互聯網與網絡安全形勢不容樂觀，而且在迎來改善之前恐怕還要經歷一系列低谷。要氛圍這一被動局面，CIO與IT管理者需要重新審視當前安全保障方式，反思目前通行的黑客及網絡犯罪扼制手段。

“朝鮮正在研發州際導彈，伊朗也堅持進行原子彈制造，但這都不是我們面臨的最大問題，”博科通訊公司董事長David House在本周于加州山景城舉辦的以太網創新峰會中，借未來預測研討會發表了這一觀點。“我們最大的問題其實是網絡安全。”

雖然說起安全話題，但House并沒有涉及隱私范疇——在該領域我們已然一敗涂地。“放棄吧，”他表示，“已經沒有改變的余地——一切都將暴露在所有人面前，這已經成為定局。”

我們在網站上進行的每一次點擊操作都會受到追蹤。“目前，Amazon與谷歌掌握我們所做的一切，彈出的廣告內容也一定符合我們這段時間經常搜索的項目，”House指出。“這些服務業巨頭早就把用戶情況吃透了。”

但這沒什么問題。“你猜怎么著?Larry Page對我們的個人情況或者喜好取向根本不感興趣，”他解釋道。“真正了解我們的是計算機設備。”我們自身不是計算機的關注目標，我們的購買習慣才是。“整個過程可以概括為海量個體產生數據、這些數據匯聚成大數據、大數據由數據庫系統處理、處理結果指導商家制定營銷方針。”

既然Page和他豢養的計算機都不打算真正窺探我們的隱私，那我們到底該擔心什么?根據House的意見，最大的威脅來自黑客。“服務巨頭會掌握用戶的全方位信息，而有能力突破服務商防御體系的家伙可以借此了解我們，”他表示。“我們真正需要擔心的是黑客，而非谷歌本身。”

我們對網絡結構的設計方式令隱私問題不斷加深，House指出。“在過去四十年中，我們一直在把以線纜為基礎的網絡體系推向更高的抽象層面，”他解釋道。“而虛擬化與軟件定義網絡則是我們向網絡環境中塞進的最新抽象層。”

這些抽象因素的介入令黑客突破網絡防御機制的途徑愈發多樣。“其中每一層都像一條隧道，人們可以借此訪問那些他們本無法訪問的內容，”他警告稱。

在另一次峰會的對話中，很多安全高層也表達了同樣的悲觀情緒。舉例來說，數據安全企業Vormetric公司CEO Alan Kessler就干脆放棄了傳統安全措施。“在網絡體系周圍建立起屏障已經不再有效，”他指出。“惡意人士早已經滲透到企業內部。他們擁有訪問業務網絡的能力——事實上，他們可能就在員工中間。”

Kessler還認為云計算的普及同樣該被視為新生威脅。“即使大家看好自己的數據中心、信任自己的員工，但如果數據駐留在他人的云環境中，你還能對安全性毫無疑慮嗎?管理云服務器的系統管理員們又是否值得信任?這些還都是未知數。”

根據Kessler的觀點——請注意，他是一家數據安全企業的高管，所以在安全事務方面難免有些偏執——這一切都不能信任。保護網絡免受入侵并不是保障安全的最好辦法;相反，我們應該專注于鎖定數據，而不僅僅是網絡本身。

網絡安全企業SourceFire公司安全戰略副總裁Jason Brvenik也表達了對數據鎖定方案的強烈關注。根據他的說明，網絡安全狀況之糟糕可以用一項數字來說明——Verizon調查報告指出，網絡攻擊活動與企業自身發現問題之間的平均相隔時間長達一百天以上。

Brvenik認為，企業需要利用先進分析機制收集更多關于網絡活動的細節信息，并將這些惡意活動信息更好地與他人分享。如果能做到這一點，他表示“我們就可以縮短問題出現與問題暴露之間的時間差。我們可以將其壓縮至數周乃至數天。對于某些機構，我們甚至可以將間隔縮短至幾小時或者幾分鐘。”

安全分析軟件供應商Click Security公司聯合創始人兼CTO Brian Smith也支持Brvenik對信息分享的意見。“人們往往傾向于隱瞞安全威脅，”他解釋稱。“而我們需要以行業為單位推廣知識分享機制，因為攻擊者群體往往以企業形式出現——他們開發出了惡意軟件，并需要以此為基礎產生投資回報。”

Smith補充道，攻擊者在入侵一家企業后又會瞄準下一家、接著是第三家，以此類推并在每次惡意活動中獲利。“我們希望擊垮這種經濟模式，”他告訴我們——只要受害企業能夠與其它同行分享細節資料，攻擊者就很難順利實現下一波入侵，從而導致經濟鏈條斷裂——這才是安全體系的良性循環。

不過除非企業擁有素養出眾的網絡安全技術人員并為其提供豐厚的報酬，否則我們很難獲得良好的安全規劃——安全團隊的人員流動會嚴重損害保護機制的實際效果。

Smith同時指出，大多數機構只是簡單意識到“哦，我們應該對安全表示關注——然后隨便找一位IT人士，指派其負責安全事務。最離譜的是，經營管理者往往希望安全工作能以‘兼職’方式進行，也就是負責人不要因此影響到本職任務。”這顯然遠遠不夠。他建議稱，企業應當在培訓、教育以及網絡安全管理員的“專業化”方面加大投入。

但用戶培訓似乎注定無法得到理想效果。正如“下一代威脅保護”開發商FireEye公司產品高級副總裁Manish Gupta的解釋，“我們不可能將限制強加給用戶，這一點過去做不到、未來也同樣無法實現。”Kessler也表示，用戶個人習慣中往往存在很多安全陋習，安全專家的工作是盡量避免這些陋習導致問題，但基本不可能真正扭轉這股歪風。

Smith還指出，企業應當對黑客施加更為猛烈的主動進攻。“我認為在過去二十年中，我們一直在以亡羊補牢的心態采取被動防守;但在目前的形勢下，我們更應該以防患于未然的姿態主動出擊。”

“我們曾試圖通過安裝殺毒軟件提升設備安全性，并利用網絡控制機制避免破壞事故，”Smith總結道。

“但事實上，惡意人士總會從現有體系中找到突破口。”這些預防性措施的實際表現相當無力，根據Verizon公司的違規事件報告，只有5%的入侵活動能被安全機制發現。

“整個行業在IT安全方面投入六十億美元巨資，”他指出。“但現有方案卻只帶來二十分之一的入侵識別成功率。”

因此，廣泛培訓、鎖定數據、改進分析、縮短入侵檢測周期以及主動出擊等一系列措施很可能為我們呈現更加光明的安全前景。不過從目前來看，局勢仍然不容樂觀。

在上述乃至更多安全措施真正成熟并付諸行動之前，博科公司的House認為“安全問題還將進一步惡化”。