“人们容易上当受骗,并且容易分心,”他观察说。加上还有一些人只是想赚快钱。结合这两点就为黑客打开了许多大门,这也是人性的一部分体现。
这可以从技术投资者开始说起,他们希望以最小的风险实现多样化:“他们把风险资本投资于初创的网络安全公司,但他们对网络安全的知识有限。”向他们呈现的解决方案可能是有智慧的,但往往也是不切实际的,或对市场而言过于昂贵。而当投资者通过向网络安全公司施压让他们去赚钱时,他们就会去寻求不具分辨能力的客户。
成为客户——或是受害者:“许多管理者了解网络安全,但更多人并不了解。他们也不评估或去了解他们的风险。”Kolochenko 说道。为了证明这一点,他引用了一些安装了昂贵但不充分的网络安全解决方案之后,几乎每周都会被遭到黑客攻击的公司的例子。“一些网络安全公司引导他们进入随机的优先级,而不是识别并满足他们的前十大网络安全要求。”他们花费了大量的金钱来减少错误的风险,但他们许多的关键性风险并没有得到解决。
墙上的洞
Kolochenko 将数字资产清单的不完整性视作一个全球弱点,不论它是否由硬件、软件、数据或用户所代表。“通过云计算、数据共享和互联性,遍览无遗确实困难。”
有了这一认识,黑客找出公司数据防御中最薄弱的环节,经常是通过分析关联方并通过它们进行攻击,而不是直接攻击大公司。
“公司建造了城堡,然后在城堡周围建了一堵墙。但他们周围都是可以访问城堡的村庄、农民和商人。他们要么忘了,要么无法追踪所有的连接。在这种情况下,一堵墙或一道防火墙,给不了过多的保护。”
任何企业都可能引起黑客的兴趣,勒索软件使这些企业都成为了黑客潜在的收入来源。但这是人的问题,而不是软件的问题,Kolochenko 强调说。“现在的问题是把人作为进入城堡的入口。”
保护瓶颈
High-Tech Bridge 的核心业务在于机器学习与人工智能在应用程序安全中的应用,以及测试网络和移动应用程序的漏洞。至少根据作为ICT 咨询领域黄金标准的2016 版Gartner 应用技术成熟度曲线,这的确是当下的一个焦点:
应用程序,而不是基础设施,代表了数据泄露的主要攻击载体。由于一些如移动化和云的趋势,机构更加失去了对其基础设施的控制,而应用程序也成为了欺骗机构安全政策的最后控制点之一。
Kolochenko 去年入选福布斯技术委员会,并在最近开始攻读法律硕士学位。“技术和人文科学在未来将交织在一起,”他相信。“我不想落伍。”他还看到,如何让法律制度跟上数字化技术发展的挑战。“当今,如果某家企业遭到黑客攻击,他们只能靠自己解决问题。法律制度起不到保护作用,”他直截了当地说。
网络投降
法律界对黑客攻击无计可施的一个例子:当一台访问公司关键任务数据的机器被阻塞时,他们只是简单地告知支付赎金来释放数据。调查和起诉既费时又复杂,支付少量的费用以保持企业的运行更为实际。
这种做法已经变得如此司空见惯,以至于数据劫持者甚至在多语言话务中心中提出如何支付赎金,甚至如何保护数据不受未来攻击的建议。“现在甚至出现了作为一种服务的勒索软件,”Ilia 说道。“他们卖出攻击软件并收取固定费用,而黑客只需简单地安装这些软件就可以去干活了。”
虚拟屈服也日趋制度化:“企业为解锁设备制定比特币的预算,而不是使用资源进行反击。”由于经济或道德的原因,私人用户更可能拒绝支付赎金,而企业则成为了更易下手的目标。“他们需要他们的数据来保持运作,而支付少量费用对他们来说不是问题。50美元对个人来说可能是一大笔钱,但对一家公司来说不算什么。而且,公司不想公开承认他们被黑客攻击过,这样会让他们看起来是脆弱或不专业的。”
但难道黑客从来都没有被抓住过吗?“初学者和那些普通黑客有被抓住过。如果你变得贪婪,去索取太多的赎金,公司可能会追查你。或者,如果一辆兰博基尼突然停在你新房子的车道上,你就自找的要被抓住了。但真正的专业人士能够在技术上使得入侵几乎无法被追踪。”
如何不被入侵呢?“只要保持更新所有的系统和所有安装的软件,”这是Kolochenko 实用的建议。“足以最小化大多数漏洞。”大公司一夜之间不会有太大的变化,他指出。受遗留系统、合同和内部政策的约束,他们只能保持某种程度的保护力度,因此他们总弱点相伴。
一切都能被入侵——但为什么是你呢?
“我们还可以测试汽车等其他可以被入侵的资产,但网络安全公司为了创造生意而围绕这些风险做了过多的夸大宣传。”那就是说,Kolochenko 欣然承认物联网和传感器饱和可能导致问题:“百分之90 的制造商在他们的产品中嵌入传感器时不会关心安全问题。通常,这些系统甚至无法更新。”但是,他仍相信几乎一切都可以被入侵是在夸大其词。
“不是一切都需要联网。你不必将你的智能马桶连接到网上。”对此Kolochenko 归纳出了一条简单的预防规则:“只要不把手指插进灯座上,你就不会触电。通过互联网与你的汽车互动似乎很酷,但你也会被暴露,这时你就要判断,这样做是否值得?也许你只需在你的汽车里写入程序,让汽车按指示行事,然后让它保持离线。”
技术和人文科学在未来将交织在一起。
虽然他承认大多数人不由自主地会陷入过度连接的诱惑之中,但Ilia Kolochenko 对人类实用性的洞察使他不用害怕最坏的结果。“如果你想要接管一辆汽车,打破车窗总比入侵主板容易。如果你想要毁掉什么,烧掉它比入侵它容易得多。”
一个非常实际的提醒,即使我们登上网络空间,我们仍然只是人类。