从容量耗尽攻击(volumetric attack)到“量子攻击”已经发生了明显地转变,并且它们看起来正将成为当今最大的网络安全挑战之一。
量子计算有能力塑造我们的全球信息技术。每天,企业都在越来越接近于利用量子计算的真正力量。如今,这种技术正在从研究转向实践,政府也开始参与其中。9月下旬,美国能源部宣布为量子信息科学(QIS)领域的85个研究奖项提供2.18亿美元的资助。美国国家科学基金会也计划拨款3100万美元,用以资助33项推动量子技术发展的研究项目。
不过,即便已经取得了上述这些喜人的发展成果,但直至目前仍然没有一个能够执行所有标准计算任务的功能齐全的量子计算机出现。美国政府目前正在支持的这些研究项目,就是旨在推进量子通信技术,建立有史以来第一个完全连接的实用量子计算机,并帮助培养下一代量子科学家、工程师和企业家。
量子计算机的处理能力将从根本上改变我们处理事物的方式。这种处理数据的新方法有朝一日可能会在国家内部和国家之间以及各个行业带来革命性的突破,解决我们今天甚至并未视作“问题”的问题。
尽管如此,如果量子计算能够实现飞跃,值得担忧的是快速进行更复杂计算的能力将使量子计算机很容易破解当今最复杂的加密方案,为我们当前的IT基础架构带来风险。一旦加密失效,金融机构或政府的敏感数据就可以轻松地被访问到。虽然这些威胁并非迫在眉睫,但由于量子计算机正处于制造阶段,所以整个行业仍然需要为国家标准与技术研究院(NIST)所谓的“后量子加密时代”做好准备。
目前的威胁
从容量耗尽攻击(volumetric attack)到“量子攻击”已经发生了明显地转变,且它们看起来正将成为当今最大的网络安全挑战之一。量子攻击背后的网络犯罪分子可能起步很小,但是通过添加攻击媒介、僵尸网络和端口,这种攻击很快就会变得非常复杂。
目前的量子攻击相对较小。在云中运行数百个应用程序的公司,可能甚至不会注意到300 Mbps的异常,并且此类攻击不会触发云故障转移(即出现故障后,集群会把故障结点拥有的资源组转移到另一个可用的结点上)。因为攻击者非常熟悉这个打开窗口,他们会试图绕过安全端点以避免触发云故障转移缓解方案。然而,随着量子计算发展速度的日益提升,攻击的复杂程度也会随之增高——同时,那些努力防御它们的公司所面临的挑战也会随之增加。因此,安全团队更新和开发量子安全策略就变得异常重要。
企业的未来
为了理解网络犯罪分子如何利用量子技术获取敏感数据,让我们先来看一下信息技术与创新基金会所提出的“什么是量子计算?”中的一个例子:想象一下拥有1000万条记录的电话簿。标准搜索算法必须平均尝试500万次才能找到它正在寻找的条目。而量子计算机只需要1000次操作就能实现 – 因此速度快了5000倍。
我们不知道第一个研发出功能齐全的量子计算机的公司或国家将会是谁,但我们知道这并不是一个牵强附会的幻想,而是完全有能力落实实践的现实。而一旦量子计算机落入恶意攻击者手中,就能够解密当前受到公司和政府保护的敏感数据。因此,尽管安全团队每天都在努力解决所有当前面临的问题,但也应该着手规划“后量子计算世界”将会面临的问题了。
将量子问题纳入考虑范畴
首先,IT安全专业人员应该开始监控量子计算更新、趋势、攻击、国际量子安全标准和协议等方面的最新消息。接下来,IT领导者应与经验丰富且声誉良好的合作伙伴共同合作,以帮助优化组织的IT环境并保护其数据。 NIST和安全行业的其他人已经开始为经典计算机研究“量子安全加密法”,以帮助其抵抗量子攻击。此外,请确保您的服务和系统持续不断地更新;仅允许服务在您的组织内运行,并且禁止不需要的服务运行 – 因为如果这些服务维护不当,它们就会成为量子攻击的窗口。
对于政府和组织而言,引入量子计算等革命性新技术的真正威胁正在逐渐明朗化,现在是时候着手应对这些安全挑战了!然而,这并非一个容易解决的问题。全球IT专家需要开发一种全新的信息安全方法,而这也并非一朝一夕所能实现的事情。但是,承认这些威胁迫在眉睫是第一步,然后再考虑如何展开行动应对威胁。