云賀

政府和企業(yè)作為防御者，應將資源投入到那些最緊迫、最有可能發(fā)生網絡威脅的領域。

近年來，全球頻發(fā)網絡安全事件。2015年5月，蘭德公司對6000余名美國成年人展開了一項調查，結果顯示：在2014年6月到2015年6月，26%的被調查者收到過個人信息遭泄露的通知。蘭德公司據此預測：僅過去一年，美國就有6400萬成年人的個人信息遭到泄露——這相當于超過1/4的美國成年人口。

針對日益突出的網絡安全問題，蘭德公司2016年6月發(fā)表了題為《網絡犯罪：你需要知道什么》的文章，對該公司今年發(fā)布的若干網絡安全系列報告進行了梳理和總結，主要從網絡黑客和防御者角度出發(fā)，探討網絡犯罪的現狀、網絡防御工作的困境及未來走向。

“網絡黑市”熱鬧而隱秘

蘭德公司的研究人員將售賣網絡犯罪工具和用戶信息的市場，形容為一個熱鬧的“集市”。在這個“網絡黑市”中，黑客和其他網絡犯罪者像商人一樣販賣各種服務與產品，并通過隱秘的聊天室或論壇接頭和交易。購買者可以很容易地在黑市里找到任何想要的東西：用戶的醫(yī)療記錄、可供雇傭的黑客、惡意軟件開發(fā)工具包、僵尸網絡病毒、勒索軟件等等。

據蘭德公司估算，目前“網絡黑市”的價值至少有數十億美元。

“網絡黑市”的內部運作復雜有序，且組織嚴密。在黑市中，參與者們分工明確、層級分明，包括維持秩序的管理員、從事犯罪工具研發(fā)的專家、中介、供應商、中間商、普通成員等。此外，黑客們按照專長不同，甚至已經打出了自己的“品牌”。俄羅斯的黑客們以提供高質量的產品與服務聞名;越南和中國的黑客群體分別主攻電子商務和知識產權領域;而美國的黑客們則主要從事金融犯罪。

蘭德公司在今年發(fā)布的網絡安全系列報告之一——《網絡犯罪工具與數據失竊的市場》中估算，目前，“網絡黑市”的價值至少有數十億美元。而造成“網絡黑市”迅猛發(fā)展的原因主要有三方面：

第一，“網絡黑市”的門檻相對較低。無論是黑客還是購買者，都可以通過互聯網較為容易地進入市場進行買賣。因此，相比非法藥品交易等犯罪市場而言，“網絡黑市”相關產品和服務的供應量和需求量都有增無減。

第二，大多“網絡黑市”所提供的產品和服務都能通過互聯網即時送達，這節(jié)省了運輸費用，從而降低了成本，使網絡犯罪成為“高盈利”的犯罪領域。

第三，如上文所述，“網絡黑市”擁有嚴密的組織形式，且市場運營嚴格遵守相關規(guī)章制度。蘭德公司的研究人員認為，“網絡黑市”在這方面甚至超越了許多合法市場。

網絡防御者的困境

為保護網絡安全，政府和企業(yè)每年都投入了大量資金。《網絡犯罪：你需要知道什么》一文估測：現在全世界每年在網絡安全領域的總投入約800億美元。然而，大量投入并不意味著實現了成功的網絡防御。

無論是從企業(yè)還是從政府的角度來看，較為成功的網絡防御就是將網絡安全的成本最小化，即把投入網絡安全領域的資源以及遭受網絡攻擊的損失，都降到最低?？墒?，蘭德公司的研究人員在對18名大型企業(yè)首席信息安全官進行調查采訪后發(fā)現，實際上網絡防御者們普遍面臨著這樣困境：他們不知道目前投入在網絡安全領域的資源（包括資金、人員配備等）是否夠用。這主要體現在兩方面——

首先，在網絡攻擊真正到來之前，信息安全官很難預估其可能帶來的損失。如何在“將投入最小化”和“將損失最小化”之間找到一個最理想的平衡點，成為一大難題。在蘭德公司的采訪中，沒有一位信息安全官可以清晰地闡釋“為什么將投入金額定為某一個具體數字”這類問題。甚至有信息安全官悲觀地表示，他們只有在又一次網絡攻擊成功之后，才知道此前投入的資金依舊不夠。

其次，相比于網絡攻擊帶來的直接經濟損失，名譽與公信力的受損才是政府和企業(yè)最為擔憂的事情。蘭德公司的文章中指出，由于涉及到名譽問題，許多政府和企業(yè)不惜斥巨資未雨綢繆。然而，這些防御投入是否必要，卻有待商榷。

以2014年摩根大通銀行賬戶泄露事件為例。盡管當時有約8000萬個客戶的信息遭遇泄露，但黑客們所做的只是將用戶的賬戶名稱、電話號碼和住址等信息收集起來。截止到2014年底，沒有任何關鍵信息被盜，也沒有任何賬戶被攻擊或者資金被轉移。這次事件并沒有造成實際的經濟損失，可摩根大通卻因為沒能保護好客戶信息，名譽大受影響。目前，摩根大通每年在網絡安全方面的投入是2.5億美元，且還有繼續(xù)增加的趨勢。

其實，許多時候網絡攻擊的風險往往被企業(yè)過分夸大，導致一樁無害的信息泄露事件也會引起極度恐慌。正如蘭德公司的高級管理學家、網絡安全系列報告作者之一馬丁·利比奇（Martin Libicki）所說：“許多網絡安全方面的花費都是出于我們的恐懼，但實際上，我們所恐懼的事情卻很少發(fā)生?！?/p>

網絡安全形勢愈加復雜

面對網絡犯罪市場和網絡防御工作的現狀，蘭德公司的研究人員在《網絡犯罪：你需要知道什么》一文中拋出了一個我們都無法回避的問題：網絡安全的未來將是怎樣的？

顯然，未來的網絡安全形勢將更為復雜。隨著物聯網的發(fā)展，除了手機和筆記本電腦，醫(yī)療設備、家用恒溫器，甚至是廚房用品都將逐步實現在線互聯功能。根據全球權威IT研究與咨詢公司高德納（Gartner）的預測：到2020年，聯網設備的數量將是全球人口數量的三倍。這意味著：每一個設備都有可能成為黑客們攻擊的目標，而這將為網絡防御工作帶來極大的挑戰(zhàn)。

不過，幸運的是，目前網絡安全問題已經引起了政府和企業(yè)相當程度的重視。從人員配備情況來看，無論是信息安全人員的數量還是影響力，現在與五年前相比都有了長足的發(fā)展。與此同時，防御軟件在不斷改善、網絡安全工具的數量也在持續(xù)增多。這些雖然還不能從根本上解決網絡犯罪問題，但至少能使其變得更加可控。

上述文章認為，現在需要做的是換一種思考網絡安全的方式。政府和企業(yè)作為防御者，應將資源投入到那些最為緊迫、最有可能發(fā)生網絡威脅的領域，而不是沉浸在由防御軟件供應商或自己編織的噩夢里。對普通用戶而言，網絡安全問題還沒有引起人們的足夠重視。蘭德公司的研究人員在調查中發(fā)現，90%的受訪者表示他們會與泄露自己個人信息的企業(yè)保持商業(yè)往來。然而，用戶寬容的結果往往是：那些發(fā)生信息泄露或網絡攻擊的公司，會失去做出改變的動力。