡(luò)的投入將增加到190億美元。因此,至少投入的錢越來越多了。
我們擔(dān)心,投入的方向被誤導(dǎo)了,很多人認(rèn)為只要能夠有一個(gè)更好的密碼系統(tǒng),所有的問題都能解決。所以他們幾乎不關(guān)注任何企業(yè),管理,文化上的問題。
與網(wǎng)絡(luò)安全相關(guān)的企業(yè)和文化問題,是麻省理工學(xué)院重點(diǎn)關(guān)注的研究方向,你是其負(fù)責(zé)人。
Madnick:我們重點(diǎn)關(guān)注的是人為元素。各種報(bào)告顯示,50%到70%的網(wǎng)絡(luò)攻擊都是由內(nèi)部人員教唆或協(xié)助的。更寬泛的來說,如果,作為一個(gè)房主,在你購買安全攝像頭時(shí),不改變它的密碼,我就認(rèn)為你是網(wǎng)絡(luò)攻擊的一個(gè)助力因素。人類的作為或不作為都是目前的主要問題。如果你把鑰匙給別人或者放在門墊下面,那給你的門裝鎖是沒有意義的。
這就是為什么,在我們的研究中,我們更關(guān)注管理和企業(yè)因素,這些被其他人忽略的因素。
比如?Madnick:讓我用幾個(gè)例子,來回答這個(gè)問題。我在麻省理工學(xué)院斯隆商學(xué)院工作,相鄰的建筑在過去的一到兩年中,經(jīng)歷了翻新。很長(zhǎng)一段時(shí)間,外面都有腳手架。如果你在過去的四到五個(gè)月內(nèi),來過麻省理工學(xué)院,你就會(huì)看到腳手架上,有一張10英尺*10英尺大小的海報(bào)。上面是一個(gè)工人的照片,在他的手里,他拿著一張家人的照片。他上面有一個(gè)標(biāo)語,寫著,‘我知道為什么安全是很重要的。’言下之意就是,我的家庭需要我。如果我不安全,我受傷了,就會(huì)傷害我的家庭。
如果你去一家工廠,最有可能的是,你會(huì)看到門上有一個(gè)標(biāo)語,寫著,‘距離上次工業(yè)事故,已經(jīng)過去570天了。’你什么時(shí)候在計(jì)算機(jī)機(jī)房,門上可以看到一個(gè)標(biāo)語,寫著‘距離上次網(wǎng)絡(luò)攻擊,已經(jīng)過去50毫秒?’
我的解釋很長(zhǎng),我們想要?jiǎng)?chuàng)造的,是一個(gè)網(wǎng)絡(luò)安全紀(jì)律。
我知道你的關(guān)于網(wǎng)絡(luò)安全的研究是基于一個(gè)麻省理工學(xué)院的模型,稱為STAMP (Systems Theoretic Accident Modeling and Processes),一種減少和減輕工業(yè)事故的方法。Madnick:是的,STAMP是主要的研究來源。麻省理工學(xué)院研究STAMP已經(jīng)20年了。它被用來分析挑戰(zhàn)者號(hào)航天飛機(jī)爆炸。
STAMP如何應(yīng)用于網(wǎng)絡(luò)安全?Madnick:有幾個(gè)方面。當(dāng)你分析很多小型網(wǎng)絡(luò)攻擊,或任何類型的事故,你通常會(huì)發(fā)現(xiàn)最終原因是人為錯(cuò)誤。‘她在桌子上留有一張寫有她密碼的紙條,’之類的原因。這個(gè)問題的原因就是如此。
我們相信,在大多數(shù)情況下,人們不會(huì)故意想創(chuàng)造工業(yè)事故或網(wǎng)絡(luò)事件。通常,是他們周圍的激勵(lì)制度,企業(yè)架構(gòu),和企業(yè)文化,影響著他們的行為。這是STAMP在網(wǎng)絡(luò)安全中,首要關(guān)注的總體。