AllNews

“Hoten Är Större Än De Någonsin Varit på”

En expert på USA: s nationella it-säkerhet, forskning och politik säger att nästa generation av teknik måste ha säkerhet inbyggd från början.

  • Av David Talbot den 25 januari 2016

Business Report
It-Överlevnad

Innehåll


  • Cybersäkerhet: Ålder Megabreach


  • Varför Vi är Så Sårbara


  • Riskkapitalister Jagar Stigande It-Utgifterna


  • Hur PayPal Ökar Säkerheten med Artificiell Intelligens


  • Halv-Åtgärder på Kryptering Eftersom Ryssland


  • Nya Rapid Response System Trubbig It-Angrepp


  • Hitta Osäkerhet i Internet of Things


  • Kina Drabbas av Ökningen av Attacker


  • Europa Höjer Hindren för Amerikanska Data Överföring


  • Ingen Vet Hur Mycket It-Relaterad Brottslighet Egentligen Kostar


  • Hur en Överreaktion att Terrorism Kan Skada Cybersäkerhet


  • Kan Vi Försäkra Internet of Things Mot It-Risker?


  • En Närmare Titt på It-Överlevnad

Visa Fler Rapporter

I en ålder av fortsatta elektroniska kränkningar och ökande geopolitiska spänningar över cyber-spionage, Vita Huset arbetar på en nationell strategi för it-säkerhet som väntas i början av 2016. Hjälper till att utkastet till denna strategi är Greg Shannon. Han var tills nyligen chef forskare vid Carnegie Mellon University Software Engineering Institute och är nu tjänstledig för att tjänstgöra som biträdande direktör för strategi för it-säkerhet på the White House Office of Science and Technology Policy.

I en intervju med MIT Technology Review ledande författare David Talbot, Shannon förklarade att göra med dagens täta överträdelser och spionage hot—som har påverkat federala myndigheter samt företag och privatpersoner—kräver fundamentalt nya strategier för att skapa alla typer av programvara. Fastställande av infrastruktur för bra kan ta två decennier.

It har länge varit en allvarlig oro. Har den senaste tidens händelser verkligen har förändrat spelet?

Om du bara anser att attacken mot Sony—det var en vattendelare. Skalan i, omfattningen av och kostnaderna var enorma. Och det avslöjade hur tätt it-säkerhet och vår ekonomi hänger ihop—och att hälso-och ekonomin är nu potentiellt står på spel.

Varför är enorma brott som dessa händer? Är de miljarder dollar som spenderas på nya tekniker säkerhet under de senaste åren inte fungerar?

Det är mer att incitamenten att föra skadlig it-verksamhet hålla skyhöga. Under de första åren av Internet, ökad effektivitet från nätverksanslutna IT-infrastruktur uppväger de säkerhetsrisker som skapats av denna infrastruktur. Hoten var alltid där, men det var okej att använda plåster. Idag vad som finns tillgängligt online, och dess värde, så fortsätt att öka exponentiellt—och så gör de incitament att utnyttja system och stjäla data. Vad vi ser är resultatet; absolut, hot och attacker är större än de någonsin varit. Och detta har inte varit främst i mind-set för de flesta företag som tillverkar mjukvara infrastruktur eller Internet.

Framväxten av ett Internet of things—anslutande miljarder enheter—ger möjlighet att göra saker rätt från början.

Vad är den underliggande tekniken problemet?

Svaret kan låta abstrakt och torrt, men det har att göra med effektivitet och ändamålsenlighet. På effekt, hur vet du att installera en ny säkerhetsteknik är bättre än att göra ingenting? Du har oftast inte. Och på effektivitet, det vanliga tillvägagångssättet är att du fixar en nyligen upptäckt problemet så att motståndaren inte använda den metoden längre. Men i slutet av dagen inte åstadkomma mycket, eftersom det inte skapar en allmän, systematisk lösning. Det är inte effektivt.

Vi måste omstrukturera hur vi bygga mjukvara, och att utveckla ett säkerhetssystem som har bevis för att de faktiskt tillför värde. Detta kräver stringens i hur de miljarder rader kod för att köra vårt nätverk infrastruktur är faktiskt skriven och uppdaterad.

De enda platser där programmet att skriva är verkligen rigorösa är platser som NASA—där man bygger kod som måste arbeta för år och från miljontals mil bort. De har mycket formella metoder och använda väl kontrollerade verktyg och särskild teknik för att vara helt säker på att den programvara som är tillförlitlig och felfri.

Hur kan vi göra alla IT-infrastruktur som är lika stor som den kod som körs en Martian sond?

Många av mina kolleger och jag är som ägnas åt denna fråga. För det första, det är viktigt att förstå att det finns ett antal icke-tekniska frågor att hålla dagliga programvara från att vara någonstans i närheten av det goda. Finns det inte regler eller konsekvenser som mjukvaruföretag upplevelse om det är problem på vägen—med undantag av vissa prioriterade områden som kärnkraftverk eller luft trafik kontroll.

Så på den politiska sidan måste du överväga incitament för alla att skriva bättre kod—det kan vara på grund av skuld, förordningar, eller marknadens mekanismer. Och på den tekniska sidan du behöver för att skapa incitament för marknaden så rigorösa metoder för programvaruutveckling, som de som NASA använder, bli långt mer effektiv och enklare för alla att använda. Kongressen, i och med 2014 It-Säkerhet Enhancement Act, frågade för en federal cybersäkerhet R&D strategiska plan, och att en plan utarbetas, för övergång från början av 2016.

Och samtidigt som det alltid kommer att vara sant att insiders eller mänskliga fel som kan skapa problem, bra programvara kan till stor del ta itu med det också, genom att skapa tydliga regler för tillträde och skickar varningar när något onormalt inträffar.

Under tiden, vad kan företag göra för att skydda sig?

Alla företag, från den minsta till den största, bör använda bästa praxis, med hänsyn till varje företags särskilda tillgångar, hot, och cybersäkerhet kapacitet. För att vara säker, många system är sig svaga. De flesta system har miljontals rader kod, och den typiska priser för en bug är en per 1 000 rader kod. Även om en av hundra av dessa buggar vindar upp att skapa ett säkerhetsproblem, som är en densitet du kan inte riktigt hålla med. Men om företagen att följa bästa praxis, kan de bli mycket bättre skydd, och så småningom undvika mer [hacks som en på] Sony.

Vi är inte att få NASA-nivå programvara, men är det någon som gör det rätt?

En enkel åtgärd som är tydligt kritiskt krävs är att produkter som behöver ett sätt att ha regelbunden och säker programvara uppdateringar. Man kan hävda att företag som Tesla och Google och Apple, och att en stor del Microsoft—gör det. Google Chrome uppdateringar sker i bakgrunden, det behöver inte ens fråga dig om lov längre.

Apple iOS-infrastruktur gör ett bra jobb som inte kräver vardagliga app-utvecklare att oroa sig för många, men inte alla, säkerhetsfrågor. Med Tesla, uppdateringar kan hända när du laddar bilen.

Vad är det största möjlighet just nu med att skapa en säkrare framtid?

Framväxten av ett Internet of things—anslutande miljarder enheter—ger möjlighet att göra saker rätt från början. Nätverksanslutna enheter i bilar och bostäder, och bärbara enheter, kan introducera en mängd nya angreppsvinklar, men om vi får saker och ting till rätta med dessa enheter och cloud-baserad teknik, kan vi se till att nästa generation av teknik kommer att ha en säkerhet är inbyggd.

Hur länge förrän de insatser som du har pratat om kommer att göra vårt nätverk infrastruktur tåla den ökade incitament för att angripa det?

För de mest kritiska komponenterna i områden som elnät och stora industriella system, fem till 10 år är möjligt. Att vara genomgripande att det kommer att ta 20 år eller mer.

Nästa i denna verksamhetsberättelse:

Riskkapitalister Jagar Stigande It-Utgifterna

Fortsätt

Date:

by

admin