国家的国家安全最高领导人不相信网络安全社区的每一个专家对网络攻击的警告是有效的,和现在有一些影响力越来越大的后退。
美国的国家安全最高领导人相信奥巴马总统和国会的领导,美国的风险可能发生“网络珍珠港事件”或“数字9/11”如果不采取有力的措施改善防守和进攻对敌对国家网络安全功能。
但领导人,国防部(DoD)部长帕内塔(Leon Panetta)和国土安全部(DHS)部长纳波利塔诺(Janet Napolitano)没有,然而,相信每一个网络安全专家社区,和现在有一些影响力越来越大的后退。
批评者认为认为灾难性的网络攻击的威胁不仅极大地夸大了,但最好的方法来防止多个风险存在是不同意更好的防火墙或者进攻打击潜在的攻击,但“构建安全”到国家关键基础设施的运行的控制系统。
Bruce Schneier、作者、BT技术安全总监,经常被描述为一个安全“大师”并没有支持的他的观点在两年前的一场辩论网络战争威胁”已经被严重夸大。”He said that while a major attack would be disruptive, it would not even be close to an existential threat to the U.S.
“这利润率(损害),”他说,补充说,即使使用术语“战争”只是一个“简洁的措辞方式来吸引人们的注意力。威胁和弱点是真实的,但他们不是战争的威胁。”
(参见:桑迪后,国土安全部寻求安全的网络预订]
Gary McGraw Cigital首席技术官,最近声称,虽然现有控制系统“充斥着安全漏洞”,因为他们是过时的,没有设计时考虑到安全,试图保护他们先发制人的攻击威胁将是危险的和徒劳的。
麦格劳,谁一直在鼓吹多年来“build-security-in”咒语,高度怀疑声称政府正在更好地“归因”——了解到底是谁发动的攻击。
“如果他们解决了,他们需要告诉我们核心安全人他们是如何做到的,因为我们不相信他们,”他说,并指出,一个主要的报复一方没有发动攻击可能比最初更灾难性的攻击。“主动防御”,通过消除漏洞的控制系统,是一种更好的方法,McCgraw说。
除了归因问题,麦格劳写道,cyber-offense敌人的能力不可能被攻击摧毁了。从拉尔夫·兰纳引用估计,安全顾问破解了Stuxnet恶意软件,他说,虽然这需要900亿美元开发核潜艇舰队,网络武器计划旨在加强军事目标成本更像10亿美元。和一个一次性攻击关键基础设施可能会花费500万美元,他说。
创建此类“cyber-rocks”,他说,很便宜。“买cyber-rock更便宜,因为零日攻击存在在公开市场上出售给出价最高的人。”
没有意义,“释放cyber-rocks从我们的玻璃房子,因为每个人都可以或会cyber-rocks,”他写道。
除了Schneier和麦格劳,雅各布•奥尔科特好港口负责人咨询和过去的顾问和首席谈判代表综合网络安全立法参议员杰伊。洛克菲勒(D-WVa),指出他撰写的一篇论文“表明,所有者和经营者的关键基础设施可以实现长期节约成本显著降低网络采用安全风险发展。”
为什么不是这个概念更有说服力对国家安全的领导人在华盛顿?
Schneier说,多年来,本周又说,网络攻击威胁是“被严重夸大的理由”和“关于金钱和权力。”
“有大量的资金在政府合同,和真正的钱是在吓唬人,”他说。
麦格劳表示,军方领导人“冒犯感兴趣的东西,因为他们认为他们是战场上的士兵。”In his paper, he contends that offense is sexier than defense.
“要克服的一个问题是利用是性感和工程,嗯,不性感,”他写道。“我经历过和我自己的书。黑帽“负面”的书,如利用软件的比白色的帽子“好人”书的软件安全的比例3:1。”
但乔尔·哈丁,一个退休的军事情报官员和信息作战专家,说也可能因为不是每个人都在安全社区同意anti-offense视图。“有一个巨大的网络安全专家呼吁关注。这是一个刺耳的意见,”他说。但他不同意,国防是足以击败甚至阻止攻击者。
”从本质上,零日漏洞使用漏洞不防御,”他说。“直到我们有人工智能预测未来攻击的性质和类型,并提供方法来阻止他们,防御风险。”But he does agree that attribution remains imperfect.
•奥尔科特说,好消息是,他和其他政府的声音被听到。他指出,“构建安全”页面在国土安全部网站,倡导构建安全软件,甚至包括Schneier的引用。
但Schneier说只要“战争”是最重要的描述,夸张将继续和响应将会不那么有效。“当你使用战争隐喻,某种类型的解决方案出现,”他说,“虽然警方隐喻带来了一种不同类型的解决方案。”
“现在的对话由国防部和间谍,”麦格劳表示。“如果你认为安全是你的手,安全工程的手指可能成为你的右手小拇指——这是足够大的手指,而不是一个巨大的网络安全的一部分。”
“我们真正需要做的就是重新审视安全工程,”他说。
这个故事,“安全专家推回到“网络珍珠港”警告”最初发表的方案 。