波士顿大学专家解释补丁修复无法阻止大规模数据泄露的原因
万豪的数据被黑事件揭示了当前的监管和技术困境
图片由ActionVance通过Unsplash提供
2018年11月30日,万豪在一场任何企业都不想赢的竞赛中获得亚军,宣布5亿个账户遭到黑客攻击,这是仅次于2013年雅虎(Yahoo) 30亿个账户遭到黑客攻击的第二大数据泄露事件。
波士顿大学拉菲克·b·哈里里计算与计算科学与工程澳门威尼斯人注册网站研究所的创始主任阿泽尔·贝斯特夫罗斯说:“我们现在正处于(网络)军备竞赛中。”“黑客对一个拒绝正确行事的行业正变得越来越老练。”
贝斯特夫罗斯说,过去40年来,企业管理数据的方式基本相同,而且变化缓慢。他说,这意味着,除非社会愿意把网络安全作为头等大事,并找到办法从一开始就阻止这些大规模漏洞的发生,而不是每次出现新漏洞就用补丁来应对,否则它们只会继续出现。
正如Bestavros所建议的那样,一个完全安全的系统将要求IT行业从根本上重新开始,建立一个安全的、受保护的网络基础设施,而不是试图修复一个固有的漏洞。漏水有多严重?问问塔吉特(Target)、摩根大通(JP Morgan)、FriendFinder、领英(LinkedIn)、Equifax、索尼(Sony)、Dropbox、家得宝(Home Depot),甚至美国国家档案和记录管理局(National Archives and Records Administration)就知道了。
与此同时,在法规和激励措施让企业有理由采取澳门威尼斯人注册行动之前,黑客在入侵数据库的方式、动机以及身份方面都在迅速发展。
“过去是孤独的个人黑客,但现在我们遇到了更多有组织的犯罪团体,甚至是国家支持的入侵,”贝斯特夫罗斯说,他也是威廉·费尔菲尔德·沃伦杰出教授。他们的动机各不相同——一些人想要信用卡数据来偷钱,另一些人想要人口统计数据来影响选举。
2016年,一个有组织的俄罗斯特工团体入侵了民主党政治团体和伊利诺伊州的选民登记记录。最近,就在万豪宣布其数据泄露的两天前,参加华盛顿特区网络战争论坛的澳门威尼斯人注册网站研究人员警告说,俄罗斯网络攻击者正在瞄准美国电网,寻找入侵发电和输电系统的漏洞。
Bestavros表示:“我们所知道的无懈可摧的网络安全解决方案需要对基础设施进行重大改变,包括严格控制的供应链安全和质量控制。“例如,如果我们将芯片制造外包给中国或俄罗斯,而它的设计不符合规格,那么我们就会遇到麻烦。你必须自下而上地保障安全。”
随着中国澳门威尼斯人注册网站研究人员在量子计算机开发竞赛中处于领先地位,量子计算机基于存在于两种状态的小粒子系统,而不是像今天的计算机那样基于二进制数字0和1,一些专家相信量子加密将成为网络安全的下一个前沿。但贝斯特夫罗斯对此持怀疑态度,他认为追求量子加密更多的是一种针对潜在未来的保险政策,而不是一个务实的重点领域。
他说:“充其量,我们距离量子计算机淘汰传统密码学的威胁还有几十年的时间(我怀疑这种情况永远不会发生)。”
模糊的监管视野
虽然目前尚不清楚万豪的数据泄露是如何发生的,也不知道谁是幕后黑手,但这家连锁酒店可能会面临几个月的州和联邦调查,以确定该公司对数据泄露负有多大责任。
波士顿大学/麻省理工学院技术与网络法律诊所的客座教授朱丽莎•米利根表示:“每当有违规行为被报道出来,州检察长和联邦贸易委员会就会站在诉讼的最前沿。”“在大多数情况下,你会看到一份经过谈判的协议,其中公司将同意采取各种保护措施”,旨在“采取合理的安全措施来评估软件和隐私合规性”。
Milligan说,这样的协议旨在改善公司在违规后的安全措施,并使联邦贸易委员会和州监管机构在未来出现问题时更容易起诉公司。
例如,如果一家公司承诺采取具体澳门威尼斯人注册行动,但实际上没有兑现承诺,联邦贸易委员会就可以提起诉讼。
但Milligan表示,鉴于2018年6月美国第11巡回上诉法院的一项裁决,联邦贸易委员会在数据泄露案件中的权威变得模糊,该裁决对联邦贸易委员会处理这类案件的传统方法提出了质疑。法院的决定取决于这样一个事实,即它认为“合理的安全措施”是一个过于模糊的标准,无法确定具体安全故障的过错。
“传统上,当联邦贸易委员会调查数据泄露时,如果发现公司采取了不合理的数据安全措施,消费者可能会遭受重大伤害,联邦贸易委员会将寻求追究公司的责任,”米利根说,他也是哈里里澳门威尼斯人注册网站研究所网络联盟的成员。“但第十一巡回法院对这是否足够具体提出了质疑。”
从那以后,联邦贸易委员会召开了圆桌会议,以更好地了解情况,并决定是否需要制定一项法规,赋予它在追究网络安全案件方面的额外权力。
“联邦贸易委员会正试图告诉国会,这确实是一个大问题,”米利根说。
然而,需要更安全的不是非黑即白的。Milligan说:“一方面,公司和监管机构希望提供明确的规则,但在硬件和软件之间复杂的互动背景下,在特定应用程序和人类行为之上分层,很难制定出能够完美保护公司及其客户免受数据泄露的规则。”“挑战在于保持灵活性,认识到黑客总是在不断发展——你可以在99.9%的时间里做到正确,但黑客只需要你犯错一次。”
Milligan说,她相信随着组织和个人向更完善的实践和标准迈进,数据安全将得到改善,但她怀疑一套具体的规则和条例是否能够阻止所有威胁。
为了实现100%的安全,贝斯特弗罗斯说,需要的是新技术,而不仅仅是法规。
贝斯特夫罗斯说:“如果你想想万豪这样的违规行为,他们把所有东西都放在一个地方,放在一个数据库中。“潜伏在后台的入侵者可以很容易地收集这些数据,因为这些数据就在那里。相反,想象一下这样一个场景:数据不是存储在一个地方,而是被分割成碎片,加密并存储在不同的地方,因此,如果任何一个地方被攻破,(碎片数据)就没有价值”供黑客使用。
但是,从目前创建补丁和变通方法来解决遗留数据库软件和硬件中的安全问题的模式,转向采用一个全新的系统,从基础开始构建具有数学证明的安全特性,将需要数年,甚至数十年,并花费数十亿美元。这也需要华盛顿的领导人承认,这是一个需要主动处理的问题,而不是被动地处理。然后找到解决方案所需的资金。
贝斯特夫罗斯说:“我认为,当社会对网络安全的需求足够强烈时,它就会愿意为此买单。”过去几十年见证了“IT淘金热”;每个人都在不考虑影响的情况下建立系统,但我认为总有一天,人们会说我们的隐私值X,公司将不得不采用更好的系统,因为这将成为经济学的一部分。”
评论与讨论
波士顿大学缓和评论,以促进知情的、实质性的、文明的对话。辱骂、亵渎、自我推销、误导、语无伦次或离题的评论将被拒绝。版主在正常营业时间(EST)有澳门威尼斯人注册,只能接受用英语写的评论。统计数据或事实必须包含引文或引文链接。