花多少钱能保证网络安全
2016-09-02云贺
云贺
政府和企业作为防御者,应将资源投入到那些最紧迫、最有可能发生网络威胁的领域。
近年来,全球频发网络安全事件。2015年5月,兰德公司对6000余名美国成年人展开了一项调查,结果显示:在2014年6月到2015年6月,26%的被调查者收到过个人信息遭泄露的通知。兰德公司据此预测:仅过去一年,美国就有6400万成年人的个人信息遭到泄露——这相当于超过1/4的美国成年人口。
针对日益突出的网络安全问题,兰德公司2016年6月发表了题为《网络犯罪:你需要知道什么》的文章,对该公司今年发布的若干网络安全系列报告进行了梳理和总结,主要从网络黑客和防御者角度出发,探讨网络犯罪的现状、网络防御工作的困境及未来走向。
“网络黑市”热闹而隐秘
兰德公司的研究人员将售卖网络犯罪工具和用户信息的市场,形容为一个热闹的“集市”。在这个“网络黑市”中,黑客和其他网络犯罪者像商人一样贩卖各种服务与产品,并通过隐秘的聊天室或论坛接头和交易。购买者可以很容易地在黑市里找到任何想要的东西:用户的医疗记录、可供雇佣的黑客、恶意软件开发工具包、僵尸网络病毒、勒索软件等等。
据兰德公司估算,目前“网络黑市”的价值至少有数十亿美元。
“网络黑市”的内部运作复杂有序,且组织严密。在黑市中,参与者们分工明确、层级分明,包括维持秩序的管理员、从事犯罪工具研发的专家、中介、供应商、中间商、普通成员等。此外,黑客们按照专长不同,甚至已经打出了自己的“品牌”。俄罗斯的黑客们以提供高质量的产品与服务闻名;越南和中国的黑客群体分别主攻电子商务和知识产权领域;而美国的黑客们则主要从事金融犯罪。
兰德公司在今年发布的网络安全系列报告之一——《网络犯罪工具与数据失窃的市场》中估算,目前,“网络黑市”的价值至少有数十亿美元。而造成“网络黑市”迅猛发展的原因主要有三方面:
第一,“网络黑市”的门槛相对较低。无论是黑客还是购买者,都可以通过互联网较为容易地进入市场进行买卖。因此,相比非法药品交易等犯罪市场而言,“网络黑市”相关产品和服务的供应量和需求量都有增无减。
第二,大多“网络黑市”所提供的产品和服务都能通过互联网即时送达,这节省了运输费用,从而降低了成本,使网络犯罪成为“高盈利”的犯罪领域。
第三,如上文所述,“网络黑市”拥有严密的组织形式,且市场运营严格遵守相关规章制度。兰德公司的研究人员认为,“网络黑市”在这方面甚至超越了许多合法市场。
网络防御者的困境
为保护网络安全,政府和企业每年都投入了大量资金。《网络犯罪:你需要知道什么》一文估测:现在全世界每年在网络安全领域的总投入约800亿美元。然而,大量投入并不意味着实现了成功的网络防御。
无论是从企业还是从政府的角度来看,较为成功的网络防御就是将网络安全的成本最小化,即把投入网络安全领域的资源以及遭受网络攻击的损失,都降到最低。可是,兰德公司的研究人员在对18名大型企业首席信息安全官进行调查采访后发现,实际上网络防御者们普遍面临着这样困境:他们不知道目前投入在网络安全领域的资源(包括资金、人员配备等)是否够用。这主要体现在两方面——
首先,在网络攻击真正到来之前,信息安全官很难预估其可能带来的损失。如何在“将投入最小化”和“将损失最小化”之间找到一个最理想的平衡点,成为一大难题。在兰德公司的采访中,没有一位信息安全官可以清晰地阐释“为什么将投入金额定为某一个具体数字”这类问题。甚至有信息安全官悲观地表示,他们只有在又一次网络攻击成功之后,才知道此前投入的资金依旧不够。
其次,相比于网络攻击带来的直接经济损失,名誉与公信力的受损才是政府和企业最为担忧的事情。兰德公司的文章中指出,由于涉及到名誉问题,许多政府和企业不惜斥巨资未雨绸缪。然而,这些防御投入是否必要,却有待商榷。
以2014年摩根大通银行账户泄露事件为例。尽管当时有约8000万个客户的信息遭遇泄露,但黑客们所做的只是将用户的账户名称、电话号码和住址等信息收集起来。截止到2014年底,没有任何关键信息被盗,也没有任何账户被攻击或者资金被转移。这次事件并没有造成实际的经济损失,可摩根大通却因为没能保护好客户信息,名誉大受影响。目前,摩根大通每年在网络安全方面的投入是2.5亿美元,且还有继续增加的趋势。
其实,许多时候网络攻击的风险往往被企业过分夸大,导致一桩无害的信息泄露事件也会引起极度恐慌。正如兰德公司的高级管理学家、网络安全系列报告作者之一马丁·利比奇(Martin Libicki)所说:“许多网络安全方面的花费都是出于我们的恐惧,但实际上,我们所恐惧的事情却很少发生。”
网络安全形势愈加复杂
面对网络犯罪市场和网络防御工作的现状,兰德公司的研究人员在《网络犯罪:你需要知道什么》一文中抛出了一个我们都无法回避的问题:网络安全的未来将是怎样的?
显然,未来的网络安全形势将更为复杂。随着物联网的发展,除了手机和笔记本电脑,医疗设备、家用恒温器,甚至是厨房用品都将逐步实现在线互联功能。根据全球权威IT研究与咨询公司高德纳(Gartner)的预测:到2020年,联网设备的数量将是全球人口数量的三倍。这意味着:每一个设备都有可能成为黑客们攻击的目标,而这将为网络防御工作带来极大的挑战。
不过,幸运的是,目前网络安全问题已经引起了政府和企业相当程度的重视。从人员配备情况来看,无论是信息安全人员的数量还是影响力,现在与五年前相比都有了长足的发展。与此同时,防御软件在不断改善、网络安全工具的数量也在持续增多。这些虽然还不能从根本上解决网络犯罪问题,但至少能使其变得更加可控。
上述文章认为,现在需要做的是换一种思考网络安全的方式。政府和企业作为防御者,应将资源投入到那些最为紧迫、最有可能发生网络威胁的领域,而不是沉浸在由防御软件供应商或自己编织的噩梦里。对普通用户而言,网络安全问题还没有引起人们的足够重视。兰德公司的研究人员在调查中发现,90%的受访者表示他们会与泄露自己个人信息的企业保持商业往来。然而,用户宽容的结果往往是:那些发生信息泄露或网络攻击的公司,会失去做出改变的动力。