每39秒就有一次网络攻击。政府最终是否有能力进行反击?
这篇文章的一个版本出现在 淘宝网.它已被更新并在此转发。
似乎不管有多少个网络安全宣传月,有多少精英安全专家被空降到这里,或者有多少钱被丢进黑洞,大数据泄露的问题都在逐年恶化。它们是如此频繁,以至于这些天几乎没有主流新闻,除非它们是灾难性的。2020年,超过360亿条记录在恶意的网络攻击中被曝光,我们在等待着看2021年将有多少记录被收获。
威胁者不断地扫描机会,虽然不是每一次攻击都是灾难,但它们平均每39秒就发生一次。我们甚至还没有赢得这场战斗,坏人对我们数据的保卫者有巨大的优势。
然而,随着拜登政府将网络安全作为其任期内的一个早期优先事项,增加了100亿美元的资金,变化似乎正在酝酿。毫无疑问,这是朝正确方向迈出的一步,但这是否真的能对频率和复杂程度不断升级的网络犯罪产生影响?
网络威胁将需要一个(全球)村庄来解决
对日益强大的网络攻击的有效防御不可能只是少数国家的职权范围,不幸的是,长期以来一直缺乏一个有凝聚力的全面战略。然而,随着民族国家威胁的增加,许多政府正坐立不安,注意到了这一点。
影响美国政府的SolarWinds攻击是一个明确的警告,表明如果任何关键基础设施被攻破,可能造成的破坏。最近,联邦调查局发出警告,佛罗里达州的一个供水系统受到攻击,威胁者能够远程污染供水。他们在实现严重破坏之前就被阻止了,但一个更先进的攻击者可能会造成大规模的破坏,将生命置于危险之中。
慢慢地,但肯定的是,世界各地的政府正在加大对网络防御的投资。英国在网络安全领域的投资创下了纪录,并成立了一个新的工作队。澳大利亚加强了其网络安全战略(尤其是基础设施),而像以色列和丹麦这样的地方被认为是其网络项目的最佳选择。日本在网络防御方面排名第五;在2018年时任网络安全部部长的樱田义隆声明他从未使用过电脑之后,这是一张受欢迎的信任票。新加坡政府最近宣布,承诺对未来通信基础设施的人工智能和网络安全研究投资5000万美元,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来的科技领域时,强有力的、协调的全球网络安全应对措施是至关重要的,每个政府机构都应该把它作为一个关键的焦点来阐明。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,它们在过去几年中都增加了对政府主导的网络安全和专业知识的投资,似乎安全终于成为一个优先事项,而 "好人 "正在获得他们需要的东西以赢得这场战斗。
这当然有帮助,但这只是大局的一部分。这些资金可以买到超级专家团队(正如拜登的现金注入所发生的那样),全面的漏洞赏金计划,以及在发生灾难性漏洞时的顶级事件响应和缓解,正是这种网络防御方法确保我们仍然会取得最小的进展,无论有多少钱被扔到工作队和威胁响应。
每个政府都需要超越被动的安全措施,并将一些认真的努力(和资金)投入到更多的预防策略中。如果重点仍然是对成功的网络攻击作出反应,而不是努力从一开始就防止它们,那么无论多少钱都会降低日益增长的风险。一个真正的、积极主动的安全方法将看到预算被分配到基础设施的加固上,并推出有效的安全培训和技能培训,目的是从一开始就尽可能地减少攻击面。
网络安全技能差距可能永远不会缩小,但有浪费的潜力
世界各地对训练有素的专业安全人员的需求量很大,我们不太可能看到这些网络大师过剩的情况。然而,这就更需要政府和组织开始变得有创意,并更精明地利用他们所掌握的资源。
真正的网络防御方法始于参与软件开发和基础设施过程的每一个人都尽可能地对自己的角色有安全意识。开发人员尤其需要正确的安全培训和适合工作的工具,这样安全编码才能成为他们工作过程中的内在因素。这在很大程度上确保了常见的漏洞可以在它们出现之前得到解决。这本身就是一个强大的--更不用说更便宜的--步骤,可以在软件开发生命周期中进一步减少压力和返工。
我们需要加强以人为主导的网络安全最佳实践方法,它将获得更好的结果,而不是严重依赖自动化、工具和对已经嵌入和发现的问题的反应--如果我们看一下今天发生的违规事件的数量,这种策略显然是行不通的。
马蒂亚斯-马杜博士
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
每39秒就有一次网络攻击。政府最终是否有能力进行反击?
这篇文章的一个版本出现在 淘宝网.它已被更新并在此转发。
似乎不管有多少个网络安全宣传月,有多少精英安全专家被空降到这里,或者有多少钱被丢进黑洞,大数据泄露的问题都在逐年恶化。它们是如此频繁,以至于这些天几乎没有主流新闻,除非它们是灾难性的。2020年,超过360亿条记录在恶意的网络攻击中被曝光,我们在等待着看2021年将有多少记录被收获。
威胁者不断地扫描机会,虽然不是每一次攻击都是灾难,但它们平均每39秒就发生一次。我们甚至还没有赢得这场战斗,坏人对我们数据的保卫者有巨大的优势。
然而,随着拜登政府将网络安全作为其任期内的一个早期优先事项,增加了100亿美元的资金,变化似乎正在酝酿。毫无疑问,这是朝正确方向迈出的一步,但这是否真的能对频率和复杂程度不断升级的网络犯罪产生影响?
网络威胁将需要一个(全球)村庄来解决
对日益强大的网络攻击的有效防御不可能只是少数国家的职权范围,不幸的是,长期以来一直缺乏一个有凝聚力的全面战略。然而,随着民族国家威胁的增加,许多政府正坐立不安,注意到了这一点。
影响美国政府的SolarWinds攻击是一个明确的警告,表明如果任何关键基础设施被攻破,可能造成的破坏。最近,联邦调查局发出警告,佛罗里达州的一个供水系统受到攻击,威胁者能够远程污染供水。他们在实现严重破坏之前就被阻止了,但一个更先进的攻击者可能会造成大规模的破坏,将生命置于危险之中。
慢慢地,但肯定的是,世界各地的政府正在加大对网络防御的投资。英国在网络安全领域的投资创下了纪录,并成立了一个新的工作队。澳大利亚加强了其网络安全战略(尤其是基础设施),而像以色列和丹麦这样的地方被认为是其网络项目的最佳选择。日本在网络防御方面排名第五;在2018年时任网络安全部部长的樱田义隆声明他从未使用过电脑之后,这是一张受欢迎的信任票。新加坡政府最近宣布,承诺对未来通信基础设施的人工智能和网络安全研究投资5000万美元,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来的科技领域时,强有力的、协调的全球网络安全应对措施是至关重要的,每个政府机构都应该把它作为一个关键的焦点来阐明。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,它们在过去几年中都增加了对政府主导的网络安全和专业知识的投资,似乎安全终于成为一个优先事项,而 "好人 "正在获得他们需要的东西以赢得这场战斗。
这当然有帮助,但这只是大局的一部分。这些资金可以买到超级专家团队(正如拜登的现金注入所发生的那样),全面的漏洞赏金计划,以及在发生灾难性漏洞时的顶级事件响应和缓解,正是这种网络防御方法确保我们仍然会取得最小的进展,无论有多少钱被扔到工作队和威胁响应。
每个政府都需要超越被动的安全措施,并将一些认真的努力(和资金)投入到更多的预防策略中。如果重点仍然是对成功的网络攻击作出反应,而不是努力从一开始就防止它们,那么无论多少钱都会降低日益增长的风险。一个真正的、积极主动的安全方法将看到预算被分配到基础设施的加固上,并推出有效的安全培训和技能培训,目的是从一开始就尽可能地减少攻击面。
网络安全技能差距可能永远不会缩小,但有浪费的潜力
世界各地对训练有素的专业安全人员的需求量很大,我们不太可能看到这些网络大师过剩的情况。然而,这就更需要政府和组织开始变得有创意,并更精明地利用他们所掌握的资源。
真正的网络防御方法始于参与软件开发和基础设施过程的每一个人都尽可能地对自己的角色有安全意识。开发人员尤其需要正确的安全培训和适合工作的工具,这样安全编码才能成为他们工作过程中的内在因素。这在很大程度上确保了常见的漏洞可以在它们出现之前得到解决。这本身就是一个强大的--更不用说更便宜的--步骤,可以在软件开发生命周期中进一步减少压力和返工。
我们需要加强以人为主导的网络安全最佳实践方法,它将获得更好的结果,而不是严重依赖自动化、工具和对已经嵌入和发现的问题的反应--如果我们看一下今天发生的违规事件的数量,这种策略显然是行不通的。
