freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Mikko Hypponen在ISC 2020:网络安全是与攻击者的斡旋,人是最棘手的漏洞
2020-08-11 10:30:50
8月10日,第八届互联网安全大会重磅环节——ISC 2020 未来峰会正式在云端亮相。ISC 2020未来峰会关注新一代技术革命之下的网络安全新威胁,汇聚了多国顶级安全智囊,以跨洋连线形式,立足国际安全视野,从战略、战术、技术等多个角度,深度展开围绕未来网络安全新趋势的云端巅峰对话。 F-Secure公司CRO、知名网络安全专家Mikko Hypponen在峰会上分享了《IOT物联网革命及信息安全》主题演讲,就新一代网络技术革命浪潮下IoT物联网革命话题进行了解读,同时就自身对未来网络安全新趋势的看法展开了探讨。 

Mikko Hypponen首先谈到,互联网是一场速度惊人的伟大革命,经历50年的发展,世界已经发生了巨大的改变。人们逐步将自己的生活从现实世界转移到了网络世界,网络生活日益丰富,互联网已经如同电力和电网一般在生活中普及。一旦生活中没有了电,一切生活秩序都将会被打乱,我们可能无法使用通讯工具交流,失去与朋友之间的联系,甚至吃不到新鲜的食物,电力作为能量源泉为我们的生活提供着重要的支撑。 而现在,人们对互联网的依赖让它也变得同样如此重要。虽然短时间里人们暂时不用担心因为互联网中断而造成生活秩序的全面瘫痪,但在10年或是20年后,这很可能成为现实。生活中的一切事物都将与网络相连接,互联网革命结束后,我们正在迎来一场前所未有的技术革命,那就是IoT物联网革命。 在IoT物联网革命中,一切都正在变得智能化,因此也可以称其为连接设备的革命。当大量的设备走向网络时,我们会发现一个很可怕的问题:设备联网的技术正在变得越来越低廉,在计算机和智能设备联网的时候,如同冰箱、电灯泡、温度计这样一些原本十分基础、简单的电器也正在走向智能化。未来,任何用电的设备都会上网,甚至人们并不会被告知这一行为。 当一些基础的电器设备连接上网络后,只需要通过手机这样的信号发射终端就可以远程控制他们开启和关闭,尽管人们的生活更加便捷了,但这也恰恰是暴露风险的问题所在。
  • 一方面,不安全的设备存在安全漏洞,恶意攻击者很可能通过其中一个电灯泡就能够控制整个家庭网络。

  • 另一方面,这些设备所产生的大量数据,会让设备供应商们看到使用这些设备的人在哪里,他们的使用习惯是怎样的,让人们全部的生活暴露在了这些数据所有者的监视之下。

 Mikko Hypponen提到,数据是当今时代下如同“新石油”一样最富有价值的产物。回溯20年前,世界上最有价值的公司都是石油化工行业。而今天,世界上最有价值的公司都成为了大数据公司,虽然这些公司没有制造实物商品,但是他们的互联网服务所产生的数据已经成为了最具价值的商品。普通的大数据公司会将数据出售换取利润,而顶级的大数据公司都将数据用于机器学习,通过庞大的数据量来训练出“聪明”的机器学习算法和框架。 优秀的机器学习算法甚至可以编写代码,精通人类语言和编程语言,甚至可以通过不断优化代码来实现指数曲线的升级进化。人类虽然无法判断人工智能将来会如何工作和发展,但是就无限进化这一点而言,人工智能技术令人感到兴奋,同时又感到可怕。Mikko Hypponen说,互联网是这个时代最好和最坏的创新。 互联网为人们生活带来了如此多的好处,经济的发展、便利的通讯,以及大量的娱乐活动。但它也用这种方式拉近了人们与“罪恶”的距离。曾经那些远离人们生活的恶意攻击者,现在就活跃在每个人身边。无论彼此生活在世界上的哪一个角落,只要人们使用互联网,就会轻易被坏人找到。因此,互联网是伟大的,也是可怕的,人类在互联网中所作的一切都是一种交换,得到了生活便利,也迎来了新的安全风险和隐私风险,但这就是互联网的本质所在。 在90年代初的时候,当人们谈起犯罪分子如何从网络中发起攻击时,还认为那是存在于电影中的科幻故事。但现如今,如同商业邮件攻击、勒索病毒攻击等等网络攻击早已屡见不鲜。拿近年来最大的网络威胁之一的勒索病毒来看,很容易发现攻击者正在变得越来越聪明和狡诈。 最早期的勒索病毒攻击者只是窃取受害者计算机设备中的重要信息,然后在市场上高价出售。但很快,他们意识到最愿意花钱购买数据的其实是数据的原始拥有者,因此他们开始加密受害者硬盘中的数据,索要高额的赎金。但很快,一些企业逐渐为自身核心数据做好充足的备份,这样不管勒索病毒如何加密文件都不需要支付赎金,只需要恢复数据备份就足以解决。然后,勒索病毒的攻击形式也又一次升级,勒索病毒软件在攻击受害者计算机数据将其加密后,如果因为有数据备份而拒绝缴纳赎金,攻击者就会转而威胁公开数据,再一次让问题变得棘手起来。 因此,网络安全攻防是在与一群阴险狡诈、智商超群的犯罪分子斡旋,而人是这场对抗中最重要的因素。 在不久前刚刚发生的Twitter历史上最大的黑客攻击事件中,攻击者就是利用某一个掉以轻心的Twitter员工的疏忽,一步步入侵到Twitter的网络系统中后,才引发了这起丑闻事件。在20余年的从业经历中Mikko Hypponen发现,修复网络安全漏洞和安全技术问题可能会很难、很慢也很贵,但至少大家知道该向哪个方向努力。 而解决人的网络安全意识问题却更加困难,人脑无法打补丁,只能通过安全意识教育来引导。无论安全专家们怎样强调,不要使用弱口令密码,不要随便执行附件,在打开钓鱼方提供的凭据之前仔细检查URL,但就算再三劝阻,用户还是会反复上当中招,陷入同样的骗局。因此,提升人的网络安全意识是他认为最棘手最困难的安全问题,人是最大的漏洞。 最后,Mikko Hypponen总结道,参加ISC 2020 互联网安全大会这样的交流活动,对网络安全从业者们而言也是一次教育活动,通过思想的交流碰撞,能够补足大家的大脑,吸收更多的前沿的技术知识与理念。在万物互联时代的今天,人们正在用互联网带来更好的生活体验,而作为网络安全从业者们,则要担负起为他们保护好安全与隐私的责任,这是时代赋予的使命。
# 资讯 # web安全 # 无线安全 # 系统安全 # 数据安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者