企业在防御网络攻击上,越做越好,MIT Sloan的Stuart Madnick说,但是黑暗网络的黑客仍然保持优势。他解释了原因。
在持续进行的,越来越多的针对世界知名企业的恶意网络攻击中,坏人占据上风。Stuart Madnick说,他是MIT Sloan School,信息技术 的John Norris Maguire教授,并将在MIT Sloan CIO Symposium大会上演讲。Madnick,目前担任MIT Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity的主任,解释了黑暗网络的黑客是如何利用技术和信息来获得优势的。
企业在打击网络攻击上做的如何?他们应该已经更强大了。
Stuart Madnick:的确是,人们都认为,我们正在变得更强大。但是,我们没有注意到的是,坏人强大的更快。这就是挑战所在。所以我认为,现实在变好,但是,不幸的是,最坏的也更坏,如果有这样一个词。(实际上,我来自于马萨诸塞州的伍斯特,所以我认为这个词是合适的。)
什么让坏人变得更强大,而好人却跟不上呢?
Madnick:原因之一,这种攻击正在变得商品化,曾经这很罕见——需要计算机科学的博士学位,才能攻击进入系统等等。现在,在黑暗网络中,只需要支付14.95美元就可以购买。黑客提供的工具和技术,已经越来越多、越来越强大,并快速增长。
另一个原因,我在研究中发现,好人不善于信息共享。现在,当Target这样的公司受到攻击时,法律规定他们必须上报,因为个人信息被泄露。所以新闻会报导。但是,如果一个德国钢厂受到攻击,部分系统崩溃,并没有义务公开报告。事实上,即使Bloomberg进行了报导,他们也会否认。
好人保持沉默的原因有很多。他们不想毁坏名声。他们不想鼓励更多入侵者进行模仿。另一方面,坏人在黑暗网络上,有很特别的信息共享安排,这就是为什么坏人比好人强大的更快。
因此,黑暗网络的黑客占据上风。你会认为应该有一个能够轻松共享信息,而不会损害公司声誉,并引入模仿攻击的机制存在。
Madnick:并不是没有这样的尝试。事实上,有大量的企业想要分享。不幸的是,他们非常零散。我不确定我可以公开讨论这些,但是很显然,大型石油公司的确聚在一起,分享信息,但只有那些大型公司参与。他们不会与下一级别的公司共享,因为他们只想将信息保持在一个封闭的团体内。
FBI不与CIA共享信息也是同样的原因,因为他们认为CIA内有内奸,他们会把信息泄露出去。CIA也不想与FBI共享信息,因为他们担心FBI的内奸会把信息泄露出去。
并不是没有人想这样做,但是他们一直担心:‘如果我公开这个信息,公众获得信息后,会对我产生什么不利?’
这有点讽刺。坏人其实喜欢声誉。“我是那个攻击XYZ银行,并偷走数十亿美元的人。”在某种程度上,这是一种炫耀。所以,有很多原因,那些黑暗网络会寻求宣传。
你能举一个例子,关于黑暗网络生态系统中的信息共享网络?
Madnick:我不知道它的名字,但实际上有一个网站,黑客对世界上最讨厌的公司进行排名。你会发现这样的关联:随着你的公司排名上升到顶部,网络攻击的数量上升,因为相当多的人不会因为个人利益或国家利益进行攻击。他们只是喜欢表达自己的愤怒。随着你的公司排名的上升,你会发现这些人在讨论,“Monsanto是一个邪恶的公司。我要给他们一个教训。我要攻击他们。”
我还知道,一些公司实际上在黑暗网络中雇佣他人,进行投票,让他们的排名降低,以减少攻击的数量。
Stuart Madnick:在几年内,将会有超过1000亿个联网设备、物联网。要给1000扇门上锁是一回事;想象一下,要给100万甚至1000亿扇门上锁。所以,攻击对象的数量正在迅速增加。
还有一个问题,将以其他方式威胁我们。一年前,我在休假,我在尼斯大学的汽车遥测团队中工作。他们正在尝试从未做过的事情,比如自动驾驶等等。
我了解到,要完成这些事情极其困难。他们承受着巨大的约束,组件的成本,能量的消耗,空间大小的使用。他们要面对很多极具挑战性的工程问题。如果你有N项优先级事项,那么,网络安全,至少在一年前,就是N+1。他们必须处理的事情实在太多,他们只能说,‘我们只能先关注这些,其它的,以后再操心。’
部分原因是物联网很新,要面对的挑战很多,要把网络安全纳入关注因素非常困难。
因此,物联网安全组件并不是从一开始就构建的,而是之后再添加的?
Madnick:正在慢慢发生变化。但一年前,情况的确如此,我认为这仍然是大部分物联网项目的现状。
我的一位同事是一名顾问。他为一家正在推出某种物联网设备的公司工作。他们正准备推出一个设备,然后他们意识到,这个设备会受到某些类型的网络安全攻击,而他们之前没有考虑到。
他们意识到,他们设计中的计算能力,不允许他们进行软件的修改,使产品更加安全。他们面对一个决定。我们是按计划,在本月发布产品呢,还是重新设计,花费六到八个月的时间,并可能失去市场?
你猜他们做出了什么决定。提示:产品推出了。
你非常重视对于物联网基础设施的攻击。能给我举一个例子吗?
Madnick:土耳其管道爆炸,就是一个例子,当然,土耳其否认这是网络攻击,声称这只是一个故障。但其他分析师指出,这就是一个网络攻击。但有趣的是,这次网络攻击显然是通过最近增加到管道中的安全摄像头发起的。
因此,这一安全摄像头,并没有成为一个安全设备,而是成为接入设备。讽刺的是,攻击者除了引起管道爆炸,据说,他们还抹去了监控录像,并切断了报警系统。有人告诉我,土耳其中央控制人员意识到有爆炸发生,是有人看到四英里之外,天空中有火在燃烧。
我之所以提到这件事,是因为现在的热门单品之一,就是这些互联网安全摄像头,你可以把它们放置在你的屋外,或屋内,用于监视你的宝宝等等。我被告知,这些设备中的50%仍然保留它们的默认密码。
美国政府在保护关键基础设施上,投入足够吗?
Madnick:嗯,从积极的一面来看,你可能已经看到,奥巴马总统最近宣布……对于网络的投入将增加到190亿美元。因此,至少投入的钱越来越多了。
我们担心,投入的方向被误导了,很多人认为只要能够有一个更好的密码系统,所有的问题都能解决。所以他们几乎不关注任何企业,管理,文化上的问题。
与网络安全相关的企业和文化问题,是麻省理工学院重点关注的研究方向,你是其负责人。
Madnick:我们重点关注的是人为元素。各种报告显示,50%到70%的网络攻击都是由内部人员教唆或协助的。更宽泛的来说,如果,作为一个房主,在你购买安全摄像头时,不改变它的密码,我就认为你是网络攻击的一个助力因素。人类的作为或不作为都是目前的主要问题。如果你把钥匙给别人或者放在门垫下面,那给你的门装锁是没有意义的。
这就是为什么,在我们的研究中,我们更关注管理和企业因素,这些被其他人忽略的因素。
比如?
Madnick:让我用几个例子,来回答这个问题。我在麻省理工学院斯隆商学院工作,相邻的建筑在过去的一到两年中,经历了翻新。很长一段时间,外面都有脚手架。如果你在过去的四到五个月内,来过麻省理工学院,你就会看到脚手架上,有一张10英尺*10英尺大小的海报。上面是一个工人的照片,在他的手里,他拿着一张家人的照片。他上面有一个标语,写着,‘我知道为什么安全是很重要的。’言下之意就是,我的家庭需要我。如果我不安全,我受伤了,就会伤害我的家庭。
如果你去一家工厂,最有可能的是,你会看到门上有一个标语,写着,‘距离上次工业事故,已经过去570天了。’你什么时候在计算机机房,门上可以看到一个标语,写着‘距离上次网络攻击,已经过去50毫秒?’
我的解释很长,我们想要创造的,是一个网络安全纪律。
我知道你的关于网络安全的研究是基于一个麻省理工学院的模型,称为STAMP (Systems Theoretic Accident Modeling and Processes),一种减少和减轻工业事故的方法。
Madnick:是的,STAMP是主要的研究来源。麻省理工学院研究STAMP已经20年了。它被用来分析挑战者号航天飞机爆炸。
STAMP如何应用于网络安全?
Madnick:有几个方面。当你分析很多小型网络攻击,或任何类型的事故,你通常会发现最终原因是人为错误。‘她在桌子上留有一张写有她密码的纸条,’之类的原因。这个问题的原因就是如此。
我们相信,在大多数情况下,人们不会故意想创造工业事故或网络事件。通常,是他们周围的激励制度,企业架构,和企业文化,影响着他们的行为。这是STAMP在网络安全中,首要关注的总体。