网络攻击只针对大公司？或无孔不入

　　随着数以十亿计的人口和设备接入了移动互联网，网络攻击所带来的威胁和潜在影响呈现出“指数爆炸”的趋势。Danielle Kriz（Palo Alto 网络公司全球高级政策总监，同时也是“未来全球网络安全委员会”的成员之一）指出，网络安全要更加“自动化”，还要具备“预防性”，才能在数字时代保持住“可信度”

　　世界为何需要关注“网络安全”？ 

　　近十年来，网络安全的状况已经发生了很大变化。 之前，网络安全对大多数消费者来说并不是一个问题，它主要由公司（组织）的后端IT安全团队进行维护管理。 但现在，由于我们日常生活中的许多部分都是数字化的，网络安全已经演变成对于地球上每一个人都很重要的东西。

　　网络安全影响着来自全球财富500强公司的高层CEO，不同行业的公司都在担心自己的品牌，包括供电公司，航空旅行公司，现在都极其重视自己的网络安全问题。 这一概念也扩展到了政府层面，随着政务流程的“在线化”，他们也需要去保护相关的信息。那些使用社交网络的人也需要重视网络安全。 因此，我们都需要对网络安全的“最佳解决方式”做足准备，以保持公司（组织）在数字时代的“可信度”。

　　您如何看待未来几年的网络安全环境？ 

　　有一点很明显，网络攻击的数目只会有增无减。 随着物联网的发展，第四次工业革命的推进，以及更多的设备的“在线化”，网络攻击的目标在不断增加。 重要的如何阻止这些网络攻击，不让他们成功，我们不能只是单纯地检测然后做出应对。作为一家公司，我们在原则上认为，如果你拥有人才，流程和技术的合理组合，那么预防网络攻击也是有可能的。 网络安全挑战将继续增长，但如果我们能够专注于网络安全攻击的预防，那么人们对数字时代的信任感，也会继续随着这些挑战的增长而增长。

　　第四次工业革命的技术在多大程度上推动了网络安全领域的变革？ 

　　“网络安全”将一直是个数学问题。 网络犯罪分子和敌对公司（组织）发动复杂网络攻击所需的“计算能力成本”每天都在下降。 网络攻击正在变得更加先进与普遍。 很多公司都依赖于使用了数十年的网络安全技术：不同类型的安全产品相互分离，各自负责不同的事情，却又被编码在一起。 这种模式是无法扩展的，因此，在试图应对网络攻击时，自然处于下风。 网络威胁正在快速发展，如果我们继续依赖于几十年前的老旧应对模式，我们就无法在这场竞争中领先。

　　总的来说，网络攻击往往遵循相似的七至八个步骤。 事实上，虽然存在着大量不同类型的恶意软件，且恶意软件一直处在不断变化之中，但网络攻击者通常都会使用相同的步骤设定。 例如，网络攻击者会在攻击对象的系统上进行侦察，进入系统并将恶意软件放在网络系统上，指示恶意软件进行回叫，以便发起网络攻击。 对于“攻击步骤”来说，我们不会看到随着时间的推移而产生的变化。 我们要想实现有效的“攻击应对”，试图阻止每个阶段的网络攻击，那我们所需要考虑的是业已存在的数十亿设备，而这个数字在第四次工业革命期间还会持续增加。

　　我们需要做些什么来提高全球网络的“韧受性”？ 

　　越来越多的公司和政府意识到，“网络安全”不仅仅是一个IT问题，他们正在将网络安全视为一种商业风险。 全球各大公司的经理层和董事会成员都开始意识到，现在网络安全显然是他们运营公司的一大责任。

　　我们每个人都可以尽自己所能去提升整个网络的“韧受性”，这就能够提升相应的网络安全认识。Palo Alto 网络公司在这一领域发挥了领导作用。 去年10月，我们与纽约证券交易所出版了一本名为“浏览数字时代”的书，目标读者是公司董事会和管理层成员。 该书是为那些正在努力提高整体网络“韧受性”的公司高管所准备的。

　　不同的利益相关者应该在加强网络“韧受性”方面发挥什么作用？ 

　　网络安全是一个共同的责任体，我们要求政府让相关行业深度参与其中，帮助创建网络政策解决方案。 在美国，国家标准和技术研究所在一个开放和协商的过程中，开发了改进关键基础设施的网络安全框架（“NIST框架”）。 该框架将网络安全划分为五个领域：识别，保护，检测，响应和恢复。 这就是一个很好的例子，政府和行业聚集在一起，思考如何提升公司的网络安全“韧受性”。

　　世界各国政府正在进行立法或政策改革，让公司之间、公共部门和私营部门之间，都能更自愿地共享关于网络威胁的相关信息。为了最好地保护网络系统，同时避免网络攻击的威胁，我们必须知道什么才是所谓的“网络安全威胁”； 但任何一家公司，任何一个政府都无法完全了解所有现存的网络威胁。 而共享威胁信息，能够让每个人把自己已知的“拼图”合并在一起，迅速采取行动，以防止最新的威胁。

　　在努力加强网络安全的同时，如何确保公民权利和自由得到保护？ 

　　这个问题显然早已存在，并且将继续经受大众的“审查”。 很多关于权利的担忧，都在关注“你是谁”，“是否有人会收到你的个人信息，并对其图谋不轨”——但实际上，这些担忧都来源于对“未知”的恐惧。 在现实中，良好的网络安全环境，能够保护我们所持有的和在线存储的个人信息。

　　网络安全和隐私是相辅相成的。 事实是，我们拥有越多的网络安全，越多的公民权利和自由就会受到保护，因为您的信息越安全，您的隐私越多。 总体而言，网络安全可以帮助保护公民权利和公民自由。

　　网络安全的未来是什么？ 2030年我们将在哪里？ 

　　网络事件将会出现得越来越频繁、越来越复杂，这将使人们不禁产生出自我怀疑：在我们建设未来的技术基础之上，是否存在更深层的结构缺陷，包括智能家庭，自动驾驶汽车等等。我们所处的数字时代正在不断发展，我们在寻找更高的效率，也将继续寻找新的挑战和漏洞。

　　但是，每当一天结束时，我们依旧可以在“网络安全”这个领域中保持领先。 网络犯罪将会变得更加复杂，他们的攻击正在朝着自动化的方向发展，因此我们也必须以自动化预防作为目标，击退每个“攻击周期”中的阶段性威胁。

　　到2030年，您最想看到什么技术或设备开发出来？ 

　　我希望看到自动驾驶汽车的持续发展。现在有些自动汽车已经开始上路了，但是还有很多工作要做，需要围绕自动驾驶汽车来创建整个交通系统并构造城市。 我住在城市里，出行时经常依靠出租车、公共汽车，或者让其他人接送。 自动驾驶汽车真实太棒了，我只要走出家门，跳进一辆自动驾驶汽车，就能到我需要去的地方。

　　作者：Danielle Kriz, Palo Alto 网络公司全球高级政策总监

　　翻译：世界经济论坛博客翻译小组——陈达铿