愛德華·盧卡斯

防守方可以反守為攻

2016年，網(wǎng)絡(luò)安全將開始奏效。雖然人們?nèi)找嬉蕾嚮ヂ?lián)網(wǎng)，導(dǎo)致攻擊者繼續(xù)占據(jù)上風(fēng)，但對(duì)于那些有時(shí)間、金錢和意志力的人來說，有效防御要素正一一到位。識(shí)別攻擊者及其使用的手段變得更為容易，挫敗和阻止他們也變得更為容易，彌補(bǔ)其造成的損害也更為容易。

安全的第一要素是身份。2016年，運(yùn)營(yíng)良好的組織將停止使用密碼和登錄方式。相反，它們將使用更難復(fù)制、偽造、盜竊或猜測(cè)的標(biāo)識(shí)符，比如生物識(shí)別指標(biāo)（指紋、視網(wǎng)膜、姿勢(shì)、步態(tài)甚至打字習(xí)慣）。安全問題將不再愚蠢（比如“你母親的娘家姓是什么”）。

相反，它們會(huì)要求你提供源自自己手機(jī)上應(yīng)用持續(xù)生成的代碼的數(shù)字。身份識(shí)別依靠三重鎖定——你擁有的東西、你知道的東西、你的身份特質(zhì)——令攻擊者更難以復(fù)制。

安全標(biāo)識(shí)只是一個(gè)要素：如果某網(wǎng)絡(luò)設(shè)計(jì)拙劣，或者使用者容易上當(dāng)、粗心大意，將于事無補(bǔ)。

感染的最大來源是電子郵件附件。一旦被粗心的用戶點(diǎn)開，此類附件可能包含能引發(fā)中毒的惡意軟件，該軟件會(huì)造成嚴(yán)重破壞，竊取或破壞數(shù)據(jù)。

幸運(yùn)的是，篩選附件正變得越來越容易。一種選擇是隔離附件。更好的做法是將附件剝離，并將其安全地重建，使其成為不含惡意軟件的規(guī)范性文件——這種方法由英國(guó)公司Glasswall率先提出。

攻擊者仍將有機(jī)可乘（存在太多設(shè)計(jì)拙劣的硬件和軟件，貌似無辜的網(wǎng)站可被篡改，從而感染訪問該網(wǎng)站的計(jì)算機(jī)）。唯一安全的假設(shè)是，一旦你的網(wǎng)絡(luò)被入侵了，確保立即處理入侵者——而不是在通常需要的200多天后才采取行動(dòng)。許多網(wǎng)絡(luò)根本無法檢測(cè)入侵。舊式網(wǎng)絡(luò)安全會(huì)發(fā)出太多警報(bào)，用行話說是“誤報(bào)”。當(dāng)防盜警報(bào)器成天響個(gè)不停，人們就會(huì)充耳不聞。

現(xiàn)在，更聰明的算法、更好的數(shù)據(jù)采集、更便宜的存儲(chǔ)、更強(qiáng)的處理能力結(jié)合在一起，使得異常行為檢測(cè)自動(dòng)化變得更為容易，弄清攻擊者的意圖也變得更為容易。留意在此領(lǐng)域的企業(yè)，比如位于加利福尼亞州圣何塞市的Vectra Networks公司。

第三個(gè)大的轉(zhuǎn)變是虛擬化。不是運(yùn)行一個(gè)由大量電腦組成的、其中任何電腦都可能感染的網(wǎng)絡(luò)，而是從一個(gè)大服務(wù)器運(yùn)行大量會(huì)話，事實(shí)上等于用軟件復(fù)制每個(gè)用戶的計(jì)算機(jī)。虛擬會(huì)話比實(shí)體計(jì)算機(jī)容易監(jiān)控得多：你可以確保每位用戶都有最新軟件并行為合理。

任何可疑活動(dòng)，比如窺探你的網(wǎng)絡(luò)、瀏覽互聯(lián)網(wǎng)的黑暗角落或在閑暇時(shí)傳輸大量數(shù)據(jù)，都被標(biāo)記起來，并可在你調(diào)查時(shí)迅速被關(guān)停。

威脅情報(bào)（Threat intelligence）工作也在改進(jìn)。攻擊者都是人，無論他們無論是間諜、罪犯還是惡作劇者。同所有人一樣，他們也容易掉入間諜交易陷阱。

防守方可以反守為攻，滲入他們做交易的聊天室和市場(chǎng)。蜜罐和蜜網(wǎng)（旨在引誘攻擊者訪問某網(wǎng)絡(luò)的假目標(biāo)）使防守方有機(jī)會(huì)確定敵人的身份，并弄清他們的目的。以色列黑魔方這樣的公司會(huì)雇用前間諜來提供此類服務(wù)。

不過，這一切并不保證能夠成功?？煽康木W(wǎng)絡(luò)安全就像一個(gè)強(qiáng)大的免疫系統(tǒng)。良好的健康以及個(gè)人和公共衛(wèi)生對(duì)免疫系統(tǒng)最為有利，但免疫系統(tǒng)并非銅墻鐵壁。使最重要的數(shù)據(jù)遠(yuǎn)離任何電子網(wǎng)絡(luò)是最好的防守：手動(dòng)打字機(jī)和復(fù)寫紙將是2016年的必備技術(shù)。