重新思考网络安全的方法
重新思考网络安全的方法
原文:https://medium.com/hackernoon/it-is-time-to-rethink-our-approach-to-cyber-security-9c624f35cca2
网络安全真的是技术问题吗?
每个人都知道网络安全是一个大问题,我们在媒体上听到的大多数都是这个问题到底有多大:一次入侵的平均成本是 400 万美元(http://fortune.com/2016/06/15/data-breach-cost-study-ibm);网络犯罪的全球经济影响为 4500 亿美元(http://www . CNBC . com/2017/02/07/cyber crime-costs-the-global-economy-4500 亿-CEO . html);仅 2016 年就有 40 亿条数据记录被盗(http://www . NBC news . com/story line/hacking-in-America/more-40 亿条数据记录-被盗-全球-2016-n714066 )。这些绝对是很大的数字!现在,让我们花一点时间来思考解决方案,而不是为问题和挑战的规模而焦虑不安。
首先,让我说,有相当多的杰出人士致力于解决法律和政策问题,开发最佳实践,创造新的和前沿的技术。他们应该继续专注于他们的工作,因为这非常重要。作为一个国家,作为一个全球经济体,我们需要一个长期全面的网络安全解决方案,我绝不是说他们的工作没有必要。
这样一来,我建议我们考虑两个基本问题:
1)鉴于公司在网络安全上的投入比以往任何时候都多,为什么我们仍会看到网络事件不断增加?(http://www . network world . com/article/3094363/security/cyber-attack-is-on-the-rise . html)
2)如果解决网络安全问题的部分办法是雇佣有才能的技术专家,而目前大约有 100 万个网络安全职位空缺(https://www.entrepreneur.com/article/292410),我们怎么能指望取得进展呢?
首先,当谈到网络安全上花费的越来越多的钱和事件数量上升时,我们确实有一个问题。然而,用市场的规模和花费的金额作为进步的指标是一个致命的假设。
用市场的规模和花费的钱数作为进步的指标是一个致命的假设
的确,一些公司的投资比以往任何时候都多(谷歌任何主要金融机构的名称和“网络预算”一词,以表明正在花费的惊人金额)。一个不为人知的小秘密是,按照今天的标准,大多数公司在网络安全方面的投资能力极其有限;这可能永远不会改变。
为了说明这一点,我收集了三组公司的数据:增长最快的 5000 家公司、财富 1000 强和中端市场 1000 强。然后,我根据 San、Gartner 和其他来源对 IT 和网络安全预算做了一些基本假设。这一分析揭示了一些有趣的数字。虽然像美国银行和摩根大通这样的公司在网络安全方面的预算基本上是无限的,但财富 100 强以外的公司(不包括小企业)的“真实”平均网络安全预算可能每年不到 40 万美元…包括人员和技术。从人员的角度来看,这些公司往往只有不到三四个人专门负责网络安全,许多公司只有一两个人。这就引出了一个关于资源的重要讨论,稍后会有更多的讨论。
第二个问题稍微难一点。针对快速变化的技术问题重组员工队伍是非常非常困难的。毫无疑问,小学、高中、技术学院和传统高等教育机构对 STEM 的关注越来越多,但考虑到通过管道推动技能所需的时间,这可能还不够。还一直关注通过技术学院、在线课程、代码学院和聚会等社交活动对劳动力进行再培训。这种方法当然有更快的周转,但可能无法提供足够的容量。这里的关键挑战是网络安全市场的就业机会有一条真正的长尾。在雇用数百名(如果不是数千名)受过网络培训的人员的大型组织和雇用另一大部分人的政府承包商之间,所有其他组织都严重缺乏受过培训的员工。如果你的薪资和福利无法与大雇主相比,而且失业率为负,那么雇佣合适的人才就特别困难。这再次表明,关于资源的讨论可能是值得的。
关于如何真正解决世界上几乎每一家公司面临的网络安全问题,我们的想法是完全错误的。
这就把我们带到了我的论点的核心。我想说的是,对于如何真正解决世界上几乎每家公司都面临的网络安全问题,我们的想法完全错误。我们一直将网络安全视为一个技术问题,并据此调整解决方案。例如,由 NIST(https://www.nist.gov/cyberframework)开发的网络安全框架大力帮助组织了解和管理他们的网络安全风险。然而,归根结底,这个框架是基于“安全控制”的哲学及其各种各样的实现。最终,这一信息清晰而响亮:良好的网络安全需要对人员、流程以及最重要的技术进行投资。事实上,几乎每个安全标准或最佳实践都有类似的关注点。无论是 COBIT、ISO 还是 NIST 800–53,它们都可以追溯到通过实施安全控制来管理风险。实施安全控制需要什么?资源:时间、金钱和人力。
现在,一个快速题外话是为了,但留在我身边!我在网络安全方面的一个基本信念是“进攻总是胜利,防御总是失败。”我为什么相信这个?因为攻击者不需要擅长所有事情,他们只需要成功一次。停留在资源的话题上,这代表了巨大的资源不平衡。想想最近针对 Gannett 的钓鱼攻击,该攻击危及多达 18,000 个用户账户(https://www . USA today . com/story/tech/news/2017/05/02/Gannett-hit-email-phishing-attack/101200110/)。这次攻击很可能是一个人针对一个年收入约 8 亿美元的组织所为。像这样的攻击证明,我们基本上每天都在看现代版的大卫和歌利亚。这里的区别是大卫赢的次数太多了,故事已经没有悬念了。事实上,它比那更糟糕!一个攻击者可以坐在沙滩上喝一杯玛格丽塔酒,同时攻击无数个网络。
在等式的防守端,有一个人或一组人(希望)负责阻止每个试图闯入网络的傻瓜。不幸的是,今天的网络防御人员被他们昂贵的安全技术产生的误报和噪音淹没,使他们无法真正发现和阻止真正的攻击。甚至更糟的是,大多数时候,防御人员都不得不花费有限的时间和精力,针对一套旨在防止事故发生的安全控制措施来配置系统,但实际上并不起作用,只会给每个人带来更多的工作。结果呢?即使投入了大量资金、训练有素的员工和部署了创新技术,最复杂的防御手段也一直在输掉网络战。
所以,我的主张如下。如果我们将网络安全视为资源问题而非技术问题,会发生什么?更进一步说,如果我们在考虑实施更多的安全控制措施之前,将重点放在减少防御所需的资源和增加进攻所需的资源上,会怎么样?这会如何改变我们的行为?我们应该关注什么来改变资源状况呢?我的答案是:速度和可伸缩性。
如果我们将网络安全视为资源问题而非技术问题,会发生什么?
先说速度。我们需要找到方法来加快各种规模的公司收集、分发和处理信息的速度。如果攻击者以任何组织为目标,用于攻击的基础设施必须立即失效。虽然这不会阻止攻击的发生,但肯定会增加攻击者所需的资源。如何使它变得无用?让我们假设一个来自主机提供商的虚拟服务器是为了一个明确的目标网络而建立的。攻击者开始对一家公司的服务器进行 SSH 暴力攻击。如今,这种行为可能连被攻击的公司都没有注意到。更糟糕的是,这种攻击比我们想象的更频繁。
相反,如果对该攻击的了解触发了警报,并且所有网络立即知道该源 IP 在该时刻是恶意的,然后被所有网络阻止,会怎么样呢?如果这发生在几秒钟内呢?在这个场景中,我们没有必要实现任何新的安全控制。我们不需要任何防御资源来应对威胁,但我们增加了对攻击者的资源需求。坏人现在将不得不建立一个新的服务器或获得一个新的 IP 地址,这也将被阻止。同样重要的是要注意,这对主机提供商的资源会有影响,这可能不是一件坏事。他们现在有一个在一段时间内(比如 24 小时)不可用的 IP 地址,这将影响他们将其分配给另一个用户的能力。托管服务提供商现在不是更有动力从一开始就阻止这些活动的发生吗?现在,肯定有机会出现误报和对系统的操纵,基本上导致 DDOS 的发生,但我认为如果我们花一点时间在这些问题上,我们可以解决这些问题。
关于可伸缩性,我说的是水平可伸缩性。我们如何快速轻松地部署一个安全网来支持各种规模的组织,同时又不增加大量资源需求?我没有完美的答案,但我有一些想法。我们需要开始沿着其他倡议的路线思考,这些倡议在资源不平衡的社区中扩展能力。想想社会项目、税收和公立学校。这些都是为公共利益平衡资源的模式。我们如何将此应用于网络安全?嗯,这可能比你想象的要简单。我当然不是建议我们采取罗宾汉式的方法,让大公司为小公司买单,我也不确定税收激励是否足够。然而,如果我们有能力快速(见上文)和大规模地传播关于网络攻击和不良行为者的知识,并且我们能够在所有组织中推广这些知识,会怎么样?如果我们可以在所有大大小小的组织中部署一种能力,而不会给较小的组织带来很大的资源负担,那会怎么样?如果这个系统可以设计为保护所有组织的隐私和匿名,但仍然允许我们在攻击者的基础设施被发现后立即将其拒之门外,会怎么样?想象一下,像这样的能力会如何改变有利于防御的局面。虽然这听起来可能是一个遥远的概念,但信息共享是当今公共话语中的一个常见主题(见:https://fcw . com/articles/2017/04/06/cyber-info-sharing-rockwell . aspx)。不幸的是,我们的想法还不够远大。我们并没有考虑这样一种能力,它可以达到这样的速度和规模,并且在当今公司实际存在的资源条件下,它实际上是有效的。
最后,我想挑战整个网络安全社区,让他们开始思考我们如何重新定位我们对网络安全的思考,首先是资源问题,其次是技术问题。让我们开始关注如何保护各种规模的公司,而不仅仅是那些拥有无限资源的公司。个人网络可以在自己的孤岛上生存,而把其他人留给狼群的日子已经一去不复返了。如果我们现在不吸取教训,认识到网络安全不仅仅是实施新技术,而且实际上是解决今天存在的资源挑战,我们将面临一些非常具有挑战性的时代。
