Counterpane的创始人兼首席技术官布鲁斯·施奈尔概述了企业如今面临的网络犯罪形势。他向《计算机世界》的斯特凡•哈蒙德解释说,内部人员是一个问题,管理安全服务是一个解决方案,而一个带着电锯和卡车的坚定团队是一个大问题
计算机安全似乎永远不会变得更好,只会更糟。为什么?
因为安全根本不是一个技术问题,而是一个人的问题。虽然技术在不断改进,但日益增加的复杂性使问题变得更糟。
这是战争。但它更有趣,而且总是无处不在。
过去是“脚本小子”写愚蠢的病毒,但现在更危险了。
大约从五年前开始,黑客活动从业余爱好者的活动变成了专业犯罪活动。我们可以从当前病毒和蠕虫的结构,以及垃圾邮件、身份盗窃和欺诈的兴起中看到这一点。目前的威胁代表着刑事追捕——这是一家营利性企业。罪犯比黑客危险得多。
他们也更加专业。大规模的网络犯罪是困难的。偷钱只是第一步。然后你必须把钱转移到一个虚拟账户,可能是离岸账户,然后把它转换成你可以提取和使用的东西。因此,为了让这一切顺利进行,必须建立一个完整的金融后端。
所以这起犯罪正在向高端市场转移。我们看到有组织的犯罪团伙利用身份盗窃和其他网络诈骗来赚钱。他们大多来自俄罗斯和东欧。
为什么是这些地区?
因为缺乏严肃的执法。俄罗斯/东欧是这类犯罪活动的主要滋生地,亚洲是第二。然后是撒哈拉以南非洲和南美洲。基本上,你要找的地方电脑犯罪法无效,警察受贿,没有引渡条约。所以你去找警察不会去的地方。毕竟,如果你从国外的银行偷钱,他们为什么要麻烦呢?
你估计目前有多少被网络罪犯偷走了?
我们不知道。很多事情都没有被报道,有很多受害者甚至不知道他们被袭击了。
你认为在执行方面有什么进展吗?
不是真的。这取决于“推动”的位置。美国政府把恐怖主义作为其最高优先事项,因此他们正在推广身份证,并将重点放在机场安全上。与此同时,媒体行业正在推动音乐和电影的数字版权管理。没有人在推动网络犯罪——这不是“性感”
为了帮助执法,我们真的需要良好的信息共享——例如,国际刑警组织。我们需要统一的法律和跨国界起诉的方式。但是,我们对恐怖主义的恐惧正在吸收本可以用来打击网络犯罪的能量。
好吧,但我们说的是一大笔钱被系统地偷走了。
它是系统性的,它可能会极大地影响互联网的未来。我们还没有到人们说“电子商务很危险”的地步。但这是有可能发生的。在人们开始认真质疑互联网商务的安全性之前,在每个人都听说他们的一个朋友输了很多钱之前,我们还要失去多少个基点?我们正处于一场严重的信心危机的风口浪尖,而网络的发展速度比我们现有的许多进程都要快。
执法往往比网速慢,但确实想抓住坏人。他们应该做什么却没有做?
我们需要更善于起诉。安全来自威慑,这意味着更高的定罪率和更好的判刑。通过更好的犯罪法、更高的定罪率和更精明的警察,你才能得到这些。这是一个经济问题;我们需要提高成为罪犯的成本和风险。
在企业级上,单个企业可以做些什么来帮助“锁定事情”?
就像你在一个不能信任警察的世界里做的一样你必须自己去做。你雇了私人保安。在互联网上,这意味着购买防火墙、ids,并希望雇佣Counterpane来监控它们。你必须对自己的安全负责,因为你不能依赖更大的社会来为你做这件事。
内部或外包?
不是很好。现在的趋势是外包,这有很多原因。但即使是像设置防火墙这样简单的事情,你也不能依赖社会——你必须购买安全。
我们读到网络游戏成为勒索目标的报道。
是的。在线游戏,在线赌博,在线色情:“边缘”产业。这些是目前的主要目标。
目前还没有对此进行宣传,但它正在成为主流。受到冲击的并不是最大的公司。那些巨大的跨国公司——那些把自己的名字写在大楼顶上的公司——他们不会上当的。但中型企业可能会开出支票。这是一个有趣的小众犯罪,我们现在看到得越来越频繁,但没有人会在记录上发言——受害者不想引起人们对自己的注意。
但是人们会付钱的。
哦,是的,当然。人们付出了代价。
但这难道不会激励犯罪分子出去寻找新的目标吗?
这让他们有动力去找别人。如果你是罪犯,而我能让你攻击其他政党,那我赢了。这是一个典型的“囚徒困境”问题:个人利益与集体利益是对立的。
这是怎么做到的呢?
它的运作方式是,金额足够低,所以你付钱,坏人就会放过你。这是保护费。政府机构的动机可能是摆脱犯罪,但公司的动机是转移犯罪。如果我是一家安装了安保系统的商店,而一个窃贼袭击了隔壁的商店,那就是赢了。但如果我是一个警察部门,那是失败的——我没有降低犯罪率。所以很多屈服于勒索的人实际上是在对坏人说:给你一些钱,走开,去攻击别人。最好是我的竞争对手。
要打破这种循环,政府需要采取更有力的威慑措施。
我们谈论的是网络安全,但当然物理安全也是等式的一部分。
我刚在博客上写了一件事:有人闯入了一个数据中心,偷走了很多数据。雷竞技电脑网站他们用的是电锯和卡车。
他们在墙上挖了个洞,偷走了10台服务器。当然,数据是未加密的,因为服务器是在线的。很可能是内部人员干的:有人知道该带什么,摄像头在哪里,该穿过哪面墙。
由于网络犯罪的风险,越来越多的内部人士受到审查。
当然,但这一直都是事实。对于企业来说,最薄弱的环节往往是内部问题。你的人可能会在你的组织中造成混乱,所以你必须雇佣值得信赖的人,你必须尽量减少你对他们的信任,你还需要做一些良好实践的教育。
是哪一个?
不要把工作带回家,选择好的密码……但你必须假设这一切都将失败。不管怎样。但24小时后投标截止时,所有的安保措施都失效了,如果有必要,你可以把工作带回家。没人会说你做错了,即使你破坏了安保。因为当安全性与业务功能发生冲突时,安全性就会损失。
宏观上也是如此。
是的。你不能说:“对不起先生,你不能和这家马来西亚公司合资,马来西亚的网络不安全!”你的老板会说:“闭嘴,我们正在赚数百万美元。”他们是对的。你不能告诉Amazon他们不能接受没有SSL的订单,他们当然可以!安全的工作就是尽你所能,他们不会因为禁止黑莓或拇指驱动器或说“不,你不能那样做”而获胜。
这很难,因为技术发展太快了。它的运动速度比我们人类将其内在化的能力还要快。一旦你弄明白了,它就会改变。我们已经到了不能依赖人们拥有良好直觉的地步,因为我们没有时间发展这种直觉。
根据IT部门的报告,大多数恶意软件似乎都影响了Windows操作系统。一些人说这是因为市场份额,另一些人说操作系统天生就不安全。你的意见是什么?
答案是:我们不知道。但可能两者兼而有之。
在过去的几十年里,Windows做出了许多糟糕的安全选择,(微软)正拼命地试图撤销这些选择,这是一个缓慢而丑陋的过程。Mac做出了更好的安全选择——他们似乎处于更好的基础上。
但如果你是一个写病毒的坏蛋,而且你写的是针对Windows的,你就有十倍的潜在目标。恶意软件的经济性意味着你会瞄准这个平台。但对用户来说,这无关紧要——我妻子有一台Mac电脑,每次(基于windows的)安全问题出现时,她都会笑一笑。是因为Mac(操作系统)更好,还是因为没有人瞄准Mac?她不在乎。她是安全的。她是更安全的。
你用什么?
我使用Windows。多年来,它一直是一个企业标准,只是使用我的公司支持的平台更容易。
桌面Linux怎么样?
和Mac一样,它是一个不那么脆弱的平台——当然是一个开箱即用的更安全的操作系统组合,而且为它编写漏洞的人也少得多。
你在1999年创建了Counterpane——这家公司的起源是什么?
我创建它是因为有很多安全产品被滥用,缺少的是人类的专业知识。我们一直都是一种服务——我们从不建造任何东西,我们只是让已经存在的东西发挥作用。实时安全监控和管理以及许多相关服务。我们现在有大约100名员工,大约一年前被英国电信收购。
英国电信,以其惊人的智慧,并没有打破我们。认真地这么多类似的收购都会演变成灾难,但英国电信基本上让我们孤立无援。他们给了我们全球的影响力,因为在我们主要在美国运营之前,与英国电信的合同类型相比,Counterpane是一个舍入误差。我们正在做比以往任何时候都多的生意,一批国际公司继续给我留下深刻印象。
了解更多关于这个主题的信息
这篇题为“内部人对网络安全构成威胁”的文章最初由《计算机世界》 .