在过去的两年里,大规模赎金勒索软件攻击的兴起和软件供应链危机的爆发将网络安全提升到了政府议程的首要地位。与此同时,美国行业甚至普通人也意识到了由国家行为人和犯罪组织构成的一系列新的数字威胁。
为此,今年的阿斯彭(Aspen)网络峰会特别是两个主题——网络安全威胁的复杂性,以及它们与我们过去面临的挑战有什么不同——激烈讨论。
Thistle Technologies公司CEO Window Snyder表示,“如今,系统之间的复杂性和相互依赖性越来越大,因此,威胁行为者抓住漏洞的机会和速度远远超出了我们缓解漏洞的能力。”
与20年前不同的是,甚至很广泛IT系统也相对独立和直接,现在系统的相互依赖使得处理和防御威胁变得越来越困难。这里的核心问题是系统之间的复杂性和相互依赖性,这是我们不能放弃的,因为我们需要它来提供灵活性和所有其他关键功能。
数字组合中的一个新变量是勒索软件的快速增长,这使得网络攻击越来越严重。如今,勒索软件攻击者似乎已经找到了一种非常成功的非法商业模式。每次发生大规模攻击,我们都可以看到受害者支付赎金来解决问题。这无疑是这种商业模式的好广告。
哥伦比亚大学高级研究学者Jay Healey这意味着在某种程度上,网络安全风险与20年前没有变化。20年前(例如,从90年代末到2003年),大规模攻击也会导致大多数互联网内容瘫痪,这是非常常见的。Nimda、Code Red、SQL Slammer、Melissa和I Love You病毒和蠕虫是主要的网络威胁。
此后,微软进行了巨大的改革,其他企业也发生了巨大的变化,但许多基本漏洞仍然存在。
不安全的设备就像“床下的怪物”
尽管一些主要科技公司(如微软)已经改善了他们的安全状况,但网络安全行业的整体停滞就像“床下最大的怪物”。自从早期蠕虫和病毒准备削弱网络的重要组成部分以来,安全行业并没有做太多的事情——我们没有实施更好的技术;没有更好地缓解这些策略;没有减少我们的攻击面;也没有处理内存损坏问题等。
与过去相比,今天的攻击不仅要广泛得多,而且还包括大量的物联网设备——与大型计算机、笔记本电脑甚至移动设备不同,许多物联网设备通常没有足够的内存、存储或存储CPU适应安全更新的能力。这无疑为攻击者创造了巨大的机会。管理这些设备的人员甚至很难检测和识别它们是否被入侵,或在部署时是否使用正确的操作代码。这些不安全的设备无疑就像“床下的大毛毛怪”!
此外,万物互联的威胁(包括关键基础设施部门与数字网络的无处不在)确实比早期的蠕虫和病毒严重得多。20年前,蠕虫只能击败硅和1和0创造的东西,因为当时互联网上只有这些东西。现在,他们有能力危及生命。综上所述,2000年代和2010年代应该是最后一个“黄金时代”,因为当时没有人真正死于网络攻击。
网络犯罪的门槛很低
FireEye公司CEO Kevin Mandia他说,与20年前相比,另一个重大变化是网络犯罪的性质发生了变化。20年前,犯罪分子必须具备出色的技能,但现在网络犯罪的准入门槛很低,甚至正在演变成一种服务。此外,与过去不同的是,越来越多的民族国家行为者正在进入网络犯罪领域,这无疑进一步加剧了威胁。
如今,最有利可图的网络犯罪活动要数勒索软件,它会滋生更危险的威胁,并且需要更具创新性的集体防御。随着民族国家行为者和网络罪犯之间的关系越来越模糊,那些为犯罪分子提供安全避风港和舒适环境的民族国家成了治理重点。想要维护网络环境,必须开始直接与这些国家对话以解决问题。
鉴于威胁模式的快速变化,我们面临的真正挑战实际上是了解风险。不幸的是,目前的政府和私营部门可能无法理解风险。因此,政府和私营部门都必须采取正确的态度,认真对待不断变化的威胁模式,并迅速做出反应。
COVID-19改变了系统性风险
快速改变系统网络风险的另一个重要力量是COVID-19。工作场所的突然关闭和长期大规模的隔离迫使网络安全风险管理模式发生了根本性的变化。企业组织必须重新配置网络并扩大其容量。
COVID-19危机的突然爆发也引起了网络犯罪分子对新行业的关注。强生副总裁兼首席信息安全官Marene Allison表示,“我们从来都不是攻击者的目标,而是真正的目标。在疫苗出现之前,没有人关注我们。但一夜之间,医疗保健行业的威胁发生了巨大变化。”
COVID-19在此期间,即使是受到高度保护的金融业也不得不争先恐后地改变其数字风险。万事达卡负责人表示,“2020第二季度,我们看到非接触式支付大幅增加。因此,我们为客户提供的非接触式解决方案是去年的五倍。”