改變和相互依存的快速發展讓人束手無策,網絡安全未來學家帶你清醒認識未來的樣子。
丹·吉爾不認為自己是個先知,但他或許是IT安全界最接近這個稱號的人。而他的觀點是,網絡世界的當前趨勢雖然未必不可逆,卻一直在向著反烏托邦的方向前進。
上周,波士頓SOURCE大會上,這位In-Q-Tel風投資本公司的CISO做了閉幕演講。盡管他沒有主張先知的地位,他卻在做著預測的事。“未來,從來都是安全話題的主題。因為網絡安全和人類未來如今已經聯結在一起了。”
地質演化需要千萬年時間,網絡世界的進化,卻比照著快得多的時鐘頻率。
吉爾對未來的預測包括:
1. 網絡安全是,且依然會是最重大的國家安全風險。
2. 伊朗核設施震網攻擊展現出來的那種“相互保證毀滅”,將不會像當年一樣靈驗。“原因在于歸因溯源。”他說,“洲際彈道導彈有可見飛行軌跡,且只有少數幾個國家有發射這種導彈的能力,攻擊性軟件可沒有這些限制。”
3. 正如公共安全論證促成了對手機地址編碼的強制性要求,公共安全論證也將促成對互聯網地址編碼的強制要求。
4. 主要民族國家將在自己的部分關鍵基礎設施上禁止使用其他國家的產品。“因此,工業間諜對民族國家的重要性將有所上升,就好像現在的重要性還不夠高一樣。”
5. 幾乎可以肯定,網絡武器將會被預部署在之前的非軍事位置——設備、網絡等等。其中大多會被用于拒絕信息服務,但只要傳感器占據了自治設備關鍵路徑中的節點,很有可能會擴展成用于假消息散布。
6. 主要網絡犯罪集團仍將在一小部分主權轄區運營,不是為了利潤分成,也為了這些地區對犯罪的寬容度。
7. 采用行為分析技術的網絡攻擊檢測——異常檢測,將得到重用,但會伴隨巨大的副作用。
8. 將決策移交給機器看起來“非常迷人”,但除非這些系統以人為尊,否則都是不安全的。這就會需要保留不要委托也能操作的情況。
“除了在座各位中的某些洞察力深厚的網絡安全實踐者,這一教訓可能要通過非常慘烈的失敗經驗才能習得。”
9. 金融高頻交易的特性——自調整算法的高速決策,將開始在其他領域出現,包括政府。
10. 網絡安全界的人才短缺問題得不到解決。1%——大約半打有能力支付高額薪酬的大公司,將吸納進全部或者說絕大部分人才。政府不在這1%之列。
11. 因為西方社會的大多數關鍵基礎設施都是私營的,無論愿不愿意,政府將“委派”它們為國家安全服務。
12. 最終用戶許可協議(EULA)——絕大部分拒絕承擔產品引發的各種破壞的玩意兒,只要適當的危機出現,就會遭到有效挑戰。自治車輛或許會是第一滴血濺下的領域。
13. 網絡安全產業沒有崩塌的危險,因為要做的事總是太多。“網絡安全作為正經科學,將依然是一個目標,而不是一種成就。”
如果以上預測還不那么令人不安,吉爾給出了幾個當普遍監視降臨和個人隱私喪失的未來場景,還有引發這些的工具在私營產業里也像在公共領域里一樣普遍時的景象。
“大家都知道,現在政府且只有政府擁有的東西,明天就會被富人階層擁有。富人們明天擁有的東西,會在后天輪到無產者手里。這都在一個已經建立起來的先例范圍內——公眾使用破除掉政府或其他機構的使用限制。”
于是,從面部識別到運動傳感器,到心臟電磁脈沖,到微波,到藍牙信號,到無處不在的WiFi路由器,能看到的公平游戲就是波長的獨立性了——你發射的任何東西都可以被捕獲。
再加上持續爆炸式增長的物聯網,意味著:當今社會的相互依賴,絕對是以互聯網為中心的,除了氣候依賴,再無其他依賴可與之抗衡。而互聯網的變化速率,比氣候起碼快出5個數量級。
記住,當某樣東西被采納得足夠廣泛的時候,就自動轉變為“關鍵基礎設施”了;采納是通往關鍵性的入口。
于是,業界面對兩個極端選擇。“要么延緩變化速率,將之減緩到可以給預測留出有效性驗證的時間,或者故意增加不可預測性,讓對手的目標鎖定動作難以為繼。
“如果取前者,我們就放棄了很多各種各樣的發展。后者的話,我們放棄的是多種多樣的自由,因為這種方法下必然是機器而不是人類在主導。無論哪種方式,融合都是不可避免的。網絡安全從業者們,你們不是選了這行,而是選了一條漫漫長征路。”
京公網安備 11010502049343號