大型安全災難可否避免?如果我們繼續(xù)接受現(xiàn)在糟糕的安全做法和后果，災難可能無法避免。

[[123699]]

在美國911事件之前，曾經(jīng)有人提議增強機場安全，但這些提議受到阻攔，因為更廣泛的措施沒必要，并會讓成本增加到不可接受的水平。

現(xiàn)在安全行業(yè)也處于類似的狀態(tài)。2014年的計算機安全處于一種可怕的狀態(tài)。數(shù)據(jù)泄漏事故不斷發(fā)生，而解決方案要么沒用要么太昂貴和便方便，讓企業(yè)拒絕部署它們。

筆者認為我們應該創(chuàng)造更安全的互聯(lián)網(wǎng)，而不是等到災難性事故發(fā)生的時候，才意識到安全的重要性。但筆者并沒有抱太大希望，他已經(jīng)對抗網(wǎng)絡犯罪近三十年，每年事情都變得更糟。下面讓我們回顧一下現(xiàn)在可怕的安全狀態(tài)。

1.網(wǎng)絡犯罪很少遇到阻力

我們現(xiàn)在已經(jīng)習慣了在線身份信息和財務信息被泄露的新聞：根據(jù)隱私權(quán)信息交流中心網(wǎng)站顯示，單在2013年，就有2.58億條信息被泄漏。與此同時，高級持續(xù)攻擊(APT[注])團隊正在盡全力發(fā)動攻擊。勒索軟件會加密硬盤中的敏感個人信息，并勒索受害者支付金額(通過比特幣或者其他很難追蹤的電子貨幣)來恢復訪問。

企業(yè)很少會做好基本工作，例如修復漏洞或者準備備份。安全從業(yè)人員承認其企業(yè)的計算機并不安全。

很少有企業(yè)會強制用戶斷網(wǎng)幾個星期來試圖修復漏洞，但企業(yè)應該這樣做，因為如果他們不修復漏洞，這會讓攻擊者趁虛而入。

2.反惡意軟件公司在欺騙你

不要相信可以攔截一切的反惡意軟件程序。這些軟件實際并沒有那么厲害，即使是現(xiàn)在的多態(tài)惡意軟件程序出現(xiàn)之前，反惡意軟件程序也不完美。

現(xiàn)在的惡意軟件編寫者會針對世界上大多數(shù)反惡意軟件程序測試其程序，并僅在他們繞過檢測后再發(fā)布他們的程序。另外，所有惡意軟件系統(tǒng)都包含惡意代碼，讓它們在反病毒檢測啟用前能夠更新自身。

筆者最喜歡的網(wǎng)站的VirusTotal，其中有55個反惡意軟件程序，還有很多惡意軟件編寫者用來測試其程序的相同測試引擎。

反惡意軟件產(chǎn)品的檢測率非常糟糕，供應商怎么可以聲稱100%的檢測率?

3.隱私權(quán)不再受關(guān)注

讓筆者很驚訝的是，很多人已經(jīng)接受其生活的各個方面都不在保密的事實。所有主流社交媒體網(wǎng)站都會追蹤用戶上網(wǎng)行為，這種精確度讓任何國家的間諜機構(gòu)眼紅。

甚至我們的位置信息也可能被追蹤，通過藍牙、GPS或者需要我們提供身份信息的服務。

網(wǎng)絡公司將隱私權(quán)隱藏在無人閱讀的法律協(xié)議中(+微信關(guān)注網(wǎng)絡世界)，但即使隱私侵犯用大字寫在整個屏幕，用戶仍然會點擊確定。例如，供應商可能會告訴你他們可以永遠訪問你的聯(lián)系人信息，甚至代表你發(fā)布內(nèi)容。這種隱私侵犯很瘋狂。

4.更好的身份驗證并不是萬能藥

經(jīng)常有讀者認為更強的身份驗證(雙因素身份驗證或生物識別)可以解決大部分網(wǎng)絡安全問題。確實，更強的身份驗證可以幫助我們抵御網(wǎng)絡犯罪，但大多數(shù)網(wǎng)絡犯罪并不是源于身份驗證問題。通常情況下，攻擊者會入侵計算機，并獲取合法用戶的權(quán)限。他們并不關(guān)心你使用何種身份驗證方式，他們關(guān)注的是你是否忘記修復你的計算機或者下載并運行了木馬程序。更好的身份驗證是該解決方案的一部分，但并不是全部。

該怎么辦?

911事件讓全世界認識到松懈空中安全帶來的可怕后果。現(xiàn)在我們已經(jīng)強化了駕駛艙門、提高了機場安全，以及各國和執(zhí)法機構(gòu)之間的溝通。我們可能不喜歡在機場安全檢查站的不便，但我們的空中旅行更安全了。

現(xiàn)在，網(wǎng)絡犯罪很嚴重，但這仍然被認為是做生意的成本，而不是危機。筆者衷心希望我們將不再需要忍受糟糕的網(wǎng)絡安全狀況，而是發(fā)展到這樣的水平，即經(jīng)營成本和不便要高于真正變革的成本和不便。無論怎樣，我們應該讓互聯(lián)網(wǎng)變成更安全的地方。(鄒錚編譯)