为了更好地抵御国家网络基础设施存在的威胁,RIT正在组织一个跨学科的教师和学生的团队,通过社会技术方法来研究和实现网络安全——这种方法通过洞察透析人类行为来创建下一代安全计算系统。 RIT对网络安全的投入将帮助大学聘请新的计算安全专家,并建立一个新的网络安全中心。
下面这份专题报道——《网络安全的社会技术方法》——是RIT正通过先进研究探索的五个标志性的跨学科研究领域之一。每个研究都反映了该领域越来越重要的社会影响力,也反映了是RIT在这些领域做出的杰出贡献。
一位网络安全领域的杰出领袖
Jared Stroud明白网络安全与人类休戚相关。在他的研究项目Fuzzball中,RIT计算安全专业的研究生正在寻找由开发人员错误输入网络应用程序的编码错误和安全漏洞。
使用Fuzzer这种生成大量随机数据的工具,Stroud尝试使应用程序崩溃并查找任何漏洞——例如缓冲区溢出。
“从我进入计算机领域以来,我对制作应用程序或游戏并不感兴趣——我想做的是突破一切。”Stroud说。“我喜欢测试网络以提高公司的安全性的这个想法。”
随着最近美国政府和公司受到网络攻击,如塔吉特和索尼,美国对于像Stroud这样的计算安全专家的需求飙升。
到2019年,美国将需要250万名网络安全专业人员来保护其网络和计算机系统,但超过四分之一的这些工作会因为没有足够合格的从业者而空缺。
RIT作为计算安全教育的领导者正在帮助弥补这一差距。自从该大学在十年前创立了全国首个计算安全和网络方面的研究生和本科学位以来,这个专业中招收的学生人数从不到40人增加到去年秋天的400多人。
2012年,RIT打破了网络安全的传统教育模式,创建了第一个专攻计算安全的学术部门,该学院整合了来自计算机科学,软件工程,信息科学和技术以及公共政策等其他计算领域的教师。
该学院在上一学年毕业了59名学生,超过96%的人被Google、Cisco和联邦政府等单位聘用。毕业生还被安全公司聘用,如Raytheon、FireEye和戴尔安全工程。
“我非常相信在RIT学习计算安全的学生们,为满足行业的各种需求准备的非常好,” 89届校友、联邦调查局网络部门的监管专员Kirk Striebich说。“RIT的网络安全学生是全面的,可以从整个企业或整个政府角度思考来解决这个问题,这将提高他们在任何网络安全团队的价值。”
在全国,RIT已经被公认为这个领域的领导者——国家安全局和国土安全部指定RIT作为国家网络防御学术中心之一。国家科学基金会也授予RIT 400万美元用以加入联邦CyberCorps奖学金计划,该计划通过国土安全部合作,为学生提供全额学费和津贴,以换取其未来为政府服务。
一种社会技术方法
RIT将投资100万美元研究和实施网络安全的社会技术方法。此外,RIT的B. Thomas Golisano计算机和信息科学学院也正为研究计划提供200万美元。
RIT计算安全部主任和副教授Bo Yuan,希望看到个人和组织在网络攻击和破坏发生之前就考虑到网络安全。他也理解,抵御网络基础设施的威胁需要的期望和努力远不止软硬件技术。
“基本上,人类因素已经被确定为网络安全生态系统中最薄弱的环节,”Yuan说。“如果我们能够充分了解网络安全中的人为因素,那么我们可以帮助设计应用程序、系统和安全措施,以更有效地防御攻击。”
为了解决网络安全生态系统中的主要社会性和技术性的组成部分,来自RIT不同学科的研究人员将一起工作。这些来自计算、工程、心理学、数学、公共政策、商业和英语等领域的教职员工将利用他们的专业知识来了解人类行为和应对网络安全的挑战。
网络安全中心
RIT教职工的工作成果将成为在2016年秋季开设新的网络安全中心的基础。该中心将由马修?怀特(Matthew Wright)领导,他从德克萨斯大学阿灵顿分校来到RIT,在原校他是计算机科学与工程系的副教授。Wright是互联网安全和隐私方面的专家。他研究提供互联网隐私、可用的安全性、以及安全可靠的对等和无所不在的计算的系统。该中心将设在综合制造研究中心(CIMS),并为教师和学生研究人员提供合作场所。
该网络安全团队最初的25名教授研究人员来自RIT的五个不同学院(B. Thomas Golisano计算和信息科学学院、Saunders商学院、人文学院、Kate Gleason工程学院和科学学院)和11个部门。另外还有四名教授,专门从事网络安全的专家,将于今年夏天受聘于Golisano学院。总的来说,团队成员已经发表了超过800篇经同行评审的期刊和会议的文章,获得了超过2000万美元的外部研究资金。
“跨学科工作对于解决这一领域涉及的社会和以人为中心的问题至关重要,并为确保网络安全提供多方面的解决方案,”RIT的人文学院的英语助理教授Cecilia OvesdotterAlm说,他正在研究计算语言学。“我们有幸除了有跨越多个学院的跨学科合作成功的良好记录,还拥有RIT各学科间都有用的专业知识。”
团队的目标包括在网络安全问题的范围内对合法用户和敌人的人类行为进行建模,探索漏洞和防御机制;调查人类行为知情的安全、适应性和保护隐私的网络安全生态系统;以及现实世界安全场景的数据收集、分析和改进。已经确定了六个研究主题来应对这些挑战(见上文)。
“每个主题都利用了现有的教师和学生的研究优势,并可能通过外部资金带来高影响的研究成果。”Yuan说。“更重要的是,将研究成果纳入我们的课程将最终产生数以百计的毕业生,在当代安全和隐私的问题上有充分的知识储备,并具备应对对抗的情况。”
Kyle Murbach在一个当地公园里驾驶无人机,但它在错误的方向上横冲直撞。通过使用GPS欺骗的网络安全攻击,他有能力告诉无人机这不是它该来的地方。
这位计算安全专业的研究生是数十名以解决人们每天面临的安全和隐私问题的RIT学生之一。
Murbach与计算机科学专业五年级学生Ben Short和软件工程专业四年级学生Derek Leung合作,研究了现今流行的3D机器人和DJI无人机的漏洞。该团队正在进行研究,作为CyberCorps奖学金服务计划要求的一部分。
“我们正在寻找已知的漏洞,包括人们无线连接到无法正确安装的无人机的方式,”Murbach说,他将毕业后开始在国防部工作。“我们也正在通过固件和本质上的逆向工程,看看开发人员如何创建软件。”
对于像Murbach的学生,网络安全中心将提供一个空间,将其想法实现,并与教师和其他学生研究人员合作,但他们不用正式见面。它还将促进与工业界的合作,并帮助与高中和初中的联系,以提高计算安全作为一个事业的意识。
此外,该中心将包括一个Pentesting实验室,在这里企业可以与学生测试员渗透测试软件和硬件漏洞。
“我们认为为难以承担大额合同的中小型公司提供考核服务,以达到最高水平。”Yuan说道,“这会将帮助公司验证他们的网络、系统和软件服务的安全性,同时给予我们的学生真实的体验。”
