您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
新鲜 正文
发私信给温晓桦
发送

8

面对网络攻击,我们为何如此脆弱?

本文作者: 温晓桦 2016-01-26 17:50
导语:“处理当今频繁发生的网络犯罪和间谍威胁,需要从根本上用全新的方式来创建所有软件。而稳固这个新的基础需要20年。”

面对网络攻击,我们为何如此脆弱?

当今时代,网络间谍、黑客造成的网络犯罪和地缘政治关系紧张愈演愈烈,防不胜防,对此,美国白宫正在研究一个国家网络安全战略,并预计在2016年推出。帮助构想这个战略的是Greg Shannon。Shannon前不久还是卡内基梅隆大学软件工程研究所首席科学家,如今正准备加入白宫科技政策办公室,负责网络安全策略。

在日前接受《麻省理工科技评论》主笔David Talbot的采访上,Shannon向公众讲解一系列网络安全问题。他表示,处理当今频繁发生的网络犯罪和间谍威胁,需要从根本上用全新的方式来创建所有软件。而稳固这个新的基础需要20年。

网络安全已经成为严重的威胁,不过这类事件最近发生了什么实质性的变化呢?

索尼黑客事件可谓网络安全威胁的分水岭。该事件的规模、波及范围和损失都是空前巨大的,而且该事件折射出网络安全与经济发展之间的关系是何等的紧密相连——也就是说,随着网络安全威胁日益严重,经济发展就越受威胁。

近年来,数十亿美元的资金投入到新的安全技术研发中去,难道它们都不管用吗?

恶意网络活动不断增多背后隐藏的动机也越来越复杂。在互联网早期时代,改良过的IT基础设施大可以压制基础设施方面带来的安全风险,尽管威胁一直存在,但可以通过补丁修复。但如今,网络上的恶意活动及其牵涉的资产价值正呈几何数级的增长——而为的都是劫持系统和窃取数据。我们所看到的结果是,网络攻击的威胁比以往任何时候都要严重。

那么根本的技术问题出在哪里?

一方面是效用问题——你如何保证安置了一种新的技术手段后就能在安全防御中有所作为?很多时候甚至是起不了作用。另一方面是效率问题——通常的防御手段是,对新发现的漏洞予以修复,那么对手只不过不再使用这个攻击手段(而换成另一种攻击方式)。因此,这样的防御方式也不能收获稳妥的效果,因为它无法创建一种一般性的、长效的防御机制,所以说效率不高。

我们需要调整开发软件的方式,并开发有效率的安全防御系统。也就是说,需要数十亿行的代码都要严谨运作。

如今编写代码真正严谨的地方是NASA——他们的代码编程都在千里之外完成,且一般需要好几年的时间才能完成。他们使用非常正式的手段、易于控制的工具来保证软件的可靠和完善。

我们怎样才能让所有的IT设施都像火星探测器的代码那样先进?

首先,我们需要明白,让软件的日常运行总不那么完美的还有许多非技术因素。除了核电站或者空中交通管制一类高度优先级领域的设施,出了问题之后并没有那么多的规则和后果可言。

所以在政策方面需要考虑的是激励每个人编写更好的代码,如今,大部分公司的防御系统过于脆弱,数百万行的代码中,平均每一千行就会出现一个bug。而技术方面需要建立市场激励机制,让严谨的软件开发手段变得更加容易让每个人都用得到。

此外,纵然内部员工恶意行为或者是其他人为错误都是导致网络安全问题的因素之一,然而严谨的软件也是可以通过内部清晰的访问规则和提醒机制来达到防范于未然的目的的。

我们需要多少时间,才能让互联网基础设施能够抵挡得住激烈的网络攻击?

对于大型工业网络系统来说,5到10年是保守起见。而一般公司或机构的话,或许需要20年以上。

via technologyreview

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说