花多少錢能保證網(wǎng)絡(luò)安全

云賀

政府和企業(yè)作為防御者，應(yīng)將資源投入到那些最緊迫、最有可能發(fā)生網(wǎng)絡(luò)威脅的領(lǐng)域。

近年來(lái)，全球頻發(fā)網(wǎng)絡(luò)安全事件。2015年5月，蘭德公司對(duì)6000余名美國(guó)成年人展開(kāi)了一項(xiàng)調(diào)查，結(jié)果顯示：在2014年6月到2015年6月，26%的被調(diào)查者收到過(guò)個(gè)人信息遭泄露的通知。蘭德公司據(jù)此預(yù)測(cè)：僅過(guò)去一年，美國(guó)就有6400萬(wàn)成年人的個(gè)人信息遭到泄露——這相當(dāng)于超過(guò)1/4的美國(guó)成年人口。

針對(duì)日益突出的網(wǎng)絡(luò)安全問(wèn)題，蘭德公司2016年6月發(fā)表了題為《網(wǎng)絡(luò)犯罪：你需要知道什么》的文章，對(duì)該公司今年發(fā)布的若干網(wǎng)絡(luò)安全系列報(bào)告進(jìn)行了梳理和總結(jié)，主要從網(wǎng)絡(luò)黑客和防御者角度出發(fā)，探討網(wǎng)絡(luò)犯罪的現(xiàn)狀、網(wǎng)絡(luò)防御工作的困境及未來(lái)走向。

“網(wǎng)絡(luò)黑市”熱鬧而隱秘

蘭德公司的研究人員將售賣網(wǎng)絡(luò)犯罪工具和用戶信息的市場(chǎng)，形容為一個(gè)熱鬧的“集市”。在這個(gè)“網(wǎng)絡(luò)黑市”中，黑客和其他網(wǎng)絡(luò)犯罪者像商人一樣販賣各種服務(wù)與產(chǎn)品，并通過(guò)隱秘的聊天室或論壇接頭和交易。購(gòu)買者可以很容易地在黑市里找到任何想要的東西：用戶的醫(yī)療記錄、可供雇傭的黑客、惡意軟件開(kāi)發(fā)工具包、僵尸網(wǎng)絡(luò)病毒、勒索軟件等等。

據(jù)蘭德公司估算，目前“網(wǎng)絡(luò)黑市”的價(jià)值至少有數(shù)十億美元。

“網(wǎng)絡(luò)黑市”的內(nèi)部運(yùn)作復(fù)雜有序，且組織嚴(yán)密。在黑市中，參與者們分工明確、層級(jí)分明，包括維持秩序的管理員、從事犯罪工具研發(fā)的專家、中介、供應(yīng)商、中間商、普通成員等。此外，黑客們按照專長(zhǎng)不同，甚至已經(jīng)打出了自己的“品牌”。俄羅斯的黑客們以提供高質(zhì)量的產(chǎn)品與服務(wù)聞名;越南和中國(guó)的黑客群體分別主攻電子商務(wù)和知識(shí)產(chǎn)權(quán)領(lǐng)域;而美國(guó)的黑客們則主要從事金融犯罪。

蘭德公司在今年發(fā)布的網(wǎng)絡(luò)安全系列報(bào)告之一——《網(wǎng)絡(luò)犯罪工具與數(shù)據(jù)失竊的市場(chǎng)》中估算，目前，“網(wǎng)絡(luò)黑市”的價(jià)值至少有數(shù)十億美元。而造成“網(wǎng)絡(luò)黑市”迅猛發(fā)展的原因主要有三方面：

第一，“網(wǎng)絡(luò)黑市”的門檻相對(duì)較低。無(wú)論是黑客還是購(gòu)買者，都可以通過(guò)互聯(lián)網(wǎng)較為容易地進(jìn)入市場(chǎng)進(jìn)行買賣。因此，相比非法藥品交易等犯罪市場(chǎng)而言，“網(wǎng)絡(luò)黑市”相關(guān)產(chǎn)品和服務(wù)的供應(yīng)量和需求量都有增無(wú)減。

第二，大多“網(wǎng)絡(luò)黑市”所提供的產(chǎn)品和服務(wù)都能通過(guò)互聯(lián)網(wǎng)即時(shí)送達(dá)，這節(jié)省了運(yùn)輸費(fèi)用，從而降低了成本，使網(wǎng)絡(luò)犯罪成為“高盈利”的犯罪領(lǐng)域。

第三，如上文所述，“網(wǎng)絡(luò)黑市”擁有嚴(yán)密的組織形式，且市場(chǎng)運(yùn)營(yíng)嚴(yán)格遵守相關(guān)規(guī)章制度。蘭德公司的研究人員認(rèn)為，“網(wǎng)絡(luò)黑市”在這方面甚至超越了許多合法市場(chǎng)。

網(wǎng)絡(luò)防御者的困境

為保護(hù)網(wǎng)絡(luò)安全，政府和企業(yè)每年都投入了大量資金。《網(wǎng)絡(luò)犯罪：你需要知道什么》一文估測(cè)：現(xiàn)在全世界每年在網(wǎng)絡(luò)安全領(lǐng)域的總投入約800億美元。然而，大量投入并不意味著實(shí)現(xiàn)了成功的網(wǎng)絡(luò)防御。

無(wú)論是從企業(yè)還是從政府的角度來(lái)看，較為成功的網(wǎng)絡(luò)防御就是將網(wǎng)絡(luò)安全的成本最小化，即把投入網(wǎng)絡(luò)安全領(lǐng)域的資源以及遭受網(wǎng)絡(luò)攻擊的損失，都降到最低?？墒牵m德公司的研究人員在對(duì)18名大型企業(yè)首席信息安全官進(jìn)行調(diào)查采訪后發(fā)現(xiàn)，實(shí)際上網(wǎng)絡(luò)防御者們普遍面臨著這樣困境：他們不知道目前投入在網(wǎng)絡(luò)安全領(lǐng)域的資源（包括資金、人員配備等）是否夠用。這主要體現(xiàn)在兩方面——

首先，在網(wǎng)絡(luò)攻擊真正到來(lái)之前，信息安全官很難預(yù)估其可能帶來(lái)的損失。如何在“將投入最小化”和“將損失最小化”之間找到一個(gè)最理想的平衡點(diǎn)，成為一大難題。在蘭德公司的采訪中，沒(méi)有一位信息安全官可以清晰地闡釋“為什么將投入金額定為某一個(gè)具體數(shù)字”這類問(wèn)題。甚至有信息安全官悲觀地表示，他們只有在又一次網(wǎng)絡(luò)攻擊成功之后，才知道此前投入的資金依舊不夠。

其次，相比于網(wǎng)絡(luò)攻擊帶來(lái)的直接經(jīng)濟(jì)損失，名譽(yù)與公信力的受損才是政府和企業(yè)最為擔(dān)憂的事情。蘭德公司的文章中指出，由于涉及到名譽(yù)問(wèn)題，許多政府和企業(yè)不惜斥巨資未雨綢繆。然而，這些防御投入是否必要，卻有待商榷。

以2014年摩根大通銀行賬戶泄露事件為例。盡管當(dāng)時(shí)有約8000萬(wàn)個(gè)客戶的信息遭遇泄露，但黑客們所做的只是將用戶的賬戶名稱、電話號(hào)碼和住址等信息收集起來(lái)。截止到2014年底，沒(méi)有任何關(guān)鍵信息被盜，也沒(méi)有任何賬戶被攻擊或者資金被轉(zhuǎn)移。這次事件并沒(méi)有造成實(shí)際的經(jīng)濟(jì)損失，可摩根大通卻因?yàn)闆](méi)能保護(hù)好客戶信息，名譽(yù)大受影響。目前，摩根大通每年在網(wǎng)絡(luò)安全方面的投入是2.5億美元，且還有繼續(xù)增加的趨勢(shì)。

其實(shí)，許多時(shí)候網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)往往被企業(yè)過(guò)分夸大，導(dǎo)致一樁無(wú)害的信息泄露事件也會(huì)引起極度恐慌。正如蘭德公司的高級(jí)管理學(xué)家、網(wǎng)絡(luò)安全系列報(bào)告作者之一馬丁·利比奇（Martin Libicki）所說(shuō)：“許多網(wǎng)絡(luò)安全方面的花費(fèi)都是出于我們的恐懼，但實(shí)際上，我們所恐懼的事情卻很少發(fā)生?！?/p>

網(wǎng)絡(luò)安全形勢(shì)愈加復(fù)雜

面對(duì)網(wǎng)絡(luò)犯罪市場(chǎng)和網(wǎng)絡(luò)防御工作的現(xiàn)狀，蘭德公司的研究人員在《網(wǎng)絡(luò)犯罪：你需要知道什么》一文中拋出了一個(gè)我們都無(wú)法回避的問(wèn)題：網(wǎng)絡(luò)安全的未來(lái)將是怎樣的？

顯然，未來(lái)的網(wǎng)絡(luò)安全形勢(shì)將更為復(fù)雜。隨著物聯(lián)網(wǎng)的發(fā)展，除了手機(jī)和筆記本電腦，醫(yī)療設(shè)備、家用恒溫器，甚至是廚房用品都將逐步實(shí)現(xiàn)在線互聯(lián)功能。根據(jù)全球權(quán)威IT研究與咨詢公司高德納（Gartner）的預(yù)測(cè)：到2020年，聯(lián)網(wǎng)設(shè)備的數(shù)量將是全球人口數(shù)量的三倍。這意味著：每一個(gè)設(shè)備都有可能成為黑客們攻擊的目標(biāo)，而這將為網(wǎng)絡(luò)防御工作帶來(lái)極大的挑戰(zhàn)。

不過(guò)，幸運(yùn)的是，目前網(wǎng)絡(luò)安全問(wèn)題已經(jīng)引起了政府和企業(yè)相當(dāng)程度的重視。從人員配備情況來(lái)看，無(wú)論是信息安全人員的數(shù)量還是影響力，現(xiàn)在與五年前相比都有了長(zhǎng)足的發(fā)展。與此同時(shí)，防御軟件在不斷改善、網(wǎng)絡(luò)安全工具的數(shù)量也在持續(xù)增多。這些雖然還不能從根本上解決網(wǎng)絡(luò)犯罪問(wèn)題，但至少能使其變得更加可控。

上述文章認(rèn)為，現(xiàn)在需要做的是換一種思考網(wǎng)絡(luò)安全的方式。政府和企業(yè)作為防御者，應(yīng)將資源投入到那些最為緊迫、最有可能發(fā)生網(wǎng)絡(luò)威脅的領(lǐng)域，而不是沉浸在由防御軟件供應(yīng)商或自己編織的噩夢(mèng)里。對(duì)普通用戶而言，網(wǎng)絡(luò)安全問(wèn)題還沒(méi)有引起人們的足夠重視。蘭德公司的研究人員在調(diào)查中發(fā)現(xiàn)，90%的受訪者表示他們會(huì)與泄露自己個(gè)人信息的企業(yè)保持商業(yè)往來(lái)。然而，用戶寬容的結(jié)果往往是：那些發(fā)生信息泄露或網(wǎng)絡(luò)攻擊的公司，會(huì)失去做出改變的動(dòng)力。