销售团队张口闭口都是“协同效应”和“范式转换”,而技术专业人士则总是在谈论“下一代”、“破坏性”以及“前沿技术”。但是无论这些聪明人说过多少次“我会利用这些技术解决⋯⋯问题”,他们都很难实现将“利用”这一动词转化为实际效应。
同样地,信息安全领域也存在一些经常被滥用的流行语。只要是安全领域中的一员,你就一定会对它们有所耳闻。接下来,就为大家介绍10个被过度滥用以至于令人产生逆反的流行词。当然,仅供参考。
1. 网络(Cyber)
你一定听说过“网络空间”、“网络安全”、“网络防御”、“网络犯罪”、“网络军队”、“网络用户”以及“网络侦察”等词汇。“Cyber”一词可以说是一个非常好用的前缀,能够用来指代在线世界的任何事物。但是显然,它已经被过度滥用了,以至于产生出来的词汇也失去了所有意义。例如,当电子商务和在线零售能够更好地为人们所理解时,我们没有理由将其称之为“网络购物”。
“Cyber”最初是一个非常有用的前缀,用来表达跨越技术和社会界限的概念。例如,“网络安全”一词就能够帮助人们理解“安全”的概念是如何应用于人们所使用的技术之中的。然而,如今这种将所有互联网相关事物添加上“网络”前缀的做法,已经大大削弱了其最初意义。
事实上,当人们习惯接受添加“Cyber”前缀的词汇之后,一旦遇到使用“钓鱼攻击”或“虚假信息”等词汇来描述针对关键基础设施的攻击时,就无法再引起人们对当前所面临的挑战的理解。我们都知道,“不同的问题需要不同的解决方案”,但是,当它们都被贴上“Cyber”的标签之后,就更难识别出能够用于解决它们的方法了。
2. 人工智能(AI)
我们被许诺了一个未来世界,在这个世界中充斥着各类智能机器人,它们能够完成当前社会所有需要人工完成的事情。安全的未来取决于自动化,但这并不意味着每个执行复杂分析和计算的安全技术都是人工智能。
“此外,在描述安全技术能做什么时,“机器学习”、“深度学习”以及“人工智能”越来越多地被用作同义词。这是一种非常危险的做法!“机器学习”让我们可以使用多种算法和模型来访问和控制数据,并使用相同的数据来优化模型,而无需明确地编程。“深度学习”是“机器学习“的一个子集,即使用复杂且庞大的神经网络进行机器学习。但是两者(即机器学习和深度学习)都是“人工智能”的子集,它们可以在一定情境下互换使用,来改进安全防御和对抗的效率。此外,深度学习也使得机器学习能够实现众多的应用,并拓展了人工智能的领域范围。
3. 高级持续性威胁(APT)
最初,“APT”代表“高级持续性威胁”。但是如今,越来越多的人开始将其指向那些没有被防御者注意到的攻击类型。没错,这些攻击确实是一种威胁,且具备一定的“持续性”,因为攻击者通常需要在目标基础设施中潜伏很长一段时间,但是这些攻击却鲜少属于“高级”类别。仔细观察最近的头条新闻不难发现,大多数攻击都是通过网络钓鱼邮件或者糟糕的密码操作实现的,算不上“高级”威胁。
此外,“APT”也已经成为解释“为什么组织没有注意到正在发生的攻击,或是阻止攻击者造成重大破坏”的借口。他们习惯用“APT”一词作为回避现实问题的说辞,而不是真正地去重视信息安全,以及认真对待网络防御举措。如今,“APT”一词俨然已经变成像“我们会认真对待安全问题”一样假大空的说辞。
4. 威胁情报(Threat intelligence)
分析公司Gartner将“威胁情报”定义为“一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应”。
这个解释确实十分拗口难懂,可能很多人仍然不解其意,不知道这些词汇(Threat intelligence)组合在一起究竟意味着什么?
其实,简单来说,情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。我们日常接触的漏洞库、指纹库以及IP信誉库等都属于威胁情报的一部分。
但是在网络威胁情报领域,混淆一直存在,“威胁信息”往往被当做了成品情报。在这种情况下,原始数据往往也被标识为“情报”,用于整合事件数据的日志文件和系统信息也被重新标记为“威胁情报”。事实上,收集和分析数据是远远不够的,虽然情报过程从威胁信息收集开始,但信息收集仅仅,仅仅只是个起始点而已。从大量获取信息,到产出成品情报之间,还有好长好长的一段路要走,二者之间简直是质的不同。
散布各处的1000个点,那是信息。但以某种形式连接各点显示出上下文(指具体威胁存在的环境或起作用的场景)和关联度,那就是情报了。这些情报可用于为未来攻击做应对准备,支撑以前未知的风险,将精力专注到正确的领域。它还能帮助你从事件响应的角度理解发生了什么,为什么会发生,以及怎样发生的。
为了防止“语境化情报”(Contextualized intelligence)为安全工作增添不和谐的声音,从而造成“反效果”,让我们禁止“威胁情报”这一流行语吧。
5. 下一代(next-generation)
如今,人们习惯将每一款新推行和发布的产品称之为“下一代”,信息安全领域自然也不例外。这无疑会产生问题,“下一代”一词曾经代表的是技术进步,它反映了一个问题是如何解决的。但不幸的是,如今看起来市场上所有现存的安全技术都称之为“下一代”。
“下一代”一词显然也被过度滥用了,如今,重新设计了用户界面,添加了用户友好型特征以及处理更多流量、用户和端点能力的产品都自称为“下一代”。这一词汇必须被重新定义,来指代那么能够处理新威胁的新型架构和方法。
否则,下一波创新浪潮下推出的创新产品应该如何命名?“下下一代”吗?事实上,这也解释了为什么现在所有的一切都与“人工智能”有关。
6. 云(cloud)
如今,一切都在云端。但是这究竟意味着什么呢?意味着你把一个文件或应用从自己的设备上迁移到别人的设备上?如果应用程序在虚拟机上运行,或者数据存储在不同的数据中心服务器上也没有关系。基础设施即服务(IaaS)、软件即服务(SaaS)以及平台即服务(PaaS)这三种云模型都能为您提供服务。
实际上,这一术语掩盖了许多棘手的问题,例如如何保障环境安全,如何保护数据以及如何控制正在使用应用程序的人。利用别人的基础设施并不意味着你所有的问题都消失不见了。当谈论到云应用程序时,“网络边界”的概念会大为不同,而且,一旦你脱离数据中心的安全性,就会面临许多不同的身份验证和认证挑战。
技术钟摆正在从“云计算”转向“边缘计算”,在这种情况下,你就需要依靠自己的本地数据中心——即你自己的计算机以及你自己的存储设备了。也许,现在是时候“去云化”(de-cloud)了。
7. 数据驱动(data-driven)
数据收集的爆炸性增长意味着我们都已经淹没于数据之中。传感器、应用程序日志、系统事件以及业务细节都能够被分析来发现各种模式。实际上,每一种安全技术——无论它是用于查看恶意软件样本和事件数据以检测恶意活动,还是用于检查访问日志和登录尝试来发现账户接管行为和漏洞——都是数据驱动的。
拥有数据并不一定意味着能够从中挖掘出有价值的见解。当然,也有一些方法能够显示收集到的有价值数据。但是数据库或日志的存在并不一定会产生“‘数据驱动”的安全产品。正如“威胁情报”需要情境(上下文)一样,“数据驱动”也需要这些信息正在以实际的方式被使用方可。
8. 实时(Real-time)
实时是一种安全承诺,它表示事物发生过程中的实际时间,随着技术的日益精进,对于效率的要求也越来越高。如今,安全性比以往更加依赖数据驱动,因为现在收集的数据量比以往多出了很多。但是,分析数据和执行有效负载都需要时间,不管时间窗口(time window,由时间驱动的窗口)有多小多高效。
随着分析成为安全的重要组成部分,“实时“出现了很多问题,尤其是在整合用户模式时。我更倾向于“接近实时”,因为它会更为真实,它承认在收集信息并以合理方式呈现信息时存在滞后。
什么是窗口(Window)
在流处理应用中,数据是连续不断的,因此我们不可能等到所有数据都到了才开始处理。当然我们可以每来一个消息就处理一次,但是有时我们需要做一些聚合类的处理,例如:在过去的1分钟内有多少用户点击了我们的网页。在这种情况下,我们必须定义一个窗口,用来收集最近一分钟内的数据,并对这个窗口内的数据进行计算。
9. 思想领袖(Thought leader)
“思想领袖“是指具有权威和影响力的人。许多人将这一头衔视为获得专业成就的标志。事实上,信息安全领域存在很多思想领袖,但并非所有人都站在行业的前沿位置。有些人能够紧跟潮流、技术和哲学的发展趋势,但是也有一些人只擅长使用流行语,并在网络泡沫中推行自己的理念。
思想领袖存在各种形式,包括通过记者访问分享见解和想法;发布专题文章;定期在信息安全会议上发表演讲;或是聚集一些志同道合的人,共同分享和解决问题等。
如果你信任的某个人说另一个人是一名“思想领袖“,那么这种评估会比某人的自我评估要更为准确的多。”思想领袖“本身并没有不好,但是信息安全是一个“你做了什么比你说了什么更具影响力”的领域。
10. 可操作性(actionable)
这是一个真正不具备任何意义的词。但这并不能阻止“可操作性“一词被频繁应用于各种情境之中。在大多数情况下,该词的目的是强调企业的防御者可以用其所选择的技术做的一些事情。而事实上,一切都应该是可操作的!防御者不希望安全情报或安全产品对威胁或问题无法做出任何反应。没人希望看到任何一场安全意外并感慨,“哇,事情就这样发生了!”他们希望能够回应这些意外,并了解究竟发生了什么事情。
