如果网络攻击占据了政府的信息技术网络,进而控制了整个国家会怎么样?这看上去像是一件很遥远的事,但事实上并不。2018年4月,在加勒比海的独立小国圣马丁岛内,公众网络关机了一整天。此前一个月,勒索软件成功侵入了亚特兰大,造成了长达两个礼拜的网络瘫痪,及300万美元的经济损失。

去年在美国,巴尔的摩、夏洛特、达拉斯和旧金山都遭遇了网络攻击,而很讽刺的是,在攻击之前,这几座城市都使用了智能城市科技。虽然智能城市的概念已经联结了许多城市,网络安全准备的缺乏往往会招致许多严重的安全问题。面对崛起中的网络威胁,各大机构应当如何改进基础设施、云网络和物联网环境呢?

安全边界衰退的代价正越来越高

对于安全问题从业者来说,网络威胁是一项严峻的挑战。当今的首席信息安全官必须与多边威胁抗争,并从深度与广度两方面扩大安全边界。相比于核战争,网络攻击是否会成为人类面临的更严重的危机?这一点尚不可知。不过可以肯定的是,当今的网络非常脆弱。美国联邦调查局报告称,每天会发生超过四千起勒索软件攻击;其他研究显示,每天生产的恶意软件样本数量超过23万

近几年来臭名昭著的网络攻击终于让网络安全问题成为了优先议题,其危险程度也上升到了新高。因此在2017年,在安全问题上的全球花费了864亿美元,目前尚无降低迹象。Gartner公司预测称,由于防火墙、防病毒软件等传统安全手段的不足,2018年的行业价格将达到930亿美元

网络安全边界的现状

去年网络攻击的数量和严重性表明,2018年的各类组织所疑惑的,并非“是否会遭受攻击”,而是“如何遭受攻击”。在意识到安全边界正逐步消失这一事实后,各类组织机构已开始面对现实——安全性之战正在自己的网络内打响。

安全边界的消失,加上向云网络的过渡、各种物联网设备的部署,表明攻击面积正在逐步扩大。各类机构面临的风险大幅提高,而网络标准和政策却很难跟得上。因此,即便是消费者也会对此感到烦恼。

相关阅读:

针对网络的早期病毒和蠕虫已经进化得更强大、更麻烦。这些新型的攻击矢量往往较慢较低,可以在网络边缘移动,出入都不会引起察觉,就好像这个网络没有任何围墙的保护一样。为此,各大机构必须更快地了解网络攻击,并采取全新的工具、策略和过程,以从内部保卫网络系统。

为了应对逐步升级的威胁群,人们必须在2020年前考虑如下问题:

压迫安全边界的高级持续性威胁

当今网络攻击中最为致命的部分被称为高级持续性威胁,即第三方通过获取未授权通道而进行的一种网络攻击,往往可以在很长一段时间内不被探测到。高级持续性威胁以高度复杂性、订制软件秘密途径和零时脆弱性而闻名。

高级持续性威胁的一大不明特点是“持续性”,即高级黑客会网络中潜藏很久,直至完成目标。当今,出于计划、募资、运行的人员所筹划的战略意图,高级持续性威胁是尤其危险的。

在高级持续性威胁中,威胁行为的目的是获取敏感信息和系统,并给目标对象带来声誉和运营上的双重风险。这类威胁利用的往往是影子信息技术漏洞、较差的信息技术环境和人为错误。目前,不管是什么种类、多大规模,所有网络都无法完全抵御这类攻击。

网络安全技术暗藏危机

当黑客获取越来越多的专业技术、高级持续性威胁变得越来越复杂时,现有的安全控制并没有很好地与时俱进。安全人员的日益短缺正让问题变得更糟。截至2018年末,一两百万的网络安全工作职位将虚位以待;网络安全分析师的需求量将达到600万,但其供给量将只有400万至500万。

在应对越来越复杂且自动化的攻击方面,缺乏必要技能的不仅仅是信息技术安全团队。36%的组织机构称,相比于机构内的其他部门,安全部门职工的流动率更高。

Red团队攻击模拟的崛起

为了缩小技能方面的差距,各类机构正寻求安全服务提供方的帮助,以测试其韧性。这些服务代理人会开展阶段性的攻击,以检验该机构是否容易遭受网络攻击。

上述安全服务提供方一般被称为red团队,主要任务是在各个机构的应用、网络和数据上开展强势进攻。虽然red团队所开展的攻击是模拟性质的,但开展的过程往往固定在某一特定时刻,这样做的目的是和内部安全防御团队保持高度协作关系。如果无法与之协作,那这就属于blue团队的任务范畴,其目的是修理安全漏洞、最大程度上减少时间差。

训练有素的red团队专家可以通过施加安全威胁获得胜利,不过话说回来,这毕竟是一种人为因素。很不幸的是,操作缺点和机构的低效方法限制了red团队的能力,使其无法设计出抵御高级持续性威胁的长久战略。即便是同时拥有red团队和blue团队的机构,也需要努力防御真实生活中的攻击者。由于昂贵的时间差、协作难题与预算问题,攻击者仍有可能从旁边移动,并在雷达下潜伏着,尤其是那些鬼鬼祟祟的攻击者。

向自动攻击模拟过渡

如果有了自动攻击模拟,以及快速纠正能力的跟进,人们就可以为高级持续性威胁攻击下套,并缓解技能短缺的问题。实际上,能一直运行多个攻击的网络系统,和不间断的自动red团队一样,能够让机构处于持续勘察状态。

虽然如此,如果不能立即纠正勘察到的脆弱性,这些强势攻击操作不可能完全有效。这一点很重要,因为人们不能留任何一丝机会,让攻击者通过裂缝潜入网络。一旦发现了任何盲区、漏洞,Blue团队开展的可行优先纠正必须即刻执行。因此,持续且快速的攻击与漏洞纠正是必不可少的。

全新的purple秩序

在永久循环的red团队和blue团队间进行协调是自动化purple团队的任务。自动化purple团队能够结合red团队发现的攻击矢量、脆弱性,以及blue团队提供的防御策略,从而建立最强大的安全项目。

该协作行为不仅能建立一个不固定的全天候攻击与纠正循环,还能让攻击与防御团队相互学习、促进。有了不间断运营的purple团队,公司就可以使用优先纠正指南,并在第一时间内了解威胁的相关信息。

在最后,机构、城市和国家都一定将重新获得网络优势、抵抗那些旨在渗透关键基础设施的攻击,并成功解决技能短缺、纠正性攻击问题。

XM Cyber是世界经济论坛2018年技术年技术先锋的成员之一。2018年技术技术先锋成员名单见此

作者:Noam Erez,XM Cyber联合创始人兼CEO。

以上内容仅代表作者个人观点。

本文由世界经济论坛原创,转载请注明来源并附上原文链接

翻译:叶枫

责编:张智

世界经济论坛是一个独立且中立的平台,旨在集合各方观点,讨论全球、区域及行业性重要话题。