TechRepublic网站的Dan Patterson与Forcepoint公司首席科学家Richard Ford博士共同讨论网络攻击活动如何破坏机构安全信心,以及人为因素如何影响网络风险。
Dan Patterson: 无论对于消费者还是企业,我们都面临着类似的安全风险。问题是什么?我们面临着怎样的挑战?为什么网络成为互联网时代最为混杂的问题之一?
Richard Ford博士: 是的。网络已经渗透到我们生活中的每一个部分。事实上,我们生活的每个层面都已经受到计算机的影响。因此在我们对网络问题感到担忧时,我们实际忧虑的是现有的幸福生活。如果推而广之,那么计算机安全、网络安全乃至生活安全都将被囊括于其中。我们需要思考为什么需要保障机器安全,又为什么需要保障系统安全。
我甚至不太喜欢“安全”这个词汇。我觉得实际上需要营造的是一种安全感。如果提到狭义的“安全”,我们的思维往往会被众多因素搅乱,并因此找不到真正的目标。我们应当考量的是安全感的实现。Spectre与Meltdown等等已经引发了极大的恐慌,但在实际讨论安全问题时,我们不得不将其分解成与CPU相关的、非常细化的因素。
我的工作是帮助您获得安全感,获得与信任相关的承诺,达成您对安全性的期望,并思索可预测的整个体系。这就是您所能“得到”的一切。我认为采取这样的方式,您才能在正确的范畴之内实现网络安全。
Dan Patterson: 我们对于风险与信任的定义在不同的人群当中有所变化。但是,信任深深植入我们的机构、我们的活动、安全感,并确保我们的行为确实由我们自己执行且不受威胁。我甚至一直努力在不使用网络语言的前提下谈论网络安全挑战。人与人之间的信任关系仍然不够明确。那么,我们该如何定义不同机构间的信任关系以及安全感?
Richard Ford博士: 在讨论信任时,实际上是在谈论一种尚未得到履行的承诺。我的银行信任我,所以愿意批拨抵押贷款。而根据未履行的承诺,我最终一定会近期偿还这笔抵押贷款。也就是说,虽然事情还未发生、但其一定会实现,我认为这就是讨论信任时我们所表达的真实含义。
不过如果您所信任的事物以一种有趣的方式令您失望,或者您意识到自己相信的东西并不正确时,也就引发了安全问题:我相信要求我提供银行帐户详细信息的家伙真的会打来3400万美元巨款。很明显,网络犯罪分子非常擅长玩弄这种错位信任的手段。
我更喜欢这样的表达,因为这样更贴近现实生活。我以非常严肃的态度看待安全问题,也希望尽可能把人的元素代入进去。我们之所以遭遇到Spectre以及Meltdown等安全问题,主要原因正是我们忘记了安全环节当中的人类因素,以及可能对人类造成潜在影响的变量。这一点与实际影响到计算机上数据的情况完全不同。
Dan Patterson: 我们的安全以及我们的信任,与新闻周期或者我们自己对问题的态度有关吗?
Richard Ford博士: 网络疲劳确实是真实存在的。人们已经在不少文章当中对这一概念进行过讨论。一些有趣的研究结果表明,当我们被网络武器轰炸得过度疲劳时,我们往往会告诉自己:“算了,我已经懒得再定期更换密码。”而一旦开始做出这些错误的决定,您的整体安全水平也将受到严重影响。
那么,我们该如何对网络疲劳加以管理?我们该如何在攻守之间作出权衡并作出正确的决定,且不致受到网络疲劳的侵蚀与打击?在新的攻击周期内,几乎每一天都会出现安全违规新闻。拿我来说,我使用的是Vienna——一款小巧的流媒体阅读器。Vienna非常好用,我从中看到几乎每一天都有企业或个人遭遇网络攻击,有些影响到的甚至包括信用卡系统。随着新闻报道的逐渐增加,我们的神经最终会太过疲劳而选择全部无视。这实际上也是网络领域最大的问题之一——当我们谈论违规时,其已经成为一种新的常态。在这种状况下,我们忽视了人为影响以及我们所面临与可能存在的风险,因为网络因素已经渗透到生活中的各个层面,使得我们无法将其约束在特定的范畴之内。
之所以会出现这种奇怪的状态,是因为网络安全时刻存在于您的脑海当中,过度的疲劳使大家不想再予以理会——毕竟不管投入多少努力,这些问题似乎仍然在不断涌现。
Dan Patterson: 我们该如何应对网络疲劳?我该如何解决这个……存在主义难题?在自我保护方面,我不想再被存在主义挑战所困扰。那么,我要如何在实践以及存在层面上彻底将其克服?我该如何应对这些挑战?
Richard Ford博士: 我们先把这两个问题区分开。我首先解决比较简单的实践层面问题,而后再讨论存在主义问题。
我认为对于普通用户而言,可以采取多种措施以解决您能够控制的风险。然而,您的这种风险控制范围较为有限。举例来说,如果信用报告机构遭遇安全违规,那么您存储在那里的信息也会受到波及。事件就这么发生了,我们对此毫无办法。
对于家庭用户而言,特别是对个人用户来说,保障安全非常简单:采取合理的怀疑态度即可。我们首先从摆正心态开始,接下来就是补丁、补丁、还是补丁。补丁太无聊了,相信没人愿意在这方面多费唇舌。然而,补丁确实是最重要的自我保护手段之一。当我们进入企业环境,特别是当您在组织中的职级不断上升时,您可能会希望在网络上分享某些内容。那么,您是否在照片中添加了地理标记,而这些照片一直都被潜在的恶意人士所利用以追踪您的位置动向?威胁就这样出现了。
事实上,特别有趣的是,攻击者的视野也开始变得模糊。攻击者不会把“你本人”和“你在企业中的职务”区分开来。相反,他们看到的只是你,并以最行之有效的角色作为攻击切入点。
从实践的角度来看,这是一种基础的安全心态。简单来讲,您需要随时保持系统与软件更新,而后慎重管理您打算公布的信息。
但在实践层面上,这项工作很难做到。因为您往往是更为广泛的整体系统中的组成部分。对这套广泛系统作出变更非常困难,因为其拥有着巨大的惯性。整个安全行业都存在着这种巨大的惯性,而IT化工作也将因此受到直接影响。
让我们重新说回信任:信任是通过计算机来实现的,而非人与人之间的信任感。当我们的访谈结束后,我会跳上优步叫来的汽车。这就是由计算机负责调解并实现的信任。我希望前往某个地图,而我信任优步系统为我安排的车子与司机。
Dan Patterson: 那么未来又将怎样?有哪些潜在威胁令您夜不能寐?
Richard Ford博士: 过去几周以来,最令我纠结的是在不久的将来,如何让人们以更严肃的态度看待网络安全问题。我认为我们在安全方面投入的精力还不够。这个问题始终存在,但我们往往意识不到自己面临的威胁有多么可怕。
就实际威胁而言,基础AI将非常有趣。从防守与进攻的立场来看,人工智能的介入将改变一切。所以,当攻击者考虑使用人工智能方法时,我可能会因此而睡不好觉。更具体地讲,当攻守双方都开始进行深度自动化探索,那么较量将会以极快的速度进行。
有了这样的心态,我们接下来应该考虑如何将其添加到优先事务清单当中。这个问题不该被留给我们的孩子或者孙子们解决,我们必须在自己这代人中将其解决。事实上,正如回顾过去一百年间的变化是种美妙的感受,一百年后回顾如今也会非常美妙。而我们目前作出的决定将给下一个一百年带来深远的影响。
人们总是在关注那些能够彻底改变安全观念的激进事件,或者力主将这些事件与个人关联起来。但我的感觉是,单单在过去一年,已经出现了一系列前所未有的严重安全事件。
Dan Patterson: 当我们谈到人工智能时,我们所指的到底是什么?这是一个广泛的概括性术语。您能分析一下人工智能的组成部分吗?人工智能对于网络而言为何如此重要?
Richard Ford博士: 在“人工智能”在网络营销资料当中被广泛使用。一般来讲,他们所指的实际上是基本的统计技术、简单的统计模型,甚至是少量机器。但人工智能一出现,整个境界就完全不同了。从本质上讲,我们可以借此创建出能够在特定问题空间之内学习如何做得更好的机器,并指导其以更优方式解决这些特定问题。这也包括以计算机的速度开展攻击。举例来说,如果由人类分析师弄清当前的事态往往需要高昂的经济与时间成本。而这项任务对于人工智能则非常简单——在这里,我会将AI的作用描述为一种“具备认知能力的假肢”。我很喜欢这种表达,因为人工智能本身并不会为我做出决定,但它能帮我做出更好的决定,或者引导我看到问题当中最核心的部分。计算机关于提取上亿次事件,并从中确定最重要的事件。这一点非常令人振奋。
在另一方面,一旦防御一方开始使用这类计算机转化技术,攻击者也采取同样的手段。这就构成了新的博弈关系,对吧?这就像两台计算机在棋盘上对抗——整个过程非常复杂,无可比拟,而且艰深无朋。
我不希望这样的局势最终彻底走向失控。即使是在安全形势不容乐观的当下,我们也取得了一定进步——从以威胁为中心转向更为多元的思维方式,这就是安全带来的提升。我真正关心的是自己的数据。安全工作绝不仅仅是将威胁拒之门外,我们要做的是切实保护自己的数据资产。我们需要更多以数据为中心的安全观点,同时在保护模式中强调人的因素,即提升人性化水平。我们已经看到了进步的迹象。我本人也花了很多时间研究并设计如何改善以人为本的安全解决方案。
人工智能将成为决定这场对抗胜利或失败的关键。我也很担心自己遭遇人工智能入侵。当然,人工智能也只是一种计算机程序,其中可能包含糟糕的漏洞。因此,如果我无法理解自己的系统如何工作,我该怎样判断其何时可能无法正常运转?这些问题似乎是种循环,但我们必须做好在未来的十年、十五年甚至二十年中坦然面对并加以解决。在我看来,未来的十年将非常有趣,并最终决定未来的历史发展走向。
本文翻译自TechrePublic
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
