是否有可能以固定上网?如果是的话,那会是什么费用?
据开放Web应用程序安全项目(OWASP)基金会的全球董事会成员吉姆·马尼克(Jim Manico)说,确实如此。最近,他提出了40亿美元的价格“公开信”奥巴马总统。
马尼克说,如果政府给他开了这么一笔支票,“或者任何足以引发变革的金额——我将向你展示如何保护驱动现代商业和整个互联网的软件。”
如果他是对的,这可能是联邦政府所做的最好、最有效的投资之一。
是的,40亿美元是一大笔钱——足以让一个人跻身1%收入的高端。但这还不到每年因网络犯罪造成的损失的1%报告由英特尔安全与战略与国际研究中心(Center for Strategic and International Studies)提供的5,750亿美元,其中1,000亿美元来自美国
而相对于近3.2万亿$ 2015年的联邦预算,它甚至不是一个舍入误差 - 1%,勉强超过十分之一。政府花那么多在不到半天的时间。
吉姆Manico他是开放Web应用程序安全项目(OWASP)基金会的全球董事会成员
但是,当然,问题是这是否可能。专家们一致认为,不存在100%的安全。是什么让人们认为40亿甚至4000亿美元就能保证万维网的安全呢?
这取决于安全的定义。在接受记者采访时,Manico一致认为,有没有这样的事情绝对的安全,但表示确实有可能作出巨大的进步。
他说,$ 4十亿“是任意数量较多,”但就足以,“其实把它做完,或获取长期过程轧制和聘用合适的团队工作,对问题的描述。”
他在信中向奥巴马指出,对安全的途径是提高“的标准,框架和语言的开发人员使用来构建复杂的软件”,并称该技术已经存在,以保护软件免受像SQL注入和跨站脚本攻击的威胁(XSS)。
他得到了Rapid7的安全布道家马克·斯坦尼斯拉夫的普遍赞同,他说完美是不可能的,但完美也不是重点。他说,关键是,用远低于40亿美元的价格,互联网可以比现在安全得多。
“信息安全行业已经知道如何有效地降低常见的应用程序的安全漏洞,如SQL注入,跨站点脚本和缓冲区溢出了几十年,”他说,“但同时,框架和标准的恳求,使开发人员能够避免这些问题,有仍然错误,可能会导致他们的介绍“。
马克斯坦尼斯拉夫, Rapid7高级安全顾问
斯坦尼斯说框架仍然有错误,他说可以固定在几十万美元,而不是数十亿美元的代价,但他辩称更大的问题是缺乏开发人员的教育,谁“需要知道为什么他们是做是错误的,不只是期望实现代码以一定的方式,死记硬背“。
事实上,他说,如果每个企业正确实施,“双因素身份验证,在休息和在途数据加密,以及刚性网络分段,你会看到数据丢失的统计下降如此的不依不饶的。”
指导软件公司战略伙伴关系主管安东尼·迪·贝罗也认为,有可能会有重大改进,但他说,这不仅仅是钱的问题。他说:“各大软件公司之间的意志力和合作将比任何金钱都更难保证。”他还补充说,如果他有40亿美元来解决互联网安全问题,他不会把钱花在改进软件上。
安东尼·迪·贝略,战略合作总监,指导软件
“我会集中花费在安全的基础设施,重新架构互联网来支持安全又快速的通信,建筑安全意识控制到网络硬件,固件,路由器,交换机等,”他说。
Bricata首席战略官约翰•皮尔克(John Pirc)同意迪•贝罗的观点,认为这不仅仅是钱的问题。但他相信,这不仅仅是意志力的问题。他说:“这需要改变个人的思维方式,以及安全软件开发方面的教育。”他指出,在竞争激烈的软件开发领域,压力在于将产品推向市场。
Developers and vendors, “don’t intentionally let insecure code go to market, but the main focus is time to market which equates to money, and it’s a fine balance of risk to the consumer or enterprise that is decided upon from the software vendor,” he said.
Manico说,他认为即使开发人员没有彻底改变思维方式,也有可能提高安全性,因为他们倾向于使用现有的构建模块。他说,如果最流行的开源软件框架和网络语言变得更加安全,那么应用程序就会更加安全。
他承认,这种努力将需要几年时间来完成,把它比作一个政府计划提高建筑,“创建更好的建筑规范标准,更重要的是,提供技术支持,包括实践支持,那些建筑设备制造商和其它建筑构件达到这些标准。”
“大部分的软件是通过抓住一个免费拷贝‘的pre-fab回家了。’然后修改它内置了,”他说。“如果我们得到了预晶圆厂制造商更好地安全集成到他们的产品,它会去很长的路在许多行业提供了更好的安全性。”
他的同胞专家一致认为会有所帮助,但要注意的问题是复杂的,和敌人,以继续他的比喻做出更多的话,会不断想出新的方式来击倒改善建筑物。
斯坦尼斯说不是互联网本身,始终是问题。“在许多情况下,它是连接到它的系统。当然,也有可能是更好的互联网数据的安全性,如更新协议和更多的固有加密,但最终大多数违反行为不会因为ISP甚至是网络供应商的出现,但由于弱口令或越野车的代码。”
迪贝洛指出,像其他人那样,这种技术不可能永远胜过人的因素。“网络钓鱼是通过将应用程序安全的改变不受干扰的攻击向量的一个很好的例子,”他说。“但是,如果新的架构的通信协议可以验证一个电子邮件的来源,网络钓鱼可以显著降低”。
Pirc说自己是“安全编码的坚定支持者,但我不认为这能解决问题。”
约翰PircBricata首席战略官
虽然它可能会暂时降低攻击者的速度,但“他们很快就会学会利用该软件的其他方法。”有了标准和框架,除非人们不再把它们当作复选框,否则它们将是无效的。
事实上,斯坦尼斯拉夫说,是“生态系统总是在不断变化和框架/标准不能单独阻止固有的意外由软件工程师编写编译器或更新解释编码错误的bug。
“在万行代码一个错字可以违反和数据安全性之间的区别。”
这个故事,“保护“网 - ?以什么价格”最初由出版CSO 。