|
|
|
|
| 非军事化网络安全(问答) |
(转载:www.idcew.com)仿佛在恐怖和毒品的战争并没有让美国官员够忙的,网络战的鼓越来越多的节奏。
网上有间谍谷歌表示,在中国起源的攻击。与互联网流量的几个神秘的中国有关的活动。该Stuxnet蠕虫,专家说可能有针对性的伊朗核离心机。维基解密的网站上发布的破坏性袭击后,美国外交政策的机密文件。而且不要忘记几年前从一对爱沙尼亚互联网攻击。
为了应对地缘政治戏剧是在网络世界中预计,美国使用军事战略和心态对待网络安全,建立一个网络司令部并把为国家网络安全根据国防部的主持监督。
但罪行并非总是最好的防守,而且也从未是当它涉及到网络安全,麦格劳加里说,作家和安全咨询Cigital首席技术官。更安全的软件,而不是网络战士,是需要保护网络和在线数据,他在最近的一篇文章写道,“网络推销好战和影响。”
CNET科技资讯交谈,麦格劳关于如何吸引了来自网络安全的严重威胁军事化的关注。
问:那么,告诉我什么地方错了,要在网络空间的DEFCON 1现在?
麦格劳:我写了一篇与Ivan Arce的,核心的创始人和首席技术官安全技术文章。他来自阿根廷。每次我跟他,他问'你到底怎么了美国人和网络战争呢?你为什么这么迷恋网络战争?'因为没有其他人都在谈论它在世界各地。我旅行了很多国际上他是正确的。因此,我们开始谈论这是为什么。我们的主要观点之一是,有一个令人困惑的融合了网络战争的东西,网络间谍活动的东西,网络犯罪的东西,而这些故事是用来证明任何政治或经济可能已经结束的人,而不是试图消除歧义这三件事情和谈话,它们实际上是什么。
什么是与这种危险?
麦格劳:危险是,如果我们一次性一切都在'网络战争',那么我们在美国的自然倾向是让国防部处理。国防部成立了一个五月网络司令部。网络命令有一个过分强调进攻,创造数码神枪手和剥削制度比敌人更快地可以利用它们。我不认为这是明智的。俺把它比作是世界上生活在玻璃房子里与网络命令即将想尽办法,扔石头更准确,快捷地在玻璃房子里面。我们就要更适合尝试想想我们在这些系统上有缺陷,并试图消除缺陷百出的依赖,而不是。
是修辞都吸引金钱驱动?这是一个很愤世嫉俗的思维方式。
麦格劳:很多人认为它是。军方在美国的产业十分复杂的肯定是密切联系在一起的商业保安业。这并不奇怪,也不是那么糟糕。问题是,商业保安业是直到现在才了解各地安全工程和软件的安全。在过去几年的重点一直在试图阻止与防火墙的坏人,而失败。新的模式正在努力建立的东西,这不是摆在首位打破。这是正确的道路要走。如果我们要处理网络犯罪和间谍活动和战争,一次解决所有三个问题,一个答案就是建立更好的系统。
你提到网络犯罪和网络间谍比网络战争重要。这是为什么?
麦格劳:因为有一个犯罪,减少间谍活动,很少网络战争很多。 (笑)和在所有这些事情的能力的根本原因是一样的。这是系统上与安全性缺陷百出的依赖。我们可以解决所有这些问题的三个。最重要的是网络犯罪,这是我们花费最多的钱现在。这里的另一种方式来思考一下:大家对维基解密的话题,和影响的最新(机密文件)的发布是有在美国外交政策的问题是,将用于网络战攻击能力帮助我们解决维基解密问题?答案是显而易见的。第一个进攻性网络战能力会帮助我们解决问题,在极光谷歌的知识产权由中国吸了下来?答案是否定的。什么会有助于解决这两个问题呢?答案是防守。这是建立正确的东西。软件安全。思考这样的话,为什么地球上会专用(主任)需要获得关于SIPRNET(秘密IP路由器网络)分类外交电报?为什么呢?如果我们认为这个制度对构建和提供适当的,只有那些谁需要它,那么事情就会好得多了。
所谓“网络”,使之看起来更可怕。我们只是在谈论互联网,对不对?可能有一个语义问题?
麦格劳:有可能是。有越来越多的网络在美国对伊战争的重点,与网络安全问题是,有同样多的神话和福德和夸张,因为是真实的故事。这是很难为决策者和公众的CEO和找出该相信什么,因为炒作已如此巨大,例如,在爱沙尼亚拒绝服务从2007年的攻击。所以,当我们谈论Stuxnet它得到解雇。
所以这是男孩谁喊狼来了的问题?
麦格劳:是的。
Stuxnet是真实的。这就是网络战争?
麦格劳:这似乎是一个cyberweapon。我认为它作为一个网络战争行动的资格。我自己的资格是需要有一个网络攻击动力学的影响。这意味着什么身体出现问题。 Stuxnet恶意代码做了它可能破坏伊朗的物理系统的离心机或控制,实际上离心机。如果你在伊朗经营离心机数量看你看到一些难以解释的大幅下跌。 (伊朗总统马哈茂德)内贾德承认有一对离心机网络攻击。
那么,为什么在爱沙尼亚的攻击没有资格?
麦格劳:动力学的影响是重要的,但也是一种战争行为,是一个民族国家的行为。在爱沙尼亚的攻击失败的民族国家演员的考验。它也没有真正的影响试验。当然,他们的网络去了,但呐喊迪呢!谁在乎呢?如果你发生了一起针对谷歌或亚马逊他们甚至不会注意到,同类型的攻击。我认为人们使用该攻击 - 这是网络犯罪分子进行了个人在俄罗斯不是由国家, - 到了网络战争的事情炒作。事实上,在我在华盛顿[直流]工作中,爱沙尼亚的故事不断涌现出来,一遍又一遍,作为一个网络战争的例子。
什么是您的网络战的资格,讨论事项和政策?
麦格劳:今年,我一直在华盛顿更多的工作比我在过去。我去过白宫,五角大楼,智囊团交谈。我有点担心,太多的话语是网络战争。我们应该设法解开战争,谍报和犯罪方面,也许强调建立更好的制度,让自己的玻璃房子出来,而不是试图成为一个整体的网络,为[中央情报局局长]神枪手海登建议新干部。对决策者的我们的[安全]领域的概念却模糊不清。
我担心我们不是在[网络安全]国防开支的。有没有网络的分而治之的方法。也就是说,我们不能捍卫军事网络或SIPRNET但不是捍卫互联网,因为我们忽略了百分之九十的风险。在美国的大部分基础设施,百分之九十认为是重要的,是由企业和私营机构,而不是政府。那种认为我们可以保护军用网络,而不是它的其余部分只是没有任何意义。这是一个问题。另一个问题是空军一直都想统治在空中,带走,从早期和消灭敌人的能力,基础设施得到。这一个'禁飞区'的概念是有趣。不幸的是这些战术不工作的网络空间,因为有一个完全不同的物理存在。没有为参与网络空间的地面或控制空气空间这样的事情。在网络空间的事情超人的移动速度。所以这些人谁是好的军事战略家正在与网络战争政策,因为他们正在使用cyberdefense类比硬一些时间。
你提到在您的文章,“在年底,有人为破坏的安全必须支付一定的报酬,有人良好的安全性。”你是说我们认为软件制造商对缺陷承担责任?
麦格劳:我不知道答案是什么。我们需要改变的话语来左右我们如何激励人们建立更好的系统更安全,是我们该如何与风险充斥不安全的系统抑制作用建设?只要我们能有那么政策制定者的谈话也许可以用杠杆来达到某种权利会导致事情朝着正确的方向。我们不建议任何特定的方法,如责任。我们只是想改变有关战争有关安全工程被作为话语。
还有别的吗?
麦格劳:我认为我们处于危险之中,我的确认为网络战是一个真正的问题,我们必须设法解决。但是,即使我们处于危险之中,我们需要对这种理性的谈话。太多的FUD和夸张不做任何帮助的情况。
(转载:www.idcew.com) |
|
|
