ACM通信
特朗普时代的网络安全
来源:海军研究生院。
战略与国际研究中心(Center for Strategic and International Studies)于3月1日恰如其分地举行了“网络破坏2017”(Cyber Disrupt 2017)会议,特朗普总统的国土安全和反恐助理汤姆·博塞特(Tom Bossert)发表了演讲。他还负责网络事务,他的讲话集中在这个令人关注的领域。简言之,博塞特阐明了三个目标:提高联邦政府网络的安全性;应对僵尸网络日益增长的威胁;以及如何阻止网络攻击。
至于可能实现这些目标的各种方式的细节,则没有提及。也许这是因为,考虑到目前的政策轨迹,这三个目标都很难实现。为了应对当今的网络安全挑战,太多的政府网络设计得很糟糕。僵尸网络正在急剧增长,特别是在这个物联网时代,烤面包机、冰箱和许多其他智能电器——数量达数十亿台——可以被征召成为僵尸大军。最后,当攻击者仍然可以隐藏在匿名的面纱后,或者至少可以“推诿”时,威慑将是有问题的。
使这些问题更加复杂的是,人们执着于用更好的防火墙和杀毒软件来加强防御。这种模式的效果相对较差,不仅是在政府负责的领域,在私营部门也是如此,私营部门每年流失价值数亿美元的知识产权。我们如何计算5亿雅虎账户被黑的相关成本?现在是时候考虑一种新的范式了。或者一个旧的。除了我们一直依赖的东西。
多年来,我一直主张广泛使用强加密技术——即使我工作的政府反对将这种技术传播给普通美国人。好吧,多亏了“代码反叛者”的早期努力些微Diffie此外,强加密货币如今比过去更容易获得。尽管如此,我还是觉得既奇怪又讽刺的是,知道加密货币的力量和价值的政府行为者,在他们的系统中留下了如此多的数据,如此容易获取和读取。典型的例子是美国人事管理局(Office of Personnel Management),超过2000万份文件被黑,其中包括我的文件。
除了政府虔诚地使用强大的加密技术(希望在云和/或雾中移动数据),还有一个监管角色可能有助于(至少在边际上)处理僵尸网络。物联网的“东西”应该被要求从工厂带来更好的安全性。这并不能免除消费者在设置好密码等方面的责任,但制造商过于简单的默认密码让组装机器人大军的任务变得太容易了。
当谈到威慑时,正如我在之前的专栏中所指出的——参见“威慑Stuxnet后”和“停止试图阻止网络攻击——这是思考网络安全的错误方式。网络空间的进攻太容易、成本太低、风险太低了,以至于我们无法指望各种形式的威慑会起作用。正如我之前所观察到的,在物质世界中的威慑有着好坏参半的记录。威慑在网络空间的记录将更加糟糕。所以现在是时候把重点放在防御上了,通过强大的加密,通过移动数据,正如我亲爱的同事多萝西丹宁经常提醒我,通过认证和监控网络防御三位一体的其他分支,以及加密。
特朗普总统以民粹主义者的身份参加竞选;但早期迹象表明,他正试图以一个典型的保守派的身份执政。出于网络安全的考虑,我们可能会认为这意味着他打算鼓励私营部门进行大量的自助努力,以使其免受黑客的攻击。这也适用于商业公司和个人。我们只能希望,这种精神的某些部分,与基于加密、身份验证和监控的面向防御的范式非常一致,能够渗透到公共部门。政府网络将变得更加安全,僵尸网络的力量将有所减弱,威慑幻影将被转向健全、强大的网络防御的明确趋势所驱散。但愿如此。
约翰·阿奎拉是美国海军研究生院的教授和国防分析主任。以上仅代表他个人观点。
没有发现记录