威胁的数量继续扩大。现在是科技行业开始拥抱解决方案的时候了。
本周亚马逊网络服务(Amazon Web Services)的中断再次提醒人们,互联网安全仍未完全到位。
亚马逊不是二级云服务提供商。它是地球上最大的云计算公司之一。如果亚马逊都做不好,很难想象还有谁能做到。该公司的简单存储服务(Simple Storage Service,又名S3)是攻击的目标,这个在线存储启动并运行大约花了5个小时。
与其他停电相比,这次的损失很小。私人数据似乎没有遭到黑客攻击,这很好,因为美国证券交易委员会是亚马逊S3的客户之一。作为一个参考,雅虎遭受了连续三次攻击,黑客获得了至少15亿个账户的数据。塔吉特百货2015年的数据泄露导致4000万客户的数据泄露。
目前有四个主要问题,需要采取一些补救措施。这些问题包括:
1.现有的安全协议是不够的。金融机构等大公司指出,他们对传输层安全性及其前身安全套接字层的遵从是行业最佳实践。事实是,这些更像是攻击者的减速带,而不是无法穿透的力场。它们作为行业最佳实践提供了法律辩护,但仅凭它们本身是完全不够的。
2.遗留基础设施只能提供这么多保护。的数量新的威胁在黑暗网络上激增,就像世界末日电影中的场景,自然或邪恶的力量威胁着毁灭文明。(互联网安全中心有一份每日记分板这些威胁。)升级是必须的,但也很昂贵。
3.黑客分享他们的信息。政府和企业很少这样做。
4.任何连接的设备都可能与其他连接的设备一起产生问题,无论它们看起来多么便宜或微不足道。这是发生在Dyn分布式拒绝服务攻击(DDoS)。
这些问题没有单一的解决方案,但可以采取一些措施,使未来的攻击对网络攻击者来说不那么有利可图。
首先,安全性需要在系统级别进行设计。虽然到目前为止,大多数攻击都是在软件或网络层面,但损害硬件和嵌入式软件的安全有可能造成更大的破坏。获得硬件的访问权限,你就有可能获得远不止一家公司的访问权限。
虽然芯片行业一直专注于硬件-软件协同设计,但真正需要的是硬件-软件-安全协同设计。安全性需要包括从混淆技术和身份验证到信号路径的完全分离,这些设备中使用的黑匣子IP的安全认证,以及设备中使用的每一块硬件和IP的端到端供应链跟踪。
此外,需要在所有级别监控安全性。连接到Internet的设备应该被识别为安全或不安全,或者介于两者之间。至少,该设备的用户应该得到提醒。但随着网络的升级,他们也应该有能力拒绝可能导致整个网络瘫痪的设备。这意味着许多这些设备将需要某种程度的现场升级能力来应对新的威胁,并且/或网络将需要在出现问题时将它们拒之门外的能力。这将需要另一层面的监管来防止垄断的形成。
解决这类问题的关键在于整个科技行业,尤其是硬件和软件行业。否则,将会实施更严厉的措施,比如让人们注册使用互联网(这最终将导致网络中立性的消除),以及要求人们在网上使用真实姓名(这是有人建议过的,但迄今为止从未实施过)。
构建你想要的解决方案总比拥有一个你不想要的解决方案要好。但是,随着威胁的数量继续增加,这些攻击的影响继续扩大,在没有外部干预的情况下解决这些问题的窗口正在缩小。
有关的故事
侧通道攻击使设备容易受到攻击
攻击载体的数量和类型都在增加,因为世界上越来越多的地方连接在一起,容易受到黑客的攻击。
物联网安全风险增加(2)
Mirai, Shodan,安全漏洞在哪;从根本上建立信任链;如何保障未来安全。
物联网安全风险增长(上)
侧通道攻击、僵尸网络、勒索软件都随着对联网设备的攻击变得越来越复杂而隐现。
|
|
|
|
|
|
|
|
留下回复