在对多个项目进行了研究后,我发现有些分析师并不认可,大部分安全漏洞来自网络内部这样的主流观点。特别是在刚读完网络世界上的一篇文章时,这样的观点引起了我的特别关注:
“根据加利福尼亚州旧金山的计算机安全协会(CSI)的观点,大约60%到80%的网络滥用事件起源于内部网络。”
很明显,在进行下一步讨论前,我们需要对“内部人士”的确切含义进行说明,以免产生误解。或者说,在安全调查报告中是怎样进行确认的。在这里,我想先给出一些定义,让你确认。
内部人士的定义
| 图1 |
美国特勤局国家威胁评估中心和卡内基·梅隆大学的计算机紧急反应小组(CERT)正在合作进行一个称之为内部威胁研究的课题项目。在下面列出的我认为非常准确的定义就是由该团队依据其专业知识给出的:
◆内部人士:包括了拥有公司/组织计算机系统和网络的存储权限的现有/前职员和承包商。
◆安全漏洞:故意或者滥用网络、系统或数据存取等资源给公司/组织的数据、系统或业务安全带来了消极影响。
讨论开始
你应该还记得,在网络世界的文章中曾引用CSI的报告。自从1996年开始,CSI就和联邦调查局(FBI)开始共享计算机犯罪研究方面的信息。从2001年开始,他们开始出版包含了完整的信息安全漏洞内容的年度全面报告。
似乎不这么简单
“按照传统的观点,80%的计算机安全问题都是由于内部人士的原因造成的。”
| 图2 |
记得我是在2001年的调查报告中第一次看到这句话;我想终于可以确定80%这个数据的准确来源了。如果你仔细想想,这种说法是有道理的;相比而言,内部人士进行攻击确实比较方便。
但当我再次阅读的时间,我意识到这不是研究人员说的。根据来自乔治城大学的丹宁博士在报告中的说法,他们说的情况已经发生了改变,并且这个所谓的“常识”是错误:
“一个有趣的发展趋势是,威胁的主要来源开始由内部人士转向外部。这么多年来,第一次有更多的受访者说,比起来自不满或不诚实人士的攻击,独立黑客是更可能的来源。”
这下子,我开始困惑了。先把问题放到一边,这个臭名昭著的80%在2001年再次出现的位置,是尤金·舒尔茨博士的调查报告中:
“不幸的是,造成大量混乱的原因来自于一个事实,即有些人不断引述17年前的FBI统计,表明80%的攻击来自内部。”
因此,这是80%的来源。尽管,考虑到技术的发展,这个比例可能并不精确。但值得庆幸的是,舒尔茨博士提及并证实了这一点:
“当该统计数字第一次公布的时间,几乎可以肯定是有效的。当时世界上计算机的主流是大型主机和单独的个人计算机。但现在,我们有了大量的网络服务(大部分都是全球范围的网络服务),整个互联网已经成为充满了可攻击目标的环境。”
这无疑会导致情况发生了变化。CSI和联邦调查局的研究表明,来自外部的攻击正在呈现日益增长的趋势。具体变化如下图所示:
 |
| 图3 |
情况有什么变化?
因此,为什么80%内部人士的观点还在流行,我在前面提到的网络世界的文章还坚信这一点呢?特别是CSI还将其用为参考来源。为了理解这一点,我找到了CSI/FBI计算机犯罪和安全调查(2008)版本,看看内容是否有所改变:
幸运的是,CSI/FBI的研究团队继续使用相同的格式,要求受访者估计来自内部人士的攻击所占的百分比。下表显示的就是相关结果:
 |
| 图4 |
该图清楚地表明,受访者认为发动安全攻击最多的位置都是来自公司/组织的外部。我并不确认每家公司的情况都是一样的,但我可以肯定,在过去的一年中,大多数网络管理员都发现来自外部的攻击大幅度上升。
并非表面上看起来这么简单
我也相信,确认原始观点不是这么简单的事情。举例来说,对于外部攻击,什么样才算成功地渗透到网络中。这样就会让它变成一次内部攻击?如果从内部人士的定义来看,这样的攻击显然比较高。它是否具有来自内部人士攻击的所有特征?
不同观点
在本周末,我有机会与一位朋友就这篇文章进行讨论。这位朋友恰好是一位安全分析师。我很高兴他介绍了一个完全不同的观点,在这里我想与大家分享。
首先,他提醒我说,报告或者确认安全漏洞是一个很敏感的话题,大部分公司并不会很积极的进行这项工作的。第二,他指出,每个人都有自己的日常工作事项。例如:
◆设备、软件和服务供应商会夸大威胁的状况,以帮助产品的销售。
◆公司则更喜欢将威胁归咎于来自外部的攻击,这样可以减少很多麻烦。
◆公司的IT安全团队倾向于警告所有的威胁,因为这样可以证明他们存在的必要性。
有趣的是,至少可以说,我同意这些因素将会在公司内部运作的时间发挥作用。
结 论
我有几点要说明的:
◆我同意CSI/FBI的调查结果,外部威胁现在更为普遍。
◆我认为来自内部的攻击更容易实现。
◆内部安全漏洞带来的威胁更大,特别是对于由于数据被盗造成以及由此产生的后果来说。
我并不确认最后一点是否符合实际。最近关于外部安全漏洞导致国防部上TB规模的数据被窃取看起来是非常值得注意的。
安全漏洞是一个复杂有争议的问题,很难确保万无一失。我所说的仅仅是个人的观点,在讨论中起到的是抛砖引玉的作用。因此,请告诉我你是怎么想的。
【编辑推荐】
