在这个问题上
落在网络安全桥的问题
2019年9月19日 体积 49 问题 3

编者注:网络安全,越来越多的工程师和运营商的挑战

周四,2019年9月19日

作者: 露丝。大卫和罗伯特·F。 Sproull

在当今日益紧密,相互依存的世界里,网络安全是一个问题触及几乎每一个组织和机构-entity政府和非政府的一致好评。根据 ITSP杂志“有三种类型的人在世界上:那些被攻击,那些会受到攻击,而那些袭击正在现在只是不知道呢。”[1] 可能是组织或机构同说。每个人都有责任维护人员,这两种设备和促进对这些设备连接的系统的保护发挥。

随着计算机在尺寸,计算硬件和软件的收缩 - 功能 - 越来越嵌入在日常物品,工作人员这样的设备如智能手机和手表到工作人员的车辆,甚至住宅(例如,智能家居系统)。同样,复杂的基础设施哪些人依赖于交通,能源,通信,食品生产,供水和医疗服务越来越计算机化,因为是制造和设计流程,从而创造下一代的系统和基础设施。

以确保可以,工程师们设计和开发这些系统和基础设施解决安全问题方面发挥重要作用,但也可能表现在操作使用他们的产品,特别是因为新的攻击面介绍的时候各个系统,他们无法预料想到的每一种威胁被连接到网络。

网络安全是由标准与技术研究所(NIST,2011年,第B-3)定义为“保护或维护使用从网络攻击网络空间的能力,”网空定义为“在信息的全球域名环境由...组成包括互联网,远程通信网络,系统计算机,嵌入式处理器和控制器的信息系统基础设施的相互依存的网络的“。因此,网络安全上即利用网络连接挫败攻击源聚焦,但这些连接典型地出现在各个系统投入使用个人,组织,机构或运营商扮演着至关重要的WHO在解决安全的担忧同样作用THEREFORE。

起源和网络安全的演进

ITS网络安全的痕迹根到1971年,当鲍勃托马斯发动什么被认为是第一个计算机病毒(汤森2019)。蠕虫不是恶意的,但有能力跳从一台计算机到另一个,不以前观察到的行为。年后,在1989年,服务(DoS)攻击的第一个认可否认是由于罗伯特莫里斯(汤森2019)。再次,意图是没有恶意的,莫里斯意在突出的安全漏洞,但此时的实际损失者。在三个十年以来,袭击已经生长在复杂性和品种都和动机现在包括货币增益,身份盗窃,间谍和运营中断。网络安全已经成为一个军备竞赛,不幸的是,赔率为攻击者。

市场对产品和服务的网络安全是大和持续快速增长,增加主要是因为网络犯罪活动。网络安全-ventures报道称,整体网络安全市场是3.5十亿只值$于2004年,预计到2017年将超过$ 120十亿,并预测整体网络安全开支将超过1万$累积在2017年至2021年期间(摩根第二千○一十九)。

在网络安全支出大幅增长的怨恨,损害归属于违反安全是有也越来越大。在其 网络犯罪年度报告,网络安全企业确定为人类所面临的最大挑战网络犯罪之一,并在2021年(摩根2019b)预测从万亿$ 3 2015年6万亿$每年这将增加一倍,相关的成本。 -notably,不断增长的成本估计是基于不仅对提高攻击,但也从一个网络攻击的机会所产生的对抗攻击显著预计增长投影面到2021年是大小大一个数量级比它今日(摩根2019b)。

网络安全:为什么这么难?

攻击者在网络安全军备竞赛的边缘。这种情况的原因包括以下内容:

  • 攻击者需要找到只有一个可利用的漏洞,而防守者必须识别并消除或减轻的所有漏洞。
  • 由于软件或产品的许多副本部署,单一的漏洞可以广泛-exploited。
  • 在移动过程中,留下一点机会实时防御可能无法检测到一个隐蔽攻击。
  • 地理边界做网络空间不会阻碍交通,使该防区外攻击是很难的属性通常。
  • 网络安全不仅仅是一个技术问题 - 系统运营商和用户也提供了攻击面。
  • 经常牺牲安全系统制造商对策的操作便利性还是-motivations的市场份额。
  • 国际规范,网络安全的法律,政策,和实践还不够成熟。

这些和相关的因素造成的复杂性固有的网络安全。

在这个问题上

这个问题 不能希望覆盖的重要网络安全问题的广度和深度。相反,我们选择用来提供理解网络安全威胁不断变化的性质提供了基础,从过去的事件和最佳实践的学习文件,并为在日益互联的世界期待的工程挑战。

在第一篇文章中, 大卫·克拉克 注意到网络安全的互联网为中心的视图,并解析问题分为四个部分洞察,以提供关于改善情况的措施。我观察到,“绝对安全是不可能的。”可行的缓解措施是上下文特定的。

妮可和毕比 弗雷德里克·昌 使案件扩大到人的代理内部威胁的传统定义包括不知情两种技术充当可信代理。他们注意的这种复杂性不可能是这个问题来处理,有效缺少一个真正的工程系统解决方案。

约瑟芬·沃尔夫利用作案动机金融盗窃,间谍,公开羞辱,作为检查过去的网络安全事件反复出现的主题和提炼经验教训的框架。他认为,她提高网络安全的最佳做法,将需要考虑整个安全生态系统,这远远超出了受攻击的单一实体。

基督教哈默提供来自哈佛大学的经验为基础的观点在其中的地址有两种类型的网络攻击:未经授权的访问和业务中断。我勾画出一个基于风险的计划的关键要素,并描述 解决方案的工作 在大和非常多样化的组织, 而令人费解的需要预测未来的方法可能威胁的演变。

弗雷德·施奈德 林恩·米莱特和使用案例分析来考察非技术问题在什么似乎是技术问题中的作用,探索网络安全工程的政策方面。他们的论文借鉴了通过网络回弹论坛主办的讨论中,美国国家科学院的圆桌会议,以促进思想交流,其中涉及国家的计算和通信系统的弹性科学家,从业者和决策者。

约翰戴维森斯坦科维奇和插孔网络安全预测在物联网的快速发展的互联网,呈现新的攻击面以及新类型的后果成功违反固有的挑战。他们指出,可能会出现,如果进入市场的速度和低成本竞争驱动设计折衷以牺牲安全性的考虑在产品开发过程的危险。

罗尼乔杜里mhafuzul伊斯兰教,zadid汗解决基于在连接和自动车辆技术的进步运输系统的快速发展。他们的文章提供了一个更加深入地了解一个类型cyberphysical的该系统将连接到的东西越来越多的互联网。

到底受邀文章,汤姆Longstaff和诺伊尔阿隆提供关于透视 什么每工程师应该知道的关于网络安全从其他论文总结一些关键点,并把它们放入系统工程环境。而令人费解的,每一个工程师不会成为一个专家网络安全,鉴于可能性几乎每一个新设计的系统将包含一些计算元素,将在某种方式连接到其他系统在其环境中,每个工程师都应该至少有一个基本的了解网络安全的原则。

展望未来

这个问题提供一个有限的窗口到当前和扩大面对-designers,开发商,运营商,和CON-nected系统的用户的网络安全挑战。该文章说明了需要解决的安全漏洞,同时又满足当今日益复杂的攻击。那他们也承认增产新的效益,同时增加的数量和各种攻击面的倾向互连系统。 ESTA环境继续取悦袭击者。

一个关键的问题是,因此: 什么是需要改变攻击者的成本效益方程? 有答案无疑政策的影响和冲击的设计选择。他们可能会导致运营商不同的网络安全还投资概况和可能会降低用户的便利性,特别是对遗留系统。可能包括期权以及攻击防御措施。

而重要的是要继续从过去的事件学习并切实落实相关的最佳实践,这些措施在无论是数量和攻击的复杂性快速增长的时代不足加上在无论是数量和种类的攻击面迅速扩大。需要积极主动的方式来改变成本效益-equation攻击者强大的探索。

确认

我们提供了许多感谢这些论文,他们努力工作,提供信息给广大观众的重要短文章的作者。此外, 运力外的读者对报纸发表评论,并提出改进意见;我们感谢克里斯·布朗克,阿齐姆Eskandarian,凯文·福, 保罗·科赫尔, 史蒂夫Lipner基思·米勒,比尔Scherlis,大卫·雪利和玛丽·艾伦·ZURKO,毫不吝惜地奉献出自己的时间来评估这个问题的论文。

引用

摩根秒。第二千○一十九。预计整体网络安全花费1万亿$超过从2017年到2021年-ventures网络安全的“网络安全市场报告2019年6月10日。

摩根秒。 2019b。 $ 6万亿网络犯罪到2021年2019年年报正式网络犯罪损失。北港NY:网络安全企业和多伦多Herjavec组。

NIST [国家标准技术研究所。 2011年管理信息安全风险:组织,任务,以及查看系统信息。特别出版800-39 NIST。盖瑟斯堡MD。

汤森℃。 2019年简要信息和网络安全的不完整的历史。美国网络安全杂志,1月18日。

露丝。大卫(NAE)是退休的总裁和雁的首席执行官。

罗伯特·F。 Sproull(NAE)是退休的副总裁和Oracle实验室主任,马萨诸塞大学Amherst分校计算机科学系现在是兼职教授。

 

[1]  //www.itspmagazine.com/cybersecurity-quotes

关于作者:露丝。大卫(NAE)退休雁和罗伯特的F总裁兼首席执行官。 Sproull(NAE)是退休的副总裁和Oracle实验室的主任,现在是 马萨诸塞大学Amherst分校计算机科学系兼职教授。