2018 年6 月17 日至21 日,以色列第八届网络周活动在特拉维夫隆重举行,来自世界各地的网络安全专业人士与决策者、企业家、投资者、专家学者齐聚一堂,共同讨论当今国际社会面临的网络安全威胁和网络技术的最新进展。本届网络周活动由Blavatnik跨学科网络研究中心(ICRC)、Yuval Ne’eman 科技与安全工作坊、以色列国家网络局、特拉维夫大学(Tel Aviv University)、以色列总理办公室、以色列外交部联合举办。作为中东地区最大型的年度网络安全盛会,本届活动共设置了圆桌会议、小组会议、研讨会、论坛、BSides 安全会议和竞赛等大小50 个活动,吸引了来自60 多个国家的8000 多名与会者。本届网络周活动的重头戏之一就是年度网络安全国际会议,6 月20日,以色列总理内塔尼亚胡拨冗出席大会并发表重要演说。他指出,人类面临的一个重大挑战就是要确保各种装置和设备的网络安全,任何一个新科技领域都会面临网络安全威胁。内塔尼亚胡在会议现场大屏幕上播放了模拟遭受网络攻击情景的幻灯片,假设本次会议刚刚遭到黑客攻击,会场每个人的银行账户都被冻结,信息正在发到敌人手中。他警告说,“这并非理论”,而是各国正在面临的威胁。
以色列总理内塔尼亚胡出席大会并发表重要演说
在全球背景下,网络攻击的数量呈指数增长,有时导致整个业务领域的全面瘫痪,与会者分享了他们对未来几年网络安全带来的挑战和机遇的经验和看法。
挑战1 :网络安全不是技术问题
虽然有一系列技术解决方案可以应对网络风险,但与网络安全相关的问题本身并不具备技术性。 政治、经济、社会、心理、商业和道德因素对于理解网络风险带来的挑战至关重要。此外,在网络领域,每一代新技术的迭代周期平均只有一年——这是一个非常短的周期,也决定了网络风险预测的难度。只有采取跨学科方法,才能更准确地预测哪些网络安全风险可能诱发城市、行业或商业混乱。以色列在2014 年成立的特拉维夫大学跨学科网络安全研究中心(IRCR)正是这种跨学科研究的一个范例,中心拥有约250 名研究人员从事硬科学(计算机科学、工程、数学、生命科学),以及其他“软”科学,如心理学、社会学、经济学等研究。
挑战2 :网络安全的概念很难界定
几乎所有公司都在追求数字化,因此网络攻击的数量呈指数级增长。 据估计, 2018 年全球网络犯罪经济成本为5000 亿美元,单次网络攻击的平均成本接近400 万美元。 此类攻击经常是媒体头条新闻,也是公司董事会目前面临的主要问题之一,但究竟什么是网络安全?特拉维夫大学跨学科网络安全研究中心主任艾萨克·本·以色列教授给出了这样的定义:“ 网络威胁是与‘IT 的黑暗面’有关的一切事物”。网络安全主要包括五个方面:内部和外部欺诈;IT 系统及其弹性; 数据安全; 第三方风险; 以及威胁情报——即通过收集开放数据、来自在线社区和“黑暗网络”的数据,以及滥用和/ 或恶意使用人工智能、区块链等新兴技术来检测外部威胁。
挑战3 :网络安全是一种开放式创新挑战
开放式创新是将企业传统封闭式的创新模式开放, 引入外部的创新能力。它意味着公司与政府合作,以及更广泛的公共和私营部门参与者之间的合作。以色列的网络安全生态系统是一个三相的系统,包括军队、学术界和工业界。虽然三个领域之间的界限相当模糊,但三者之间确实存在着连续区,有效保证了网络人才的培训和网络技术的开发。军队培训一般侧重于广义的安全领域和更具体的网络安全,特拉维夫大学则通过参与军队相关项目,精进学术能力。在法国- 以色列主题为“法国企业在以色列网络领域要寻找的东西”的双边圆桌讨论活动中,空客、奥兰治、雷诺- 日产,Aster,Trusted Labs 和L'Atelier BNP Paribas 代表分享了各自见解。L'Atelier BNP Paribas 代表分享了他对网络安全领域的创新速度来自“研究员- 企业家”的看法。基本目标是,当依托现有市场或初创公司无法找到某些重大挑战的解决方案时,可通过吸引高级“研究员- 企业家”,探索业务和技术挑战的解决方案。
挑战4 :设计隐私和安全
隐私和保密问题自然是网络周议程之一:在研的任何产品或服务在设计阶段都必须考虑数据保密性。 这就需要对设计师进行数据安全和保密培训。一些研究人员还指出,技术人员要么不理解,要么根本不想理解隐私问题,或者他们是将隐私与网络安全混为一谈。 考虑到现在经常使用国外设计的服务和产品,有关隐私的考虑是绝对必要的。但在持续变化的监管环境以及不断蔓延的网络犯罪威胁下,提供包含“隐私和安全设计”的解决方案和服务已经构成了一个巨大挑战。在数据方面,与会代表注意到两个关键点:第一点是公司在寻求外部数据之前首先应尽可能使用自身拥有的数据。今天的公司都拥有大量的可用数据,在寻求外部数据(如从社交网络中提取的非结构化数据)之前,应首先做好自身数据的处理和利用。第二点与零知识证明( ZKP)方法有关,这是一种新兴方法,应用前景很广泛。其工作原理是,A(可能是计算机系统)证明他/ 她知道或掌握了某一信息,而B 不需要接收任何信息,就可以验证A陈述的正确性。该协议能够在不给予各方玩家真实数据的前提下,证明来自既定生态系统中各方玩家的数据的准确性。在基于区块链的交易中,交易详细信息对网络中的其他方是可见的。 相反,在基于ZKP 协议的交易中,玩家仅知道发生了有效交易,而关于发送者和接收者身份,所涉及资产和数量等信息都是匿名的。
挑战5 :公司需要“友好的黑客”
“如果我们能像友好的黑客一样思考,我们就可以在网络犯罪分子自己的游戏中击败他们”,网络安全研究员和友好黑客Keren Elazari 告诉与会者。 鉴于当今网络攻击的复杂程度,潜在的经济影响以及网络风险的长期性,企业已经开始意识到网络安全的战略影响。 仅靠技术无法解决网络安全挑战。 尤其是,如果不对员工进行有效培训并使客户和合作伙伴生态系统对问题形成正确认识,哪怕是对技术解决方案进行再多投资,都注定要失败。企业比以往任何时候都更需要合作和招募友好的黑客——行话说就是“白帽黑客”,这些人可以在预测或模拟网络风险情景方面发挥关键作用。应对网络攻击,必须变守为攻。一个重要的例子就是2016 年美国国防部启动的Bug Bounty 计划 。该计划旨在动员超过一千名“白帽黑客”来识别和解决网络安全问题。事实上,越来越多的公司开始引进“白帽黑客”、安全专家和红队(外部安全团队,其目标是通过资产测试来评估公司的整体安全水平)来发动黑客式入侵并解决暴露出的安全问题。
挑战6 :加密犯罪,区块链的黑暗面
显然区块链的声誉正在受到影响,部分原因是它总是被公众与新型网络攻击——加密犯罪的出现联系在一起。匿名、投机、价格操纵和旺盛的需求,加密货币的这些特性正在被网络犯罪分子所利用。 加密劫持也可能成为一些政府绕过国际制裁的武器,就像被指控通过对加密货币市场平台Youbit 发动网络攻击从韩国公民窃取4,000 多比特币(相当于500 万美元)的朝鲜犯罪分子一样。专家在“网络周”上强调,有必要制定监管条例大纲。 学术界也可以就相关主题,如区块链应用程序的信任问题,对当前法规的调整建议以及商业运作模式等展开研究。
挑战7 :行为分析是机器人生成的欺诈攻击的解药
常见的用户身份认证方式有三种:我们最熟悉的就是口令登录; 另一种是通过Token(令牌)或SMS 短信来认证;第三种就是生物识别技术。行为生物识别技术基于用户执行操作的方式:用户握住设备的方式、翻阅智能手机页面的方式或写作方式。该技术主要用于身份认证和恶意软件检测。 网络周期间提出的一个案例研究就是关于如何检测来自“模拟器”的攻击。所谓的“模拟器”就是用于模拟可能被犯罪分子加以利用的物理设备的软件。 诈骗分子可以在同一款移动应用程序上启动多个模拟器,并使用被盗信息入侵银行账户。与会者指出,40%到60%的金融机构的网络流量是由机器人(聚合器、抓取器和爬虫)产生的。行为生物识别技术通过组合数千个生理、认知和行为参数,可以创建独特的用户简档,从而增加诈骗分子作案难度。
挑战8 :忘记数据被盗,向影响力争夺战(war of influence)问好
传统网络攻击的目标通常是劫持数据,然而,近期出现的一个不常见却值得业界密切关注的信号是影响力争夺战,其目的是影响公众舆论和破坏民主进程。例如,在欧洲电视网歌曲比赛期间, 分布式拒绝服务( DDoS)攻击接管了对声音的控制并在歌手表演时加密图像,这就有可能对一些国家及其公民带来心理和经济上的影响。 此外,社交网络已成为对此类影响力争夺战乐此不彼的政府机构的沃土。
挑战9 :网络安全是一项巨大挑战
研究人员在网络周上一致认为,网络安全在未来十年仍将是一项挑战。鉴于网络威胁的不断演变,我们需要不断从错误中吸取教训并分析正在发生的事情。解决网络挑战的时间尺度是十年:需要三个步骤才能达到网络安全的成熟阶段,专家称之为“网络战备”:首先,赶上; 第二,与主要市场趋势一致; 第三,为一个客户创建安全层,并基本上成为一家Cybertech 公司。 目前,来自美国、欧洲和亚洲的数字巨头均尚未声称自己是Cybertech 公司,但是这样的雄心壮志已经在生根发芽:许多制造公司和金融机构已经开始调整自己,以便与以色列生态系统内的网络安全专家合作开发“安全设计”解决方案,这种方案的主要特征之一就是成为一个网络安全中心,攻防并举。
挑战10 :教育的挑战
在Bsides TLV 会议上,“ 白帽黑客” 和DEFCON(Defense Readiness Condition,美国武装部队使用的警戒状态)大使Jayson Street 提出了一项建议,用一个词概括就是教育。“从教育用户开始,让他们承担责任。”培训用户——员工、客户、合作伙伴至关重要,因为人是任何组织中最薄弱的环节。一些网络安全专家和以色列高级军官强调,需要从很小的时候就对公民进行网络风险教育。
本文刊登于《网信军民融合》杂志2018年8月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。