云賀

政府和企業(yè)作為防御者，應(yīng)將資源投入到那些最緊迫、最有可能發(fā)生網(wǎng)絡(luò)威脅的領(lǐng)域。

近年來，全球頻發(fā)網(wǎng)絡(luò)安全事件。2015年5月，蘭德公司對6000余名美國成年人展開了一項調(diào)查，結(jié)果顯示：在2014年6月到2015年6月，26%的被調(diào)查者收到過個人信息遭泄露的通知。蘭德公司據(jù)此預(yù)測：僅過去一年，美國就有6400萬成年人的個人信息遭到泄露——這相當于超過1/4的美國成年人口。

針對日益突出的網(wǎng)絡(luò)安全問題，蘭德公司2016年6月發(fā)表了題為《網(wǎng)絡(luò)犯罪：你需要知道什么》的文章，對該公司今年發(fā)布的若干網(wǎng)絡(luò)安全系列報告進行了梳理和總結(jié)，主要從網(wǎng)絡(luò)黑客和防御者角度出發(fā)，探討網(wǎng)絡(luò)犯罪的現(xiàn)狀、網(wǎng)絡(luò)防御工作的困境及未來走向。

“網(wǎng)絡(luò)黑市”熱鬧而隱秘

蘭德公司的研究人員將售賣網(wǎng)絡(luò)犯罪工具和用戶信息的市場，形容為一個熱鬧的“集市”。在這個“網(wǎng)絡(luò)黑市”中，黑客和其他網(wǎng)絡(luò)犯罪者像商人一樣販賣各種服務(wù)與產(chǎn)品，并通過隱秘的聊天室或論壇接頭和交易。購買者可以很容易地在黑市里找到任何想要的東西：用戶的醫(yī)療記錄、可供雇傭的黑客、惡意軟件開發(fā)工具包、僵尸網(wǎng)絡(luò)病毒、勒索軟件等等。

據(jù)蘭德公司估算，目前“網(wǎng)絡(luò)黑市”的價值至少有數(shù)十億美元。

“網(wǎng)絡(luò)黑市”的內(nèi)部運作復(fù)雜有序，且組織嚴密。在黑市中，參與者們分工明確、層級分明，包括維持秩序的管理員、從事犯罪工具研發(fā)的專家、中介、供應(yīng)商、中間商、普通成員等。此外，黑客們按照專長不同，甚至已經(jīng)打出了自己的“品牌”。俄羅斯的黑客們以提供高質(zhì)量的產(chǎn)品與服務(wù)聞名;越南和中國的黑客群體分別主攻電子商務(wù)和知識產(chǎn)權(quán)領(lǐng)域;而美國的黑客們則主要從事金融犯罪。

蘭德公司在今年發(fā)布的網(wǎng)絡(luò)安全系列報告之一——《網(wǎng)絡(luò)犯罪工具與數(shù)據(jù)失竊的市場》中估算，目前，“網(wǎng)絡(luò)黑市”的價值至少有數(shù)十億美元。而造成“網(wǎng)絡(luò)黑市”迅猛發(fā)展的原因主要有三方面：

第一，“網(wǎng)絡(luò)黑市”的門檻相對較低。無論是黑客還是購買者，都可以通過互聯(lián)網(wǎng)較為容易地進入市場進行買賣。因此，相比非法藥品交易等犯罪市場而言，“網(wǎng)絡(luò)黑市”相關(guān)產(chǎn)品和服務(wù)的供應(yīng)量和需求量都有增無減。

第二，大多“網(wǎng)絡(luò)黑市”所提供的產(chǎn)品和服務(wù)都能通過互聯(lián)網(wǎng)即時送達，這節(jié)省了運輸費用，從而降低了成本，使網(wǎng)絡(luò)犯罪成為“高盈利”的犯罪領(lǐng)域。

第三，如上文所述，“網(wǎng)絡(luò)黑市”擁有嚴密的組織形式，且市場運營嚴格遵守相關(guān)規(guī)章制度。蘭德公司的研究人員認為，“網(wǎng)絡(luò)黑市”在這方面甚至超越了許多合法市場。

網(wǎng)絡(luò)防御者的困境

為保護網(wǎng)絡(luò)安全，政府和企業(yè)每年都投入了大量資金?！毒W(wǎng)絡(luò)犯罪：你需要知道什么》一文估測：現(xiàn)在全世界每年在網(wǎng)絡(luò)安全領(lǐng)域的總投入約800億美元。然而，大量投入并不意味著實現(xiàn)了成功的網(wǎng)絡(luò)防御。

無論是從企業(yè)還是從政府的角度來看，較為成功的網(wǎng)絡(luò)防御就是將網(wǎng)絡(luò)安全的成本最小化，即把投入網(wǎng)絡(luò)安全領(lǐng)域的資源以及遭受網(wǎng)絡(luò)攻擊的損失，都降到最低。可是，蘭德公司的研究人員在對18名大型企業(yè)首席信息安全官進行調(diào)查采訪后發(fā)現(xiàn)，實際上網(wǎng)絡(luò)防御者們普遍面臨著這樣困境：他們不知道目前投入在網(wǎng)絡(luò)安全領(lǐng)域的資源（包括資金、人員配備等）是否夠用。這主要體現(xiàn)在兩方面——

首先，在網(wǎng)絡(luò)攻擊真正到來之前，信息安全官很難預(yù)估其可能帶來的損失。如何在“將投入最小化”和“將損失最小化”之間找到一個最理想的平衡點，成為一大難題。在蘭德公司的采訪中，沒有一位信息安全官可以清晰地闡釋“為什么將投入金額定為某一個具體數(shù)字”這類問題。甚至有信息安全官悲觀地表示，他們只有在又一次網(wǎng)絡(luò)攻擊成功之后，才知道此前投入的資金依舊不夠。

其次，相比于網(wǎng)絡(luò)攻擊帶來的直接經(jīng)濟損失，名譽與公信力的受損才是政府和企業(yè)最為擔(dān)憂的事情。蘭德公司的文章中指出，由于涉及到名譽問題，許多政府和企業(yè)不惜斥巨資未雨綢繆。然而，這些防御投入是否必要，卻有待商榷。

以2014年摩根大通銀行賬戶泄露事件為例。盡管當時有約8000萬個客戶的信息遭遇泄露，但黑客們所做的只是將用戶的賬戶名稱、電話號碼和住址等信息收集起來。截止到2014年底，沒有任何關(guān)鍵信息被盜，也沒有任何賬戶被攻擊或者資金被轉(zhuǎn)移。這次事件并沒有造成實際的經(jīng)濟損失，可摩根大通卻因為沒能保護好客戶信息，名譽大受影響。目前，摩根大通每年在網(wǎng)絡(luò)安全方面的投入是2.5億美元，且還有繼續(xù)增加的趨勢。

其實，許多時候網(wǎng)絡(luò)攻擊的風(fēng)險往往被企業(yè)過分夸大，導(dǎo)致一樁無害的信息泄露事件也會引起極度恐慌。正如蘭德公司的高級管理學(xué)家、網(wǎng)絡(luò)安全系列報告作者之一馬丁·利比奇（Martin Libicki）所說：“許多網(wǎng)絡(luò)安全方面的花費都是出于我們的恐懼，但實際上，我們所恐懼的事情卻很少發(fā)生?！?/p>

網(wǎng)絡(luò)安全形勢愈加復(fù)雜

面對網(wǎng)絡(luò)犯罪市場和網(wǎng)絡(luò)防御工作的現(xiàn)狀，蘭德公司的研究人員在《網(wǎng)絡(luò)犯罪：你需要知道什么》一文中拋出了一個我們都無法回避的問題：網(wǎng)絡(luò)安全的未來將是怎樣的？

顯然，未來的網(wǎng)絡(luò)安全形勢將更為復(fù)雜。隨著物聯(lián)網(wǎng)的發(fā)展，除了手機和筆記本電腦，醫(yī)療設(shè)備、家用恒溫器，甚至是廚房用品都將逐步實現(xiàn)在線互聯(lián)功能。根據(jù)全球權(quán)威IT研究與咨詢公司高德納（Gartner）的預(yù)測：到2020年，聯(lián)網(wǎng)設(shè)備的數(shù)量將是全球人口數(shù)量的三倍。這意味著：每一個設(shè)備都有可能成為黑客們攻擊的目標，而這將為網(wǎng)絡(luò)防御工作帶來極大的挑戰(zhàn)。

不過，幸運的是，目前網(wǎng)絡(luò)安全問題已經(jīng)引起了政府和企業(yè)相當程度的重視。從人員配備情況來看，無論是信息安全人員的數(shù)量還是影響力，現(xiàn)在與五年前相比都有了長足的發(fā)展。與此同時，防御軟件在不斷改善、網(wǎng)絡(luò)安全工具的數(shù)量也在持續(xù)增多。這些雖然還不能從根本上解決網(wǎng)絡(luò)犯罪問題，但至少能使其變得更加可控。

上述文章認為，現(xiàn)在需要做的是換一種思考網(wǎng)絡(luò)安全的方式。政府和企業(yè)作為防御者，應(yīng)將資源投入到那些最為緊迫、最有可能發(fā)生網(wǎng)絡(luò)威脅的領(lǐng)域，而不是沉浸在由防御軟件供應(yīng)商或自己編織的噩夢里。對普通用戶而言，網(wǎng)絡(luò)安全問題還沒有引起人們的足夠重視。蘭德公司的研究人員在調(diào)查中發(fā)現(xiàn)，90%的受訪者表示他們會與泄露自己個人信息的企業(yè)保持商業(yè)往來。然而，用戶寬容的結(jié)果往往是：那些發(fā)生信息泄露或網(wǎng)絡(luò)攻擊的公司，會失去做出改變的動力。