威胁累积性是我在2018年开始使用的一个术语，指的是新技术孕育产生新威胁的趋势，这些威胁会增加旧威胁而不会代替它们。在本文中，我举一些关于威胁累积性的含义的例子，关于我为什么提出这个术语的一些想法，以及关于它如安在掌握数字安适性方面有用的建议。
 

是的，安适是累积的
 

几年前，有人让我就自20世纪80年代开始研究计算机安适以来我学到的前五五项内容进行了演讲。首先想到的是：安适是累积的。换句话说：掩护信息系统及其措置惩罚惩罚的数据需要预防新威胁，同时防御旧威胁。
 

所以我制作了一张幻灯片，上面写着“安适性是累积的”，我开始将其纳入我关于此刻所谓的网络安适或 - 我的首选术语 - 数字安适的讨论中。幸运的是，我的演示文稿已经以一种说明信息系统威胁的累积性质的方法成长。
 

近年来，我进行了多次会谈，强调企业需要掌握网络安适问题的真实规模，出格是从暗中地下室的键盘上的心怀不满的青少年成长到网络空间恶意协调运动的方法。我用来表达本身不雅概念的一种要领是显示流量被盗数据的市场截图。我还绘制了恶意软件勾当的创建和执行背后的布局化勾当。
 

当我第一次给与这种要领时，我说过：“不要认为地下室里的随机青少年会认为每天上班的人城市穿透系统并窃取数据。”但后来我意识到这是一个错误。为什么？穿戴连帽衫的德性挑战的年轻黑客并没有消掉。互联网上的一些知名人士了解到，2016年Mirai僵尸网络从打击Minecraft网站转移到一个主要的域名系统供给商; 布莱恩克雷布斯深深地揭露了闯祸者的故事 - 他本身也是未来和其他青少年罪犯的受害者。）
 

显然，有须要掩护信息系统免受操作资源充沛的网络犯法分子操作最新缝隙的影响，但同时忽视那些缺乏有关后果线索的随机黑客崇拜者的威胁也是愚蠢的。同样，一个组织因为暗码学的增加而忽视反勒索软件法子是不卖力任的（正如去年在头条新闻中报道的那样，为什么暗码学是新的勒索软件和勒索软件是如此2017年）。
 

累积性对安适意味着什么
 

几十年来，安适专业人员一直在措置惩罚惩罚威胁累积性的实际影响。曾几何时，计算机安适意味着掩护计算机，这是一种凡是住在锁门后的房间巨细的机器。其时的威胁包孕供电问题，火灾，洪水和其他自然灾害。主要的酬报威胁是数据输入错误或由授权使用计算机的人创建的恶意代码，换句话说：内部人员。跟着计算机变得越来越小，越来越多，越来越多的人学会了如何使用和滥用它们，并且威胁的范畴扩大到包孕偷窃计算机及其组件（IBM PC的偷窃是我第一次遇到计算机犯法，约莫是1986年）。

同时，使用可移动媒体（如软盘）增加了计算机病毒和数据窃取等新威胁的可行性。当计算机网络开始产生时，内部滥用和数据窃取等旧威胁给以了新的机会，即使在小型局域网或局域网上也是如此。当组织开始通过广域网（WAN）连接多个办公室时，数据和系统访谒就袒露在组织自己无法掩护的线路上。固然，“互联网”的到来将这个问题提升到一个全新的程度。
 

固然，在每一步中，安适专业人员都警告说，部署不是“设计安适”的新技术只会给已经相当大的安适承担增加新的威胁。约莫在2018年中期，我将威胁累积性的这一方面论述为Twitter主题。可悲的是，它没有“病态”，但它确实辅佐我澄清了我的想法，所以我想在这里分享：
 

几年来，在向组织介绍信息安适战略时，我一直在使用“安适是累积的”这一短语。这是如何孕育产生的。

技术成长的每一步都引发了关于犯法滥用和不成预见的负面后果的警告。在产生滥用和消极后果事件之前，许多警告都没有受到重视;

在这一点上，对问题进行了冲突，并草拟了解决这些问题的法子。此中许多法子被忽略了，问题在某些圈子中被讨论。虽然可能会采纳一些法子，但为时已晚，或者没有足够的资源来阐扬感化。

功效是新威胁，即使旧威胁仍然存在。我建议我们把这种现象称为威胁的累积性。这是一个例子：