11.jpg

网络攻击只针对大公司?或无孔不入

cn.weforum.org 2017-05-31

  随着数以十亿计的人口和设备接入了移动互联网,网络攻击所带来的威胁和潜在影响呈现出“指数爆炸”的趋势。Danielle Kriz(Palo Alto 网络公司全球高级政策总监,同时也是“未来全球网络安全委员会”的成员之一)指出,网络安全要更加“自动化”,还要具备“预防性”,才能在数字时代保持住“可信度”

  网络攻击只针对大公司?或无孔不入

  世界为何需要关注“网络安全”? 

  近十年来,网络安全的状况已经发生了很大变化。 之前,网络安全对大多数消费者来说并不是一个问题,它主要由公司(组织)的后端IT安全团队进行维护管理。 但现在,由于我们日常生活中的许多部分都是数字化的,网络安全已经演变成对于地球上每一个人都很重要的东西。

  网络安全影响着来自全球财富500强公司的高层CEO,不同行业的公司都在担心自己的品牌,包括供电公司,航空旅行公司,现在都极其重视自己的网络安全问题。 这一概念也扩展到了政府层面,随着政务流程的“在线化”,他们也需要去保护相关的信息。那些使用社交网络的人也需要重视网络安全。 因此,我们都需要对网络安全的“最佳解决方式”做足准备,以保持公司(组织)在数字时代的“可信度”。

  您如何看待未来几年的网络安全环境? 

  有一点很明显,网络攻击的数目只会有增无减。 随着物联网的发展,第四次工业革命的推进,以及更多的设备的“在线化”,网络攻击的目标在不断增加。 重要的如何阻止这些网络攻击,不让他们成功,我们不能只是单纯地检测然后做出应对。作为一家公司,我们在原则上认为,如果你拥有人才,流程和技术的合理组合,那么预防网络攻击也是有可能的。 网络安全挑战将继续增长,但如果我们能够专注于网络安全攻击的预防,那么人们对数字时代的信任感,也会继续随着这些挑战的增长而增长。

  第四次工业革命的技术在多大程度上推动了网络安全领域的变革? 

  “网络安全”将一直是个数学问题。 网络犯罪分子和敌对公司(组织)发动复杂网络攻击所需的“计算能力成本”每天都在下降。 网络攻击正在变得更加先进与普遍。 很多公司都依赖于使用了数十年的网络安全技术:不同类型的安全产品相互分离,各自负责不同的事情,却又被编码在一起。 这种模式是无法扩展的,因此,在试图应对网络攻击时,自然处于下风。 网络威胁正在快速发展,如果我们继续依赖于几十年前的老旧应对模式,我们就无法在这场竞争中领先。

  总的来说,网络攻击往往遵循相似的七至八个步骤。 事实上,虽然存在着大量不同类型的恶意软件,且恶意软件一直处在不断变化之中,但网络攻击者通常都会使用相同的步骤设定。 例如,网络攻击者会在攻击对象的系统上进行侦察,进入系统并将恶意软件放在网络系统上,指示恶意软件进行回叫,以便发起网络攻击。 对于“攻击步骤”来说,我们不会看到随着时间的推移而产生的变化。 我们要想实现有效的“攻击应对”,试图阻止每个阶段的网络攻击,那我们所需要考虑的是业已存在的数十亿设备,而这个数字在第四次工业革命期间还会持续增加。

  我们需要做些什么来提高全球网络的“韧受性”? 

  越来越多的公司和政府意识到,“网络安全”不仅仅是一个IT问题,他们正在将网络安全视为一种商业风险。 全球各大公司的经理层和董事会成员都开始意识到,现在网络安全显然是他们运营公司的一大责任。

  我们每个人都可以尽自己所能去提升整个网络的“韧受性”,这就能够提升相应的网络安全认识。Palo Alto 网络公司在这一领域发挥了领导作用。 去年10月,我们与纽约证券交易所出版了一本名为“浏览数字时代”的书,目标读者是公司董事会和管理层成员。 该书是为那些正在努力提高整体网络“韧受性”的公司高管所准备的。

  不同的利益相关者应该在加强网络“韧受性”方面发挥什么作用? 

  网络安全是一个共同的责任体,我们要求政府让相关行业深度参与其中,帮助创建网络政策解决方案。 在美国,国家标准和技术研究所在一个开放和协商的过程中,开发了改进关键基础设施的网络安全框架(“NIST框架”)。 该框架将网络安全划分为五个领域:识别,保护,检测,响应和恢复。 这就是一个很好的例子,政府和行业聚集在一起,思考如何提升公司的网络安全“韧受性”。

  世界各国政府正在进行立法或政策改革,让公司之间、公共部门和私营部门之间,都能更自愿地共享关于网络威胁的相关信息。为了最好地保护网络系统,同时避免网络攻击的威胁,我们必须知道什么才是所谓的“网络安全威胁”; 但任何一家公司,任何一个政府都无法完全了解所有现存的网络威胁。 而共享威胁信息,能够让每个人把自己已知的“拼图”合并在一起,迅速采取行动,以防止最新的威胁。

  在努力加强网络安全的同时,如何确保公民权利和自由得到保护? 

  这个问题显然早已存在,并且将继续经受大众的“审查”。 很多关于权利的担忧,都在关注“你是谁”,“是否有人会收到你的个人信息,并对其图谋不轨”——但实际上,这些担忧都来源于对“未知”的恐惧。 在现实中,良好的网络安全环境,能够保护我们所持有的和在线存储的个人信息。

  网络安全和隐私是相辅相成的。 事实是,我们拥有越多的网络安全,越多的公民权利和自由就会受到保护,因为您的信息越安全,您的隐私越多。 总体而言,网络安全可以帮助保护公民权利和公民自由。

  网络安全的未来是什么? 2030年我们将在哪里? 

  网络事件将会出现得越来越频繁、越来越复杂,这将使人们不禁产生出自我怀疑:在我们建设未来的技术基础之上,是否存在更深层的结构缺陷,包括智能家庭,自动驾驶汽车等等。我们所处的数字时代正在不断发展,我们在寻找更高的效率,也将继续寻找新的挑战和漏洞。

  但是,每当一天结束时,我们依旧可以在“网络安全”这个领域中保持领先。 网络犯罪将会变得更加复杂,他们的攻击正在朝着自动化的方向发展,因此我们也必须以自动化预防作为目标,击退每个“攻击周期”中的阶段性威胁。

  到2030年,您最想看到什么技术或设备开发出来? 

  我希望看到自动驾驶汽车的持续发展。现在有些自动汽车已经开始上路了,但是还有很多工作要做,需要围绕自动驾驶汽车来创建整个交通系统并构造城市。 我住在城市里,出行时经常依靠出租车、公共汽车,或者让其他人接送。 自动驾驶汽车真实太棒了,我只要走出家门,跳进一辆自动驾驶汽车,就能到我需要去的地方。

  作者:Danielle Kriz, Palo Alto 网络公司全球高级政策总监

  翻译:世界经济论坛博客翻译小组——陈达铿

 

责任编辑:李阳阳

科普中国APP 科普中国微信 科普中国微博
cn.weforum.org
是中国科协为深入推进科普信息化建设而塑造的全新品牌,旨在以科普内容建设为重点,充分依托现有的传播渠道和平台,使科普信息化建设与传统科普深度融合,以公众关注度作为项目精准评估的标准,提升国家科普公共服务水平。

猜你喜欢