是否可以保护互联网?如果是这样,它会花费什么?
根据开放Web应用程序安全项目(OWASP)基金会的全球董事会成员Jim Manico的说法,它是。在最近的一次交易中,他建议价格为40亿美元“公开信”奥巴马总统。
Manico说,如果政府愿意给他写一张这么多钱的支票,“或者任何被认为足以引起改变的钱——我将向你展示如何保护驱动现代企业和互联网的软件。”
如果他是对的,这可能是联邦政府所做的最好、最有效的投资之一。
是的,40亿美元是一大笔钱——足以让一个人跻身1%收入阶层的顶端。但是这还不到每年网络犯罪造成的损失的1%报告其中,有1000亿美元来自美国
与2015年近3.2万亿美元的联邦预算相比,这甚至不是一个舍入误差——仅略高于1%的十分之一。政府不到半天就花了这么多钱。
吉姆Manico,开放Web应用程序安全项目(OWASP)基金会全球董事会成员
但是,当然,问题是这是否可能。专家们普遍一致认为,不存在100%的安全。是什么让人们认为,花40亿美元甚至4000亿美元就可以保护万维网?
这取决于安全的定义。在一次采访中,Manico同意没有完美的安全性,但表示确实可以改进。
他说,40亿美元“是一个任意大的数字,但是就足够了,”实际上已经完成了它,或者获得长期的流程滚动并雇用合适的团队来解决这个问题。“
他注意到奥巴马的信中,安全的路线是改善“标准,框架和语言开发人员使用来构建复杂软件”,补充说该技术已经存在,以保护软件免受SQL注入和跨站点脚本等威胁的保护(XSS)。
Rapid7的安全布道者马克•斯坦尼斯拉夫(Mark Stanislav)对此表示一致,他说完美是不可能的,但完美也不是重点。他说,关键在于,只需花费远远低于40亿美元的资金,互联网就可以比现在安全得多。
“信息安全行业已知如何有效减少SQL注入,跨站点脚本和缓冲区数十年的常见应用程序安全错误,”他说,“但虽然框架和标准恳求并使开发人员能够防止这些问题,但在那里仍然可能导致他们的介绍。“
马克斯坦尼斯拉夫Rapid7的高级安全顾问
斯坦尼斯拉夫说框架仍然有虫子,他说可以固定数十万美元的价格,而不是数十亿美元,但他争夺更大的问题是缺乏开发商的教育,谁“需要知道为什么他们为什么做错了,不仅有望通过死记硬背实现一定方式的代码。“
实际上,他说,如果每个组织都正确实施,“双因素认证,休息和静止数据加密,以及刚性网络分割,您就会看到数据丢失统计数据如一吨砖。”
制导软件公司战略合作伙伴关系主管安东尼·迪·贝罗也认为有可能进行重大改进,但他说这不仅仅是钱的问题。他说:“主要软件公司的意志力和合作比任何一美元都难以保证。”他补充说,如果他有40亿美元来解决互联网安全问题,他不会把它花在改善软件上。
安东尼·迪·贝略,战略伙伴关系主任,指导软件
“我会专注于安全基础设施的支出,重新架构互联网,支持安全又快速的通信,并将安全性思想控制到网络硬件,固件,路由器,交换机等,”他说。
Bricata首席战略官约翰•皮尔克(John Pirc)同意迪•贝罗的看法,认为这不仅仅是钱的问题。但他认为这不仅仅是意志力的问题。他说:“这需要改变个人的思维方式,以及安全软件开发方面的教育。”他指出,在软件开发这个竞争激烈的世界里,压力在于将产品推向市场。
Developers and vendors, “don’t intentionally let insecure code go to market, but the main focus is time to market which equates to money, and it’s a fine balance of risk to the consumer or enterprise that is decided upon from the software vendor,” he said.
Manico说,他认为即使开发者不彻底改变思维方式,也有可能提高安全性,因为他们倾向于使用可用的构建模块。他说,如果最流行的开源软件框架和网络语言变得更安全,应用程序也会更安全。
他承认,这样的努力需要数年才能完成,并将其与政府改善建筑施工的倡议进行了比较,后者将“创造更好的建筑规范标准,更重要的是,提供技术支持,包括动手支持,那些生产建筑设备和其他建筑构件以达到这些标准的制造商。”
“许多软件是通过抓住'Pre-Fab Home,'然后修改它的免费副本构建,然后”他说。“如果我们有预先制造商将更好的安全性集成到他们的产品中,它将在许多行业提供更好的安全性。”
他的同位专家认为,这将有所帮助,但请注意,问题很复杂,并通过敌人做得更多,旨在继续他的类比,将不断地以新的方式来击倒改进的建筑物。
Stanislav表示,这不是互联网本身,始终是问题。“在许多情况下,它是连接到它的系统。当然,可能会有更好的互联网数据安全性,如更新的协议和更固有的加密,但最终不会发生由于ISP甚至是网络供应商而不是网络供应商,而是由于密码弱或错误的代码。“
Di Bello指出,就像其他人一样,这种技术不能总是胜过人类因素。“网络钓鱼是一个攻击载体的一个很好的例子,这些攻击矢量将不受应用程序安全的变化不受干扰,”他说。“但是,如果新的档案通信协议可以验证电子邮件的来源,则可以显着减少网络钓鱼。”
Pirc说自己是“安全编码的坚定支持者,但我不认为这能解决问题。”
约翰Pirc首席战略官Bricata
虽然这可能会暂时减缓攻击者的速度,但“他们很快就会学会利用该软件的其他方法。”有了标准和框架,除非人们不再把它们当作复选框,否则它们将是无效的。”
现实,Stanislav表示,“生态系统始终改变,单独的框架/标准不能阻止通过编写编译器或更新解释器的软件工程师来阻止误坏所固有的错误。
“一百万行代码中的一个错字可以是违规和数据安全之间的区别。”
这个故事,“确保”网 - 以什么价格?“最初是发表的CSO .