经过与新冠肺炎疫情(以下简称“新冠病毒”)长达一年半左右的斗争,我国已基本实现疫情控制,人民生活逐步恢复正常,国民经济逐渐复苏。站在今天这样一个历史节点回望抗击新冠病毒的这段征程,作为一个网络安全从业者,作为一个新冠病毒应对的局中人,从而生出了一点关于网络安全应对的思考,并结合查询到的一些参考资料,写下了本篇文章,对新冠病毒威胁和网络安全威胁的相似之处进行分析,试图寻找一点思路。
5月5日晚,文化和旅游部公布出2021年“五一”假期旅游市场数据。统计显示,5月1日至5日,全国国内旅游出游2.3亿人次,同比增长119.7%,按可比口径恢复至疫前同期的103.2%。
图:“五一”假期出行情况
从本次五一小长假出行数据来看,国内疫情经历了前期的几次大考,算是真正的平稳下来,疫苗接种情况也比较乐观。
图:新冠病毒疫苗接种情况
现如今,大家一方面逐步恢复了正常的工作、生活状态,另一方面,经过此次疫情,彻底让大家生出了忧患意识,前所未有的重视应急处置能力。例如,五一期间,因大风吹扬地膜致接触网故障造成部分高铁晚点,导致北京西站大量旅客滞留,现场混乱,手机信号时有时无,一些乘坐非停运高铁的旅客也被拦在了站外,针对这一事件,网上讨论异常激烈,譬如:应急抢险能力是否充沛?应对预案是否考虑周全?现场管理是否到位?网友提出的这些疑问给相关方面应急管理敲响了警钟。其实,无论在哪个领域,都应该加强应急管理体系和能力建设,在我所处的网络安全领域同样如此。
图:北京西站官方通告
上文我提到了新冠病毒,提到了网络安全,本篇文章主要就是分析这两者之间的联系,通过发现网络安全威胁与新冠病毒威胁的相似之处和差异,学习新冠病毒的应对措施和应对机制,为应对网络安全威胁提供一点思路。
在网络安全领域,网络安全威胁和新冠病毒威胁具有共同特征。单从两者的直接联系上来看,新冠病毒证明了当前社会对信息技术的依赖,包括需要强大的网络安全来保障远程办公以及我们正在使用的信息技术。从威胁特征来看,两者之间也存在很多相似之处。具体表现在:威胁性质、威胁应对态度及措施、威胁信息传递、个人利益与公共利益等方面。
新冠病毒是一种新的冠状病毒毒株,在一定的条件下可能随时发生变异,其症状因人而异。同样,网络安全威胁可以采取多种形式,并且也会随着时间而变化。尽管两者都存在不断发展、变化的性质,但仍然存在可以减轻风险的防护措施。针对新冠病毒,防护措施包括:勤洗手、保持社交距离、戴口罩、物体表面消毒等。类似地,常用的网络安全保障措施包括:安装防病毒软件、定期升级系统或软件、使用强密码、不单击可疑附件等适用于大多数系统和服务,但也会因情况而异(例如:居家办公),需要采取额外的措施。
新冠病毒和网络安全的另一个相似之处是隐蔽传播,并且存在潜伏期。受影响的一方可能是无症状的(看不出任何异常),比如,新冠病毒的无症状感染者可能会无意间将其传播,同样,我们连接那些受感染的信息系统也可能如此。仅仅因为系统没有显示出受到破坏的迹象,并不意味着它们是安全的,这并没有夸张,没有谁能保证存在绝对安全的系统,况且很多证据表明,恶意软件感染、高级持续性威胁以及其他安全漏洞都是如此被利用的。
无论是对新冠病毒还是对网络安全而言,感染和传播的后果可能不易观察,可能会延迟,也可能会在强度上有所不同。如果没有切实的、直接的影响,就很难发现感染与造成影响之间的绝对联系。对于新冠病毒的无症状感染者,如果没有可靠的流行病调查(流调),我们可能无法知道他们可能感染了多少人,从感染到症状发作、发作强度之间的时间也存在个体差异,影响范围从严重、使人衰弱到轻度或无症状。与新冠病毒一样,网络安全事件的短期影响可能很严重(例如,财务损失;网络架构、关键信息系统的重大破坏),可能很温和且易于恢复(例如,只需在个人电子邮件帐户上重置密码)。此外,两种威胁都可能产生长期影响,感染新冠病毒可能会导致器官的永久性损害,而在网络安全领域,信息系统可能永远无法从网络攻击中完全恢复。
保障措施的有效性度量是另一个相似之处。网络安全领域可能很难确定因果关系,因为针对保障措施的有效性度量研究还较少,并且受混杂因素的影响,比如,是由于已采取的保障措施而减少了攻击次数,还是攻击的载体/目标发生了转移或变化?又或者是因为有效监测和识别威胁的能力不足,而没有察觉?相比之下,即使在防护措施有效性方面存在未知,新冠病毒的措施有效性可以被科学地发现,例如,阳性率、医学试验和传播模拟。然而,与网络安全类似,受许多其他因素影响,同样很难确定新冠病毒应对措施和感染趋势之间的因果关系。
就人们的应对态度和应对措施而言,新冠病毒威胁和网络安全威胁之间也存在相似之处。两种威胁都致力于破坏正常行为,并要求人们采取防护措施,因此,由于不适应和防护措施所带来的不便,即使人们一开始不得不去做,但久而久之,可能也会导致疲劳、不坚持,最终产生违背防护措施的行为。
另一个相同特征是防御威胁所需采取的措施存在争议性。有些人在面对这两种威胁的情况下都会存在不采用公认的保障措施,尽管存在最佳实践,但仍然有人不接受,存在分歧。针对新冠病毒,某些对策或治疗效果仍不确定而导致争议,在网络安全领域,仍然有部分人坚持认为,杀毒软件等安全措施对系统性能的影响大于其保护作用。另外一个争议是,很多人对新冠病毒威胁的严重性持有不同的看法。在网络安全领域,仍有一些人选择不去理会已经存在的网络安全威胁。
以上两种相似点都存在于那些认为自己不太容易受害或不太可能成为受害者的群体。以新冠病毒为例,这部分群体通常为症状较轻的年轻人和未成年人,他们可能由于网络谣言或模仿同伴而选择不戴口罩来预防新冠病毒。在网络安全方面,使用苹果设备(Mac系统)的用户经常认为他们能够免受恶意软件的侵害。与新冠病毒不同的是,网络安全漏洞是由攻击者蓄意而有针对性的采取的行动所造成,因此大多数人可能存在侥幸心理,不相信自己能成为攻击目标,也不会将自己视为潜在的受害者,然而,现实情况是,这部分群体没有任何抵御威胁的免疫力,他们受到威胁的可能性虽小,但仍然可能受到影响,并最终影响其他人。
如果大家根本不了解需要做什么,比如,当规则从根本上不清楚或由于大家无法与之产生联系时,就会产生额外的风险。这在网络安全领域很常见,大多数人不具备执行某些安全策略的技能或知识。因此,这也为后续的网络安全工作敲响警钟,如何有效地为其目标受众制定威胁应对措施变得十分必要。
新冠病毒威胁与网络安全威胁在信息传递方面也存在异同,尽管都存在一些阻力,但应对新冠病毒的一个成功之处在于能够迅速向广大民众传递疫情信息。以我国为例,迅速封锁交通要道,同时伴随着广播电视、新闻和在线媒体上到处出现的明确警示信息:“戴口罩、勤洗手、不扎堆、不聚集……”,这些简短的应对指南明确地传达了人们必须做什么来抗击疫情,可以说是最简单、最直接的指导性口号。
相比之下,网络安全风险沟通滞后,威胁信息传递渠道狭窄。长期以来,“保持网络安全”最让人熟知的口号是:“重启、关机、断网”。虽然有类似的传播风格,但在内容方面往往过于绝对,并没有将”是什么、为什么“发达出来,可以说不太成功。网络安全应对指南可能感觉不如健康指南那么具体,网络安全概念更加抽象,不容易为公众理解,并且取决于具体的威胁,其应对措施也更加多样化。尽管新冠病毒在医学上很复杂,但大多数人往往了解传染病的基本知识,知道要经常洗手、呆在家里,并采取每年注射流感疫苗等预防措施。
新冠病毒威胁与网络安全威胁都面临着挑战,随着威胁的不断演变,关于如何应对威胁的信息也在变化。例如,在疫情发生时的封锁阶段,信息很明确——戴口罩、勤洗手、呆在家里,保持社交距离,这很容易被理解。在网络安全方面,这等同于禁止在工作场所使用个人设备或不将某些系统与互联网连接等策略。然而,一旦放松到边界范围之外,就会出现混乱的可能。这个边界范围可以这样描述:如果一开始允许人们出去社交,那么他们可以去哪里,他们一次可以见到多少人?如果允许在工作场所使用个人设备,那么允许使用的范围是什么?另外,随着威胁的不断演变,更新不断变化的应对指南也是一个挑战。当基本建议广为人知时,情况往往会发生变化,需要额外或修订建议以确保充分的保护。例如,最初美国和英国的群众都被告知戴口罩没有效果,但随着新信息的出现,建议也随之改变。同样的挑战也存在于网络安全领域,尽管网络安全应对变化不那么迅速,例如,美国国家标准与技术研究院(NIST)在2017年发布的《数字身份指南》中提出了混合使用字符类型的密码建议,该指南认为,这一建议对防止密码泄露没有任何帮助,但肯定会妨碍可用性。尽管如此,几年之后,仍然有许多与字符复杂性相关的密码指南。令人无奈的是,在新冠病毒和网络安全领域,指南的变化都会引起一些人对建议的有效性和来源的可信度的质疑,并以指南的变化作为不遵循的理由。
新冠病毒和网络安全两个领域,有时也存在个人利益与公共利益之间发生冲突的情况新在冠病毒领域,有极少部分人会因为个人自由而拒绝戴口罩,另外疫情期间通过手机通信网络定位用户也让人担心可能会侵犯个人隐私。而在网络安全领域,发展与隐私一直以来也被认为具有冲突关系,强调其中之一被视为不利于另一方。
举个例子,一开始被列为超级高风险的地区,经过该地区或呆过该地区的人被视为极高风险人群,由于害怕和担忧,大家都保持极高警惕,就算核酸检测结果正常,也被强制要求戴口罩和隔离,而对于其他人的担忧也许并没有那么明显。在网络安全领域,假如一台家用物联网(IoT)设备被添加到僵尸网络中,并被用来对他人发起网络攻击,这就导致系统被破坏的用户可能不会遭受任何直接的负面影响,但是由于他们的设备安全故障,可能会引起对他人的损害。这两个例子表明,大家对新冠病毒的预防意愿非常高,而在网络安全领域却缺乏清晰的社区保护意识。但这种情况也不难理解,因为大多数人都难以理解网络安全与个人之间的关系,更不用说他们会考虑自己的行为可能如何影响其他人了。
新冠病毒的应对信息简明、清晰、可操作性强且信息来源可靠、一致且准确。如“戴口罩、勤洗手、保持社交距离”所对应的保护对象是“呼吸道、手、空间”,而在网络安全领域,或许类似的三重提醒可能是“设备、身份、数据” 等。需要突出了人们应该认识并保护的三个对象维度,甚至还可以设计一些易于普罗大众理解并愿意坚持的标语(之前网络安全周的主题“网络安全为人民、网络安全靠人民”的标语就很好,但是缺乏“是什么、为什么”的含义,导致话语很空,没有使人们与之产生强关联)。另外,网络安全还可以从新冠病毒应对所强调的社区保护当中汲取经验,如果每个人都对网络安全威胁保持警惕性,那么将极大的减少网络安全事件发生的可能性。有人可能会说,我们看到了新冠病毒应对中更有效的大规模信息传递和保障措施的执行,是因为它带来的风险更大。然而,尽管网络安全威胁尚未具有如此的紧迫性或广泛影响,但是,现如今的我们身处数字世界,想象一下,如果连接的医疗健康设备或与安全相关的物联网设备遭到黑客入侵,那将直接对我们的生命造成威胁。
虽然流行病毒终将过去,但网络安全却是终生的。新冠病毒应对表明,分级防御体系是有效的。例如,对个人和地区都实行等级划分,高/中/低风险地区、高/中/低风险人群,针对相应地区/人群所采取的监管、保护措施有所区别。网络安全同样如此,如果基础身份验证结构存在漏洞,或者电子邮件提供者没有过滤掉已知的不良或可疑内容,则在各个级别上使用强身份验证和对可疑电子邮件发出警告的效果都将受限,因此,必须强化网络安全分层防御,划分不同的层级,明确各层应该执行什么样的保护策略,建立分类分级机制,更重要的是实实在在的去落实和执行。