网络安全的未来

　　1984年，William Gibson 在遇到黑客之前写了一篇Neuromancer预测黑客的文章。在这部科幻小说中，人们会破解虚拟现实中所代表的网络，然后获取对信息和处理器的非法访问。这本书开发了一个狂热的追随者，甚至今天通常是犯罪黑客的主要灵感。四年后，凯文·米特尼克和罗伯特·莫里斯都因今天我们认为的黑客行为而被定罪。在我们为黑客命名之前，Kevin Mitnik是一名黑客 - 使用社交工程，垃圾箱潜水，电话窃听和各种技术攻击，Mitnik获得了访问电话网络和Digital Equipment Corporation的计算机网络的权限。他最终被判犯有电汇诈骗罪。在与Mitnik的同时，罗伯特·莫里斯因发展第一台计算机蠕虫并破坏了最终成为互联网的大片而臭名昭着。根据1986年计算机欺诈和滥用法案，莫里斯是第一个被定罪的人。

　　奇怪的是，Mitnik和Morris在20世纪80年代使用的许多漏洞仍然是当今漏洞利用的载体。这包括社交网络，密码不佳，操作系统漏洞，暴露的开放接口等等。在考虑未来三十年的网络安全演变时，很容易变得非常悲观。在网络安全方面已经取得了许多进步和工具和实践。每年都会推出新的解决方案。通常，这些是昂贵的并且没有广泛应用。通常，新的解决方案不具有成本效益 - 许多解决方案甚至可以降低总体成本 - 但它们并未实施或应用得当。并且，通常，实际部署的那些反过来会被黑客入侵。

　　安全冲突发展

　　重要的是要考虑为什么网络安全具有挑战性以及为什么它在这样的适应和开始中发展。网络安全的基本策略是限制对资源的访问并最小化网络连接。这些与网络中的价值发展相悖。通常，可以访问资源的人员或设备越多，资源的价值就越大。价值的增加可能是指数级的 - 梅特卡夫定律断言电信网络的价值与系统连接用户的平方成正比。因此，网络连接的人和设备越多，网络的价值就越大。这种现实创造了一种可能永远不会消失的必要动态张力。为什么这种紧张动态是必要的?价值是一种中立的衡量标准 - 对其创作者和用户有价值的网络也可能对其他人有用。如果是这样，其他人可能会尝试将该值用于未创建网络的目的。这就是黑客真正做的事情 - 他们接管了一个有价值的资产，这样他们就可以将这个价值用于他们自己的目的。因此，网络安全作为对抗工程中的练习而存在。在企业或服务提供商中，这意味着随着网络工程师不断努力为网络增加价值和新功能，安全工程师总是在考虑其他人如何通过实施最终限制网络功能的控制来颠覆新的价值和功能。

　　技术，个人动机和商业案例

　　在过去的三十年中，至少还有三个原因导致安全挑战未得到满足：技术，个人动机和商业案例。我相信很多人会觉得很难相信，但事实是这项技术还没有用于安全网络。问题在于我们为网络身份验证和授权施加强大的个人和设备身份的能力有限。考虑一下，过去三十年来你的驾驶执照变化有多少。并且考虑到即使使用最新技术，仍然可以获得伪造的驾驶执照。对于网络而言，这并没有太大的不同 - 证明一个人是你认为的人，更不用说你所期望的那些设备，一直是非常难以捉摸的。同样，有许多进步 - 它们还不够。对于个人和网络设备识别存在相当麻烦的解决方案。它们价格昂贵且非常有限。不幸的是，应用这些解决方案确实没有太多的个人动机。我们最近才真正开始看到强制安全的网络应用程序。就在几年前，使用保险或业务机制来解决安全漏洞更便宜，或者根本没有。例如，当您的信用卡号被盗时，信用卡公司不会对您承担个人责任

　　总结

　　那么，未来会是什么样子?大多数情况下看起来很有希望。安全网络的工具和动力都越来越多。事实上，当你考虑宽带在客户和带宽方面的增长率与网络犯罪的增长时，似乎网络运营商已经在几年内取得了进展。强大的网络身份验证和授权将充分利用这一趋势。但是，网络安全仍然具有挑战性。我们的网络价值将继续增长; 我们将以越来越有趣的方式使用它们。为了恶意目的，将继续推翻网络。网络工程和网络安全之间的动态紧张将继续存在。网络运营商将继续在对抗环境中开展业务。网络安全的需求将继续受到人性的驱动。