En ekspert i AMERIKANSKE national cybersecurity forskning og politikk, sier den neste generasjonen av teknologi må ha sikkerhet bygget inn fra starten av.
Business-Rapport
Cyber Overlevelse
Innhold
-
Cybersecurity: Alder Megabreach -
Hvorfor er Vi Så Sårbare -
Venture Kapitalister Chase Stigende Cybersecurity Utgifter -
Hvordan PayPal Øker Sikkerheten med Kunstig Intelligens -
Halv-Tiltak på Kryptering Siden Snowden -
Nye Rapid Response Systems Sløv Nettangrep -
Å finne Usikkerhet i tingenes Internett -
Kina Rammet av Fremveksten av Angrep -
Europa Reiser Barrierer for Amerikanske Data Overføringer -
Ingen Vet Hvor Mye Datakriminalitet Virkelig Kostnader -
Hvordan en Overreaksjon til Terrorisme Kan Skade Cybersecurity -
Kan Vi Forsikre Internet of Things Mot Cyber Risiko? -
En Nærmere Titt på Cyber Overlevelse
Se Flere Rapporter
I en alder av stadig elektronisk brudd og økende geopolitisk spenning over cyber-spionasje, det Hvite Hus arbeider på en national cybersecurity strategi som er forventet tidlig i 2016. Å bidra til utkast til at strategien er Greg Shannon. Han var inntil nylig sjef forsker ved Carnegie Mellon University ‘ s Software Engineering Institute, og er nå på permisjon for å fungere som assisterende regissør for cybersecurity strategi i det Hvite Hus Office of Science and Technology Policy.
I et intervju med MIT Technology Review ledende forfatter David Talbot, Shannon forklart at du arbeider med i dag er hyppige brudd og spionasje trusler—som har påvirket føderale etater, samt bedrifter og enkeltpersoner—krever fundamentalt nye tilnærminger til å opprette alle typer programvare. Fikse infrastruktur for godt kan ta to tiår.
Cybersecurity har lenge vært en alvorlig bekymring. Har de siste hendelsene virkelig forandret spillet?
Hvis du bare vurdere angrep på Sony—det var en skjellsettende begivenhet. Den, omfang, og kostnadene var enorme. Og det avslørte hvor tett cybersecurity og vår økonomi henger sammen—og at helse i økonomien er nå potensielt på spill.
Hvorfor er stort brudd som dette skjer? Er det milliarder av dollar brukt på nye sikkerhetsteknologier i de senere år ikke fungerer?
Det er mer at insentiver til å føre skadelig cyber aktiviteter holde skyrocketing. I de tidlige årene av Internett, økt effektivitet fra nettverksbaserte IT-infrastruktur oppveier den sikkerhetsrisikoen som er opprettet av denne infrastrukturen. Truslene var alltid der, men det var greit å bruke plastrene. I dag er hva som er tilgjengelig online, og dens verdi, fortsett å øke eksponentielt—og så gjør de insentiver til å utnytte systemer og stjele data. Det vi ser er resultatet; helt, trusler og angrep er større enn de noensinne har vært. Og dette har ikke vært fremst i tankene-set på de fleste selskaper som produserer programvare infrastruktur eller Internett-tjenester.
Fremveksten av et Internett-ting—sammenhengende milliarder av enheter—gir en mulighet til å gjøre ting riktig fra starten av.
Hva er den underliggende teknologien problemet?
Svaret kan kanskje virke abstrakt og tørr, men det har å gjøre med effekt og effektivitet. På effekt, hvordan vet du at du installerer en ny sikkerhetsteknologi er bedre enn å gjøre ingenting? Du ofte ikke. Og på effektivitet, vanlig tilnærming er at du løser et nylig oppdaget problemet, slik at motstanderen ikke bruke denne metoden lenger. Men på slutten av dagen dette ikke oppnå mye, fordi det ikke lage en generell og systematisk løsning. Det er ikke effektiv.
Vi trenger å restrukturere hvordan vi bygge programvare, og utvikle sikkerhetssystemer som har bevis for at de faktisk verdiskaping. Dette krever grundighet i hvordan milliarder av linjer med kode som kjører vårt nettverk infrastruktur er faktisk skrevet og oppdatert.
De eneste stedene hvor programvaren skriving er virkelig streng er steder som NASA—der de bygger kode som må jobbe i mange år og fra millioner av mil unna. De har svært formelle metoder og bruk godt kontrollert verktøy og spesielle teknikk, for å være helt sikker på at programvaren er pålitelig og bug-free.
Hvordan kan vi gjøre alle IT-infrastruktur så stor som den koden som kjører en Mars-sonde?
Mange kolleger og jeg er viet til dette spørsmålet. Først er det viktig å forstå at det er en rekke ikke-tekniske spørsmål som holder hverdagen programvare fra å være noe i nærheten av det gode. Det er ikke regler eller konsekvensene at programvare selskapene opplevelse hvis det er problemer nedover veien—med unntak av enkelte høyt prioriterte domener som atomkraftverk eller lufttrafikktjenesten.
Så på den politiske siden du trenger for å vurdere insentiver for alle til å skrive bedre kode—kan det være på grunn av ansvar, regelverk, eller markedsmekanismer. Og på teknologi-siden du trenger for å lage markedet insentiver så strenge programvare utvikling metoder, som de som NASA bruker, blir langt mer effektiv og enklere for alle å bruke. Kongressen i 2014 Cyber Security Enhancement Act, spurte for en føderal cybersecurity R&D strategisk plan, og at planen blir utarbeidet, etter utgivelsen av tidlig i 2016.
Og mens det vil alltid være sant at skadelig innsidere eller menneskelige feil kan skape problemer, god programvare kan til en stor grad takle det også, ved å skape klare regler for bruk og sender varsler når noe unormalt skjer.
I mellomtiden, hva kan bedrifter gjøre for å beskytte seg selv?
Hvert selskap, fra den minste til største, bør du bruke beste praksis, og tar hensyn til det enkelte selskaps eiendeler, trusler, og cybersecurity evner. For å være sikker, mange systemer er svært svak. De fleste systemer har millioner av linjer med kode, og typisk pris for en software bug er en per 1 000 linjer med kode. Selv om en ut av en hundre av disse feilene vind opp med å lage et sikkerhetsproblem, som er en tetthet kan du ikke egentlig holde opp med. Men hvis selskapene følger beste praksis, de kan bli mye bedre—og til slutt unngå mer [hacks som en on] Sony.
Vi kan ikke komme i NASA-nivå programvare, men er det noen som gjør det riktig?
Ett enkelt mål som er klart kritisk nødvendig er at produkter trenger en måte å ha det vanlig og sikker programvare oppdateringer. Man kan argumentere for at selskaper som Tesla og Google og Apple—og, til en stor grad, Microsoft—gjør det. Google Chrome oppdateringer skje i bakgrunnen; det trenger ikke engang spørre om tillatelse lenger.
Apple iOS infrastruktur gjør en god jobb som ikke krever hverdagen app utviklere å bekymre deg for mange, men ikke alle, sikkerhetsspørsmål. Med Tesla, oppdateringer kan skje når du lade bilen.
Hva er den største muligheten nå til å forme en mer sikker fremtid?
Fremveksten av et Internett-ting—sammenhengende milliarder av enheter—gir en mulighet til å gjøre ting riktig fra starten av. Nettverksenheter i biler og hjem, og bærbare enheter, kunne introdusere en rekke nye angrep vektorer, men hvis vi gjør ting rett med disse enheter og cloud-basert teknologi, kan vi sørge for at den neste generasjonen av teknologi vil ha sikkerhet innebygget.
Hvor lenge før den innsatsen du har snakket om vil gjøre vårt nettverk infrastruktur i stand til å tåle økt insentiver til å angripe det?
For de mest kritiske komponentene i områder som elektrisk strømnett og store industrielle systemer, fem til 10 år er gjennomførbart. Å være gjennomgripende det vil ta 20 år eller mer.
Neste i denne Virksomheten Rapportere:
Venture Kapitalister Chase Stigende Cybersecurity Utgifter
Fortsett