我最近参加了一个小组讨论，讨论未来30年的技术发展。当然，预测如此长期的进化和革命是令人生畏的。然而，有趣的是，所有三位小组成员都选择首先着眼于20世纪80年代中期，为预测21世纪40年代中期提供指导。

作为一名具有前瞻性的安全工程师，回顾过去是一种令人沮丧的方法。1984年，威廉·吉布森写道《神经漫游者》在我们有黑客之前就预测到黑客。在这部科幻作品中，人们会入侵虚拟现实中的网络，然后非法访问信息和处理器。这本书受到了狂热的追捧，即使在今天，它也经常是黑客犯罪的主要灵感来源。四年后，凯文·米特尼克和罗伯特·莫里斯都被判犯有今天我们所认为的黑客罪。凯文·米特尼克是一名黑客，在我们有黑客这个名字之前，他利用社会工程、翻垃圾箱、电话窃听和各种技术手段，进入了电话网络和数字设备公司的计算机网络。他最终被判犯有电信诈骗罪。与米特尼克同时代，罗伯特·莫里斯因开发了第一个计算机蠕虫病毒而臭名昭著，并破坏了最终成为互联网的大片区域。莫里斯是第一个根据1986年《计算机欺诈和滥用法案》被定罪的人。

奇怪的是，Mitnik和Morris在20世纪80年代使用的许多漏洞在今天仍然是利用的工具。这包括社交网络、糟糕的密码、操作系统中的漏洞、暴露的开放接口等等。在考虑未来30年网络安全的演变时，人们很容易感到非常悲观。在网络安全方面已经有了许多进步和工具和实践的发展。每年都会推出新的解决方案。通常情况下，这些方法都很昂贵，而且没有得到广泛应用。通常，新的解决方案并不具有成本效益——许多解决方案甚至降低了总体成本——但它们没有得到适当的实施或应用。而且，通常情况下，那些实际部署的程序反过来也会被黑客攻击。

安全冲突发展

重要的是要考虑为什么网络安全是具有挑战性的，以及为什么它的发展是断断续续的。网络安全的基本策略是限制对资源的访问，并尽量减少网络连通性。亚博全球最大投注平台这些都与网络价值的发展背道而驰。通常，可以访问资源的人或设备越多，资源的价值就越大。价值的增长可能是指数级的梅特卡夫定律断言电信网络的价值与该系统的连接用户的平方成正比。因此，网络连接的人和设备越多，网络的价值就越大。这一现实创造了一种可能永远不会消失的必要动态张力。

为什么这种张力是动态的和必要的?价值是一种中立的衡量标准——一个对其创造者和用户有价值的网络可能也对其他人有用。如果是这样的话，其他人可能会试图利用这种价值来实现网络并非创建的目的。这就是黑客真正做的事情——他们接管有价值的资产，这样他们就可以将这种价值应用于自己的目的。因此，网络安全就像对抗工程一样存在。在企业或服务提供商内部，这意味着当网络工程师不断努力为网络增加价值和新功能时，安全工程师总是在考虑其他人如何通过实施最终限制网络功能的控制来破坏新价值和新功能。

技术，个人动机和商业案例

在过去的30年里，安全挑战没有真正得到解决，至少还有三个原因:技术、个人动机和商业案例。我相信很多人会觉得很难相信，但事实是，这项技术还没有用于安全的网络。问题在于我们在网络认证和授权中使用强大的个人和设备身份的能力有限。考虑一下，在过去的30年里，你的驾照变化是多么小。考虑到即使有最新的技术，仍然有可能得到伪造的驾照。对于网络来说，这并没有太大的不同——证明一个人是你认为的那个人，更不用说你所使用的设备是你所期望的那个人，一直是非常难以捉摸的。同样，我们也取得了许多进步，只是还不够。

对于个人和网络设备识别，已经有了相当麻烦的解决方案。它们价格昂贵，而且非常有限。不幸的是，并没有太多的个人动机去应用这些解决方案。我们直到最近才开始看到要求强大安全性的网络应用程序。就在几年前，使用保险或业务机制来解决安全漏洞的成本更低，或者什么都不做。例如，当你的信用卡号码被盗时，信用卡公司并不追究你个人的责任。

由于个人动机较低，公司很难支持业务案例来提高安全性。网络安全工程师真正从事的业务方法类似于保险;您评估风险，应用您认为合理的缓解措施，并接受无法合理缓解的风险。考虑到网络安全的对抗性环境，网络安全工程师的评估有时(也许经常)并不完全是我们事后所希望的，这一点也不奇怪。

幸运的是，我们有理由相信这些问题将会得到解决，这也让我们有理由相信，未来30年我们的网络价值将会大幅提升，因为我们将解决一些基本的安全挑战。基本的技术挑战是个人身份、软件验证和硬件验证。这些问题正在被解决。支付和医疗行业正在研究非常有说服力的解决方案，以证明一个人就是他们声称的那个人，至少在合理的程度上是这样。网络运营商将有望利用这些能力。一段时间以来，我们已经为可信的硬件和软件系统提供了很好的解决方案，但它们的价格有些昂贵。制造高度可信的计算机软件和硬件环境的系统和解决方案现在正在出现。而且，我们正在获得新的工具。例如，分布式账本技术记录交易，这样我们就可以以新的方式衡量信任和声誉。这种技术复兴的结果将是建立更加牢固的信任基础。 However, there needs to be a reason that drives application of the improving technology.

个人动力正在上升。首先，越来越多的金融交易是通过电子方式完成的。人们关心他们的钱，这就有了强大的动机去做必要的事情来保护它。然而，还有新的激励因素。随着联网汽车、家庭和医疗设备的出现，攻击的性质可能更加个人化。针对个人的定向攻击并不新鲜，但随着物联网的发展，这种风险更加直接，适用范围也更加广泛。

因此，强安全性的商业案例变得更加引人注目。由于一切都是相连的，黑客行为变得高度自动化。一家名为RouterCheck的组织甚至创造了这样一个短语:大规模杀伤性黑客，比如:“一种计算机黑客攻击，一群人因为使用同质计算机网络设备而成为攻击目标。”此外，随着有针对性的攻击变得越来越普遍，疏忽将呈现出更加个人化和可衡量的特征。在网络犯罪的工业化和对人们福祉的责任增加之间，强大网络安全的商业理由变得更加站得住脚。

我们能看到2040年吗?

那么，未来会是什么样子呢?总的来说，它看起来很有希望。保护网络的工具和动机都变得越来越容易获得。事实上，当你从客户和带宽的角度考虑宽带的增长速度与网络犯罪的增长时，似乎网络运营商已经在几年前取得了进展。强大的网络身份验证和授权将利用这一趋势。然而，网络安全仍将面临挑战。我们的网络价值将继续增长;我们将以越来越有趣的方式使用它们。将会继续有为了邪恶目的而破坏网络的动机。网络工程与网络安全之间的动态张力将持续下去。 Network operators will continue to perform business in an adversarial environment. The need for network security will continue to be driven by human nature.