企業在防御網絡攻擊上，越做越好，MIT Sloan的Stuart Madnick說，但是黑暗網絡的黑客仍然保持優勢。他解釋了原因。

在持續進行的，越來越多的針對世界知名企業的惡意網絡攻擊中，壞人占據上風。Stuart Madnick說，他是MIT Sloan School，信息技術 的John Norris Maguire教授，并將在MIT Sloan CIO Symposium大會上演講。Madnick，目前擔任MIT Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity的主任，解釋了黑暗網絡的黑客是如何利用技術和信息來獲得優勢的。

企業在打擊網絡攻擊上做的如何?他們應該已經更強大了。

Stuart Madnick：的確是，人們都認為，我們正在變得更強大。但是，我們沒有注意到的是，壞人強大的更快。這就是挑戰所在。所以我認為，現實在變好，但是，不幸的是，最壞的也更壞，如果有這樣一個詞。(實際上，我來自于馬薩諸塞州的伍斯特，所以我認為這個詞是合適的。)

什么讓壞人變得更強大，而好人卻跟不上呢？

Madnick：原因之一，這種攻擊正在變得商品化，曾經這很罕見——需要計算機科學的博士學位，才能攻擊進入系統等等。現在，在黑暗網絡中，只需要支付14.95美元就可以購買。黑客提供的工具和技術，已經越來越多、越來越強大，并快速增長。

另一個原因，我在研究中發現，好人不善于信息共享。現在，當Target這樣的公司受到攻擊時，法律規定他們必須上報，因為個人信息被泄露。所以新聞會報導。但是，如果一個德國鋼廠受到攻擊，部分系統崩潰，并沒有義務公開報告。事實上，即使Bloomberg進行了報導，他們也會否認。

好人保持沉默的原因有很多。他們不想毀壞名聲。他們不想鼓勵更多入侵者進行模仿。另一方面，壞人在黑暗網絡上，有很特別的信息共享安排，這就是為什么壞人比好人強大的更快。

因此，黑暗網絡的黑客占據上風。你會認為應該有一個能夠輕松共享信息，而不會損害公司聲譽，并引入模仿攻擊的機制存在。

Madnick：并不是沒有這樣的嘗試。事實上，有大量的企業想要分享。不幸的是，他們非常零散。我不確定我可以公開討論這些，但是很顯然，大型石油公司的確聚在一起，分享信息，但只有那些大型公司參與。他們不會與下一級別的公司共享，因為他們只想將信息保持在一個封閉的團體內。

FBI不與CIA共享信息也是同樣的原因，因為他們認為CIA內有內奸，他們會把信息泄露出去。CIA也不想與FBI共享信息，因為他們擔心FBI的內奸會把信息泄露出去。

并不是沒有人想這樣做，但是他們一直擔心：‘如果我公開這個信息，公眾獲得信息后，會對我產生什么不利？’

這有點諷刺。壞人其實喜歡聲譽。“我是那個攻擊XYZ銀行，并偷走數十億美元的人。”在某種程度上，這是一種炫耀。所以，有很多原因，那些黑暗網絡會尋求宣傳。

你能舉一個例子，關于黑暗網絡生態系統中的信息共享網絡？

Madnick：我不知道它的名字，但實際上有一個網站，黑客對世界上最討厭的公司進行排名。你會發現這樣的關聯：隨著你的公司排名上升到頂部，網絡攻擊的數量上升，因為相當多的人不會因為個人利益或國家利益進行攻擊。他們只是喜歡表達自己的憤怒。隨著你的公司排名的上升，你會發現這些人在討論，“Monsanto是一個邪惡的公司。我要給他們一個教訓。我要攻擊他們。”

我還知道，一些公司實際上在黑暗網絡中雇傭他人，進行投票，讓他們的排名降低，以減少攻擊的數量。

Stuart Madnick：在幾年內，將會有超過1000億個聯網設備、物聯網。要給1000扇門上鎖是一回事；想象一下，要給100萬甚至1000億扇門上鎖。所以，攻擊對象的數量正在迅速增加。

還有一個問題，將以其他方式威脅我們。一年前，我在休假，我在尼斯大學的汽車遙測團隊中工作。他們正在嘗試從未做過的事情，比如自動駕駛等等。

我了解到，要完成這些事情極其困難。他們承受著巨大的約束，組件的成本，能量的消耗，空間大小的使用。他們要面對很多極具挑戰性的工程問題。如果你有N項優先級事項，那么，網絡安全，至少在一年前，就是N+1。他們必須處理的事情實在太多，他們只能說，‘我們只能先關注這些，其它的，以后再操心。’

部分原因是物聯網很新，要面對的挑戰很多，要把網絡安全納入關注因素非常困難。

因此，物聯網安全組件并不是從一開始就構建的，而是之后再添加的？

Madnick：正在慢慢發生變化。但一年前，情況的確如此，我認為這仍然是大部分物聯網項目的現狀。

我的一位同事是一名顧問。他為一家正在推出某種物聯網設備的公司工作。他們正準備推出一個設備，然后他們意識到，這個設備會受到某些類型的網絡安全攻擊，而他們之前沒有考慮到。

他們意識到，他們設計中的計算能力，不允許他們進行軟件的修改，使產品更加安全。他們面對一個決定。我們是按計劃，在本月發布產品呢，還是重新設計，花費六到八個月的時間，并可能失去市場？

你猜他們做出了什么決定。提示：產品推出了。

你非常重視對于物聯網基礎設施的攻擊。能給我舉一個例子嗎?

Madnick：土耳其管道爆炸，就是一個例子，當然，土耳其否認這是網絡攻擊，聲稱這只是一個故障。但其他分析師指出，這就是一個網絡攻擊。但有趣的是，這次網絡攻擊顯然是通過最近增加到管道中的安全攝像頭發起的。

因此，這一安全攝像頭，并沒有成為一個安全設備，而是成為接入設備。諷刺的是，攻擊者除了引起管道爆炸，據說，他們還抹去了監控錄像，并切斷了報警系統。有人告訴我，土耳其中央控制人員意識到有爆炸發生，是有人看到四英里之外，天空中有火在燃燒。

我之所以提到這件事，是因為現在的熱門單品之一，就是這些互聯網安全攝像頭，你可以把它們放置在你的屋外，或屋內，用于監視你的寶寶等等。我被告知，這些設備中的50%仍然保留它們的默認密碼。

美國政府在保護關鍵基礎設施上，投入足夠嗎？

Madnick：嗯，從積極的一面來看，你可能已經看到，奧巴馬總統最近宣布……對于網絡的投入將增加到190億美元。因此，至少投入的錢越來越多了。

我們擔心，投入的方向被誤導了，很多人認為只要能夠有一個更好的密碼系統，所有的問題都能解決。所以他們幾乎不關注任何企業，管理，文化上的問題。

與網絡安全相關的企業和文化問題，是麻省理工學院重點關注的研究方向，你是其負責人。

Madnick：我們重點關注的是人為元素。各種報告顯示，50%到70%的網絡攻擊都是由內部人員教唆或協助的。更寬泛的來說，如果，作為一個房主，在你購買安全攝像頭時，不改變它的密碼，我就認為你是網絡攻擊的一個助力因素。人類的作為或不作為都是目前的主要問題。如果你把鑰匙給別人或者放在門墊下面，那給你的門裝鎖是沒有意義的。

這就是為什么，在我們的研究中，我們更關注管理和企業因素，這些被其他人忽略的因素。

比如？

Madnick：讓我用幾個例子，來回答這個問題。我在麻省理工學院斯隆商學院工作，相鄰的建筑在過去的一到兩年中，經歷了翻新。很長一段時間，外面都有腳手架。如果你在過去的四到五個月內，來過麻省理工學院，你就會看到腳手架上，有一張10英尺*10英尺大小的海報。上面是一個工人的照片，在他的手里，他拿著一張家人的照片。他上面有一個標語，寫著，‘我知道為什么安全是很重要的。’言下之意就是，我的家庭需要我。如果我不安全，我受傷了，就會傷害我的家庭。

如果你去一家工廠，最有可能的是，你會看到門上有一個標語，寫著，‘距離上次工業事故，已經過去570天了。’你什么時候在計算機機房，門上可以看到一個標語，寫著‘距離上次網絡攻擊，已經過去50毫秒？’

我的解釋很長，我們想要創造的，是一個網絡安全紀律。

我知道你的關于網絡安全的研究是基于一個麻省理工學院的模型，稱為STAMP (Systems Theoretic Accident Modeling and Processes)，一種減少和減輕工業事故的方法。

Madnick：是的，STAMP是主要的研究來源。麻省理工學院研究STAMP已經20年了。它被用來分析挑戰者號航天飛機爆炸。

STAMP如何應用于網絡安全？

Madnick：有幾個方面。當你分析很多小型網絡攻擊，或任何類型的事故，你通常會發現最終原因是人為錯誤。‘她在桌子上留有一張寫有她密碼的紙條，’之類的原因。這個問題的原因就是如此。

我們相信，在大多數情況下，人們不會故意想創造工業事故或網絡事件。通常，是他們周圍的激勵制度，企業架構，和企業文化，影響著他們的行為。這是STAMP在網絡安全中，首要關注的總體。