网络安全的未来预测:物联网与“石棉材料”
2022-11-09
6月,在一次网络安全讨论会上,全球著名网络安全专家、专栏作家、唯思安全公司首席研究官米科·希伯尼发言表示,社会对互联网的高度依赖性、物联网设备的脆弱性、网络犯罪的进一步发展,将是未来网络安全领域中具有重大影响的关键问题。他认为,物联网设备可称之为互联网中的“石棉材料”。从当下看,物联网似乎是一个相当好的想法,但未来每一个物联网设备都是网络安全系统中的一个脆弱链条。
对互联网连通性的依赖
“我们正生活在一场技术革命中,尽管它的规模依旧难以估计”,希伯尼表示,“互联网是我们这个时代发生的最好的——同时也是最坏的的事情。”
他认为,未来几代人对互联网的依赖程度将堪比我们今天对电力的依赖。假如电网因太阳风暴而产生故障,大多数国家将瞬间受到影响,无法运转、工作,乃至体系破碎崩溃,而这一切都要归因于我们对电力资源的高度依赖。
希伯尼指出,虽然目前来看互联网已十分重要,但它的重要程度依旧无法与电力相比。然而,情况可能会有所改变:未来某天,互联网的连通性将为社会的一切提供动力,不管是食品生产还是经济发展。到那时,没有互联网,社会将彻底陷入瘫痪。
因而,网络安全的重要性也愈发突出:互联网系统正不断受到攻击,新的漏洞被持续发现,威胁者的能力与技术也在不断提升。
希伯尼评论说:“这与国家的问题相同,一个国家越先进,它就越脆弱;互联网覆盖范围越广,出现安全问题的概率也就越高。”
互联网中的“石棉材料”
作为互联网连通性的重要组成部分,针对已连接上网的数百万物联网设备,希伯尼同样表达了他的意见:“15到20年后,我们会回看今天的决定,懊恼地埋怨自己,当我们把所有东西连接到同一个公共互联网时,我们到底在想些什么。”
希伯尼强调,当我们的未来充斥着无法更新的过时硬件设备时,麻烦就会不断产生——为此,他称物联网设备为互联网中的“石棉材料”。
从当下来看,物联网似乎是一个相当好的想法,但值得注意的是,人们也曾认为石棉是一类绝好的建筑材料,它耐磨耐热、具有高度抗火性和电绝缘性,然而由于对人体健康有害,石棉的使用早已被严令禁止。
除希伯尼外,也有人表达过对物联网安全问题的关心。有软件工程师表示,虽然物联网技术已存在多年,但在监管和安全保障方面,仍然处于起步阶段。许多公司急于占据某类产品的潜在市场,将安全问题放在次要位置。消费者和企业都会想当然认为:“为什么有人会黑掉我的Wi-Fi咖啡机?”然而,一旦联网的汽车或婴儿监护器被入侵,这产生的后果可不像咖啡机被黑掉那么简单。
同时,希伯尼表示,即使是物联网设备,消费者也会更看重价格而非安全性。但不幸的是,价格低廉的产品也往往不符合基本的安全标准。因此,有害的混合设备可能会连接到互联网上,它们无法更新,携带大量安全漏洞,极易被攻击者利用,创建僵尸网络并引起其他问题。
网络犯罪日渐猖獗
人工智能领域的斗争
希伯尼预测,既然网络犯罪分子拥有足够资金,他们下一阶段将会采用人工智能和机器学习技术帮助其发起自动攻击。
他认为,未来威胁者将从雇用网络安全专家转向雇用人工智能领域的专业人才——目前,他们尚未如此行动的唯一原因是这个新兴领域的人才严重不足。
然而,随着越来越多的人进入人工智能领域,准入门槛也随之降低,利用人工智能框架也变得更加容易,犯罪集团也会为争夺技能人才而竞争。在此之后,人工智能将替代目前网络犯罪分子的人工攻击,网络安全的斗争也不再发生于作为人的攻击者和作为机器的防御程序之间,而将彻底变成自动智能技术间的斗争。
游戏机里的安全启示
希伯尼提到,“围墙花园”设备的采用是另一个值得注意的转变,一些管理者模仿游戏机设置公司设备,借此保障网络安全。虽然此类转变已在进行中,但依然有潜在发展的空间。
具体来说,“围墙花园”式设备是一个软件系统,也可称作封闭式平台、封闭式生态系统。其中运营商或服务提供商对应用程序、内容和媒体进行控制,限制对未经批准的申请人或内容进行便捷访问。这与开放平台相反,在开放平台上,用户通常可以不受限制地访问应用程序和内容。
希伯尼举例说,当你购买一个游戏主机,如PlayStation 5或Xbox,就相当于购买了一台电脑,但你没有权利定制它或启动供应商未批准的程序。当然,可以对PlayStation进行“越狱”并运行未签署的代码,但这样做并不简单,普通游戏玩家也不会这样做。
一台游戏主机,本身就是一台用于特定活动的计算机。因此,从中获得灵感后,一些企业已开始向员工发放下载程序时受控的设备——包括苹果iPad、安卓手机和谷歌笔记本。希伯尼认为,在企业或机构内部,限制终端用户的“围墙花园”系统将成为提升安全性的常见方法。
网络安全问题日益严峻,很大程度上也源于网络犯罪集团的日渐猖獗。希伯尼在会上表示,唯思安全每天扫描的恶意软件中,超过98%来自于专门借此盈利的网络犯罪团伙。
希伯尼强调,攻击者早已不满足于软盘病毒。他们现在从勒索软件和虚拟货币中赚取财富,导致当前以及未来的情况是,越来越多资金充裕的罪犯将会投资到网络攻击中。
例如使用著名恶意勒索软件“康蒂”的私人网络犯罪集团,他们借助勒索软件即服务(RaaS)生态系统来建立自己的业务,并从其他威胁者那里购买访问权限,在受害者的网络中立足。他们还从其他RaaS供应商那里采购基础设施、恶意软件和通信工具。今年5月初,美国政府宣布悬赏1000万美元征集有关“康蒂”勒索软件团伙的信息。
有安全专家指出,由于勒索软件运营商会像其他企业领导人一样看待他们的业务,因此,他们也必须与时俱进,在市场地位上保持领先,并像其他集团一样获得利润。
“这改变了游戏规则”希伯尼说,“毫无疑问,这些所谓的‘网络犯罪独角兽’变得越来越富有和强大,他们负担得起高昂的投资成本,为‘武器组合’雇用熟练的攻击人员和新技术,他们完全具备足够的人力和物力进行大规模攻击。”
未来会发生什么
设想我们沿着现在的路线顺利发展,技术变得更加快速、强大和易得。在这种情况下,希伯尼预测,未来某天人类将非常有机会以近于免费的方式进行“无限计算”。
这类计算机将拥有接近无限的电力、存储、带宽和内存,成本也会降到最低。
他对与会者提问:“如果没有任何技术限制,你会创造什么呢?这是一个开放的想法,我确实认为我们正朝着一个光明的未来前进,即使我是一个一生都在观察互联网暗面并与之作斗争的人,但不管怎样,我仍然是一个乐观主义者。”