📢 转载信息
原文链接:https://www.wired.com/story/cisco-aging-technical-infrastructure/
原文作者:Lily Hay Newman
像路由器、网络交换机和网络附加存储等老旧的数字基础设施设备,长期以来一直对组织构成隐性风险。从短期来看,让这些设备在被遗忘的角落里继续运行更便宜、更省事。但这种基础设施可能带有老旧、不安全的配置,而且传统技术通常已不再获得供应商的软件补丁和其他保护支持。随着生成式AI平台使得攻击者更容易在目标系统的漏洞中发现并利用漏洞,网络技术公司思科(Cisco)正在发起一项行动,以提高人们对这一问题的认识,并推动改进——无论是针对老旧的思科设备还是仍在使用的其他公司的产品。
这项名为“弹性基础设施”(Resilient Infrastructure)的倡议包括研究和行业外展活动,以及思科管理自身遗留产品的技术方式的转变。该公司表示,它将对其即将“生命周期终止”(end of life)的产品启动新的警告机制,因此如果客户正在运行已知不安全的配置或试图添加它们,在更新设备时将收到清晰明确的提示。最终,思科将更进一步,完全移除那些不再被认为是安全的历史设置和互操作性选项。
思科的首席安全与信任官Anthony Grieco表示:“全球的基础设施都在老化,这带来了巨大的风险。我们必须认识到,这种老化的基础设施并非为当今的威胁环境而设计。不进行更新,就等于在为对手滋生机会。”
思科委托英国咨询公司WPI Strategy进行的研究,考察了美国、英国、德国、法国和日本这五个国家的“国家关键基础设施”中,生命周期终止技术的普及程度和影响。该研究发现,英国(紧随美国之后)因关键部门广泛使用过时、遗留技术而面临的相对风险最大。日本的相对风险最低——报告称,这归功于对持续升级、关键基础设施的去中心化,以及“更强的、更一致的国家对数字弹性的关注”。
总的来说,这项研究还强调,全球范围内的数据泄露和其他网络安全事件通常都涉及攻击者利用已知的漏洞,而这些漏洞本可以通过打补丁或升级生命周期终止技术来避免。
思科技术政策高级总监Eric Wenger说:“现状并非免费——它实际上是有成本的,只是没有被核算进来。如果我们能帮助将这种风险提升到需要董事会层面关注的程度,那么希望这将有助于强调在这里进行投资的重要性。”他补充说,作为一个行业,“我们没有让攻击者感到足够困难。”
思科成立于1984年,几十年来一直是网络计算领域的巨头,其设备深度嵌入全球数字基础设施中。Wenger指出,尽管思科倡导更新网络设备的需求可能被视为自利行为,但客户是否会选择再次购买思科设备,这是一个与他们是否应该升级的问题不同的问题。
“听着,我们不会从二十年前销售的产品中赚钱。当我们说服某人需要淘汰旧技术时——我们现在销售的是创新、具有成本效益的,但我们不会说服所有人,”他说。“但我们无论如何都需要开启这场对话。”
思科的Grieco也指出,他和他的同事多年来一直在努力强调生命周期终止技术带来的风险。例如,在2016年8月的一篇思科博客文章中,他写道:“过去几十年设计、构建和部署的系统,并未预料到当今充满敌意的安全环境。直到现在,很少有人关注保护基础设施,因为他们不认为攻击者会针对这些系统和设备,或者他们有‘更优先’的事项需要处理。这种情况必须改变。”
虽然生成式AI平台仍然无法独立设计和执行分层数字攻击,但越来越多的证据表明,AI工具已经使攻击者在发起社会工程攻击、识别和利用漏洞以及改进恶意软件方面变得更快、更容易。对于技术知识很少的攻击者来说,这可以为他们提供关键的优势;而对于技术娴熟、资源充足的黑客团队来说,AI工具正帮助他们简化攻击中最耗时的部分。
Grieco说:“是时候让人们对老旧基础设施的隐性风险感到警醒了。我们将让这件事变得人尽皆知。”
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。
评论区