GregoryTouhill是世界知名的卡內(nèi)基梅隆大學(xué)(CMU)軟件工程研究所CERT部門的主任，他領(lǐng)導(dǎo)著一支由研究人員、軟件工程師、安全分析師和數(shù)字智能專家組成的多元化團(tuán)隊(duì)，致力于研究軟件產(chǎn)品中的安全漏洞，并開發(fā)尖端信息和培訓(xùn)以改善網(wǎng)絡(luò)安全實(shí)踐。

早在巴拉克·奧巴馬當(dāng)政時(shí)，Touhill就被任命為美國(guó)政府的首位首席信息安全官(CISO)。此前，他還曾在國(guó)土安全部(DHS)網(wǎng)絡(luò)安全和通信辦公室擔(dān)任副助理部長(zhǎng)。在加入卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院之前，他曾任Appgate Federal公司總裁，該公司是為政府和國(guó)防機(jī)構(gòu)提供網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的供應(yīng)商。

Touhill還是一位有著30年美國(guó)空軍經(jīng)驗(yàn)的老兵，曾擔(dān)任中隊(duì)、大隊(duì)和聯(lián)隊(duì)級(jí)別的作戰(zhàn)指揮官。在此期間，他曾擔(dān)任軍事網(wǎng)絡(luò)安全和信息技術(shù)項(xiàng)目的高級(jí)領(lǐng)導(dǎo)，并最終成為美國(guó)運(yùn)輸司令部的首席信息官。據(jù)悉，該司令部是美國(guó)10大作戰(zhàn)司令部之一。作為一名戰(zhàn)斗老兵，他獲得了眾多獎(jiǎng)項(xiàng)和勛章，包括銅星獎(jiǎng)?wù)潞涂哲娍茖W(xué)與工程獎(jiǎng)。之后，他以準(zhǔn)將軍銜從空軍退役。

Touhill擁有賓夕法尼亞州立大學(xué)政治學(xué)學(xué)士學(xué)位(輔修工程學(xué))、南加州大學(xué)系統(tǒng)管理碩士學(xué)位、空軍戰(zhàn)爭(zhēng)學(xué)院戰(zhàn)略研究碩士學(xué)位以及哈佛大學(xué)肯尼迪學(xué)院證書。他同時(shí)還持有注冊(cè)信息系統(tǒng)安全專家(CISSP)和注冊(cè)信息安全員(CISM)認(rèn)證。他是卡內(nèi)基梅隆大學(xué)Heinz信息系統(tǒng)與公共政策學(xué)院以及迪肯大學(xué)(澳大利亞)網(wǎng)絡(luò)安全研究與創(chuàng)新中心的兼職教員。

作為許多組織委員會(huì)的成員，并獲得了諸多獎(jiǎng)項(xiàng)，Touhill被《安全雜志》評(píng)為“安全領(lǐng)域最具影響力人物之一”，并被《聯(lián)邦計(jì)算機(jī)周刊》評(píng)為“聯(lián)邦100強(qiáng)人物之一”。他還是《高管的網(wǎng)絡(luò)安全：創(chuàng)新技術(shù)的實(shí)用指南和商業(yè)化》(Cybersecurity for Executives: A Practical Guide and Commercialization of Innovative Technologies)一書的合著者。

采訪摘錄：

Michael Krigsman(主持人)：接下來，我們將與退休的空軍準(zhǔn)將Gregory Touhill一起探討2022年的網(wǎng)絡(luò)安全狀況。Touhill，你能先簡(jiǎn)單介紹一下自己以及你所做的事情嗎?

Gregory Touhill：在奧巴馬政府末期和人事管理辦公室(OPM)經(jīng)歷大規(guī)模個(gè)人數(shù)據(jù)泄露之后，總統(tǒng)決定任命一位首席信息安全官，我就在這種情況下出任了聯(lián)邦政府首位首席信息安全官。

在奧巴馬政府結(jié)束后，我離開了聯(lián)邦服務(wù)部門，并踏上了兩條截然不同的道路。我成為了卡內(nèi)基梅隆大學(xué)的一名教授，與此同時(shí)我也踏足了商業(yè)領(lǐng)域。我不僅擔(dān)任過網(wǎng)絡(luò)安全初創(chuàng)公司Appgate的總裁;我還曾在Semantic、Splunk、Intel、Bay Dynamics以及Cyber Response的董事會(huì)任職。因此，我在行業(yè)中獲得了非常豐富的經(jīng)驗(yàn)。

之后，我來到了卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院，并擔(dān)任CERT部門主任，我認(rèn)為自己現(xiàn)在正處于“金字塔頂端”，領(lǐng)導(dǎo)著一支由杰出研究人員和工程師組成的多元化團(tuán)隊(duì)，致力于通過強(qiáng)化網(wǎng)絡(luò)生態(tài)系統(tǒng)，來幫助更好地保護(hù)國(guó)家安全，實(shí)現(xiàn)國(guó)家繁榮。

Michael Krigsman：你認(rèn)為此時(shí)此刻的網(wǎng)絡(luò)安全格局如何?

Gregory Touhill：我認(rèn)為現(xiàn)在的網(wǎng)絡(luò)安全狀況是不穩(wěn)定的。當(dāng)我們分析利弊時(shí)，當(dāng)今環(huán)境中的一些優(yōu)點(diǎn)是，我們確實(shí)擁有一些出色的技術(shù)，這些技術(shù)將繼續(xù)投入使用，以更好地保護(hù)我們的基礎(chǔ)設(shè)施。

我們還讓政府帶頭實(shí)施和推廣零信任安全戰(zhàn)略。請(qǐng)注意，我說的是“零信任策略”，而不是零信任架構(gòu)或技術(shù)。它需要先從戰(zhàn)略開始，也感謝政府在這方面取得的進(jìn)展。

然后，我還看到市場(chǎng)正在積極回應(yīng)在托管服務(wù)、安全服務(wù)提供商或安全托管服務(wù)提供商(MSSP)開發(fā)方面需要一些幫助的中小型企業(yè)。此外，我還看到了信息共享方面的增加趨勢(shì)，所以這四個(gè)元素都是非常積極的。

但遺憾的是，所有這些努力被一些頑固存在的弊病所抵消。首先，我想說的是，新技術(shù)層出不窮是好事，但我們卻對(duì)信息技術(shù)產(chǎn)生了過度依賴，這一點(diǎn)已經(jīng)在大流行期間得到了驗(yàn)證，它確實(shí)突出了我們對(duì)信息技術(shù)和安全、可信賴的網(wǎng)絡(luò)生態(tài)系統(tǒng)的嚴(yán)重依賴。

其次，我們發(fā)現(xiàn)仍然存在很多集成問題。當(dāng)你去整合更多的東西時(shí)，無疑也在增加你的風(fēng)險(xiǎn)敞口。我們發(fā)現(xiàn)，許多組織并沒有很好地處理他們的風(fēng)險(xiǎn)敞口，特別是當(dāng)他們將信息技術(shù)與運(yùn)營(yíng)技術(shù)、工業(yè)控制系統(tǒng)(例如與泵相連的計(jì)費(fèi)系統(tǒng))、現(xiàn)場(chǎng)閥門開關(guān)相集成時(shí)，這無疑進(jìn)一步加劇了安全風(fēng)險(xiǎn)。

最后兩個(gè)缺點(diǎn)是：復(fù)雜性繼續(xù)困擾著我們的人為因素，即系統(tǒng)中涉及的濕件(wetware，指硬件、軟件之外的人件peopleware)，因?yàn)閺?fù)雜性是安全的阻礙。我們繼續(xù)擁有需要數(shù)月或數(shù)年才能掌握的產(chǎn)品。從認(rèn)知的角度來看，我們有一支混亂的勞動(dòng)力隊(duì)伍正在努力跟上技術(shù)發(fā)展步伐。

最后，我們發(fā)現(xiàn)，攻擊仍然是一件非常便宜的事情。例如，任何有足夠錢購買Kindle或低端筆記本電腦的人都可以(只要有足夠的互聯(lián)網(wǎng)訪問權(quán)限)上YouTube，并參加有關(guān)如何破解系統(tǒng)的培訓(xùn)課程，從而成為一名技能嫻熟的黑客。

綜合這些利弊，我認(rèn)為網(wǎng)絡(luò)安全現(xiàn)在仍處于一種非常不穩(wěn)定的狀態(tài)。我認(rèn)為，我們都需要意識(shí)到：雖然我們有很多專業(yè)人士，但同時(shí)也存在很多風(fēng)險(xiǎn)敞口。

Michael Krigsman：你提到的管理系統(tǒng)與操作系統(tǒng)的集成，以及導(dǎo)致更大安全風(fēng)險(xiǎn)的基本架構(gòu)，顯然是一個(gè)非常嚴(yán)重卻非常普遍的問題。那么對(duì)此，我們能夠做些什么呢?

Gregory Touhill：這確實(shí)是一個(gè)非常普遍的問題，但它也被許多不同的組織所關(guān)注，因?yàn)檎缒闼f，作為一家企業(yè)，我們會(huì)竭盡所能地提高效率并降低成本。很多組織可能會(huì)從人力成本入手，因?yàn)樗_實(shí)非常昂貴。

舉個(gè)例子，我們會(huì)在關(guān)鍵基礎(chǔ)設(shè)施中安裝燃?xì)獗砗碗姳?，以前，我們?huì)派人挨家挨戶、一家企業(yè)一家企業(yè)地走動(dòng)，去記錄電表和燃?xì)獗頂?shù)據(jù)。但是，當(dāng)你考慮成本和價(jià)值最大化問題時(shí)，你會(huì)發(fā)現(xiàn)自動(dòng)化并連接這些類型的計(jì)量系統(tǒng)可以降低人力和勞動(dòng)力成本。

如今，隨著技術(shù)不斷發(fā)展，我們開始將各種不同的系統(tǒng)與計(jì)費(fèi)之類的東西聯(lián)系在一起。但是我們往往只知道一味地集成，卻忽略了還需要對(duì)架構(gòu)進(jìn)行積極地控制，并了解系統(tǒng)是如何集成和組合的。這也是許多組織尚未掌握的高級(jí)技能。這也再次印證“復(fù)雜性是安全的阻礙”這句話。

Michael Krigsman：那么從根本上說，造成這種問題的原因是安全培訓(xùn)不足，還是企業(yè)架構(gòu)問題?

Gregory Touhill：其中一些應(yīng)該屬于歷史遺留問題，以前的員工(現(xiàn)已離職)可能在上世紀(jì)90年代就將管理系統(tǒng)與操作系統(tǒng)集成，并試圖將這兩者結(jié)合在一起以實(shí)現(xiàn)更高效的業(yè)務(wù)。

以我在國(guó)土安全部的工作經(jīng)歷為例，當(dāng)我們與關(guān)鍵基礎(chǔ)設(shè)施提供商合作時(shí)，我們會(huì)進(jìn)行滲透測(cè)試和紅隊(duì)測(cè)試，向他們展示我們實(shí)際上是如何利用其中一些被整合在一起的活動(dòng)跨越IT和OT的，當(dāng)然，我們的目的是善意的。

通過這種復(fù)雜性，可以確保你能夠很好地處理企業(yè)架構(gòu)，通過滲透測(cè)試和紅隊(duì)測(cè)試來查看是否有人插入了你不知道的內(nèi)容，所有這些都是當(dāng)今最佳實(shí)踐的組成部分。每個(gè)高管、董事會(huì)成員、IT人員、運(yùn)營(yíng)人員，乃至整個(gè)公司都需要對(duì)系統(tǒng)如何集成以及存在哪些風(fēng)險(xiǎn)具備態(tài)勢(shì)感知能力。

Michael Krigsman：我假設(shè)你所描述的這種有組織的態(tài)勢(shì)感知還不夠普遍，因?yàn)槭聦?shí)證明隱私泄露、勒索軟件攻擊等一直在發(fā)生。

Gregory Touhill：雖然如此，但不可否認(rèn)許多領(lǐng)域的情況正在好轉(zhuǎn)。我們現(xiàn)在擁有的工具可以幫助IT人員映射他們的網(wǎng)絡(luò)并更好地了解情況。

話雖如此，我們?nèi)匀恍枰私鈱?duì)手在尋找什么，并開始像黑客一樣思考。腓特烈大帝曾說，“妄圖捍衛(wèi)一切的人，到頭來什么也捍衛(wèi)不了”。我們必須厘清重點(diǎn)，而這里的重點(diǎn)就在于數(shù)據(jù)。

我們見過的最佳實(shí)踐之一是，首先，在你整合防御措施之前，確保你了解自己的數(shù)據(jù)。并非所有數(shù)據(jù)都是均等的，你需要了解數(shù)據(jù)的價(jià)值并按優(yōu)先級(jí)進(jìn)行保護(hù)。

此外，通過進(jìn)行紅隊(duì)和滲透測(cè)試等事情，你可以獲得巨大的收益。因?yàn)楫?dāng)你像黑客一樣思考時(shí)，通常會(huì)發(fā)現(xiàn)自己以前根本沒注意到的風(fēng)險(xiǎn)。

對(duì)于IT專業(yè)人員來說，我們認(rèn)為最好的做法是在進(jìn)行紅隊(duì)和滲透測(cè)試的地方進(jìn)行常規(guī)訓(xùn)練。此外，如果你正在進(jìn)行代碼開發(fā)等實(shí)踐，請(qǐng)考慮啟動(dòng)漏洞賞金計(jì)劃，以幫助你了解自身的風(fēng)險(xiǎn)敞口并更好地控制你所面臨的風(fēng)險(xiǎn)。

Michael Krigsman：正如你一直在描述的那樣，我們似乎知道解決方案或預(yù)防措施，但世界上最大的一些公司仍在面臨數(shù)據(jù)泄露挑戰(zhàn)，這到底是怎么回事?究竟是出了什么問題?

Gregory Touhill：我首先想強(qiáng)調(diào)的是，不要因?yàn)橐恍┨魬?zhàn)而忽略了進(jìn)步，事實(shí)上，很多事情都是朝著好的方向發(fā)展的。正如我們所看到的，我們的經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全，所有這一切都依賴于安全、有保障的IT基礎(chǔ)設(shè)施。

我們的經(jīng)濟(jì)正從強(qiáng)勁的疫情大流行中復(fù)蘇。我認(rèn)為，在大流行期間，信息技術(shù)以及我們進(jìn)行此類對(duì)話的能力、視頻電話會(huì)議、遠(yuǎn)程勞動(dòng)力樞紐，所有這些都是專業(yè)的，也應(yīng)該是值得我們慶祝的事情。

話雖如此，我們也不能忽略有攻擊者正在積極尋求訪問我們數(shù)據(jù)的方法，試圖尋求競(jìng)爭(zhēng)優(yōu)勢(shì)，試圖為了金錢而動(dòng)搖我們，比如之前提到的勒索軟件騙子。

那么，他們究竟是如何成功的呢?數(shù)據(jù)顯示，絕大多數(shù)(大約95%以上)的網(wǎng)絡(luò)事件都是由粗心、疏忽、漠視或困惑的人引起的，他們沒有進(jìn)行正確地安裝、配置或?qū)⑺麄儞碛械男畔⒓夹g(shù)部署在合適的地方。當(dāng)然，還存在很多促成因素，例如復(fù)雜的系統(tǒng)。

用《星際迷航》(Star Trek)中“企業(yè)”號(hào)太空飛船總工程師Scottie的話來說，“越復(fù)雜的東西，往往越容易被破解?！?/p>

作為一名前軍事網(wǎng)絡(luò)運(yùn)營(yíng)商，我們一直在尋找接縫。在現(xiàn)實(shí)世界中，作為基地指揮官，我們會(huì)進(jìn)行基地防御演習(xí)。你會(huì)發(fā)現(xiàn)，總能從對(duì)手的防御中尋找到缺口。

這也解釋了為什么網(wǎng)絡(luò)攻擊者總能從我們的網(wǎng)絡(luò)防御、界面、人為因素中找到缺口，發(fā)現(xiàn)我們?cè)诎踩珜?shí)踐、配置、安裝以及漏洞修復(fù)方面存在的缺失。所有這些都形成了現(xiàn)有掃描工具能夠輕松識(shí)別的接縫，然后被網(wǎng)絡(luò)攻擊者利用。

Michael Krigsman：有報(bào)道稱，三分之二的政府由政府承包商提供技術(shù)支持，而這些承包商是大多為中小型企業(yè)。當(dāng)政府合同基于成本考慮時(shí)，網(wǎng)絡(luò)安全可能并非這些承包商首先考慮的問題。如果他們專注于低成本而非高安全性，我們?cè)撛趺崔k?

Gregory Touhill：我自己以及CERT部門的建議是，無論是政府內(nèi)部還是政府外部的高績(jī)效組織都應(yīng)將網(wǎng)絡(luò)安全作為一項(xiàng)要求。你不用猜他們是否具備適當(dāng)?shù)木W(wǎng)絡(luò)安全控制措施，你應(yīng)該要求他們具備適當(dāng)?shù)木W(wǎng)絡(luò)安全控制措施。

此外，根據(jù)你的風(fēng)險(xiǎn)偏好，你可以通過制定要求來進(jìn)一步降低風(fēng)險(xiǎn)，例如我想要對(duì)該供應(yīng)商進(jìn)行獨(dú)立的第三方審計(jì)、定期審計(jì)，以確保他們的網(wǎng)絡(luò)安全控制措施到位并且得到適當(dāng)?shù)淖袷亍?/p>

我們看到越來越多的組織——不僅在像國(guó)防部這樣的政府部門，而且在私營(yíng)部門——現(xiàn)在正在實(shí)施這些網(wǎng)絡(luò)安全要求，并且正在貫徹執(zhí)行獨(dú)立的第三方審計(jì)能力。

現(xiàn)在，我們知道國(guó)防部還在進(jìn)行“網(wǎng)絡(luò)安全能力成熟度模型認(rèn)證”項(xiàng)目，設(shè)計(jì)CMMC框架標(biāo)準(zhǔn)，授權(quán)第三方機(jī)構(gòu)對(duì)美國(guó)國(guó)防工業(yè)基礎(chǔ)企業(yè)的網(wǎng)絡(luò)安全成熟度進(jìn)行等級(jí)確認(rèn)。

我們?yōu)楦鹘缭诰W(wǎng)絡(luò)安全和安全設(shè)計(jì)方面——不僅在你的代碼、硬件和濕件中，而且在你的流程中也是如此——所做的努力鼓掌。希望這對(duì)世界各地的組織都有幫助，而不僅僅是政府。

Michael Krigsman：隨著經(jīng)濟(jì)衰退的陰影迫在眉睫，投資周期正在發(fā)生變化，我們從上次經(jīng)濟(jì)危機(jī)中學(xué)到了哪些關(guān)于如何在經(jīng)濟(jì)受限的環(huán)境中實(shí)現(xiàn)安全的經(jīng)驗(yàn)?現(xiàn)在與2018年或2007年有什么不同?

Gregory Touhill：在這一點(diǎn)上，當(dāng)你看到經(jīng)濟(jì)衰退時(shí)，我們看到的是通脹正在攀升，美聯(lián)儲(chǔ)正在考慮調(diào)整利率以試圖控制通脹。歸根結(jié)底，企業(yè)必須要平衡收支，而做企業(yè)的目的就是為了賺錢。

在這種情況下，身為技術(shù)人員，我們所要做的就是提出更好的業(yè)務(wù)案例，以闡述我們?yōu)槭裁赐顿Y網(wǎng)絡(luò)安全?？偟膩碚f，網(wǎng)絡(luò)安全保護(hù)了信息技術(shù)系統(tǒng)的完整性，而這些信息技術(shù)系統(tǒng)能夠?yàn)橥苿?dòng)業(yè)務(wù)發(fā)展提供動(dòng)力。

回溯過往，我們發(fā)現(xiàn)，我們的IT同行在理解如何表達(dá)業(yè)務(wù)案例方面做得并不好，但令人欣喜的跡象表明人們正在努力理解它。如今，網(wǎng)絡(luò)安全已被列入董事會(huì)、教室、餐廳甚至客廳的議事日程。我們需要能夠展示價(jià)值主張?jiān)谀睦铩⑼顿Y回報(bào)率等等。

不過，如果你要抵御經(jīng)濟(jì)衰退的影響，你不僅需要針對(duì)資源的內(nèi)部競(jìng)爭(zhēng)者，還需要針對(duì)最終消費(fèi)者展示價(jià)值主張，表明如果他們要向你提供任何數(shù)據(jù)，你有能力為他們保管好這些數(shù)據(jù)。那些能夠在經(jīng)濟(jì)動(dòng)蕩時(shí)期證明自身價(jià)值，并具備抵御經(jīng)濟(jì)衰退能力的企業(yè)無疑會(huì)脫穎而出。

Michael Krigsman：當(dāng)你的客戶數(shù)據(jù)、個(gè)人數(shù)據(jù)(信用卡等、社會(huì)安全號(hào)碼)被發(fā)布到網(wǎng)絡(luò)上時(shí)，這對(duì)你的公司聲譽(yù)肯定是沒有任何好處的。現(xiàn)在我們經(jīng)常聽到的另一種攻擊類型是勒索軟件攻擊。你能告訴我們有關(guān)勒索軟件以及這些攻擊是如何發(fā)生的嗎?

Gregory Touhill：勒索軟件實(shí)際上是目前全世界面臨的一個(gè)棘手問題。我們有無處不在的網(wǎng)絡(luò)竊賊。正如我在介紹中提到的，你可以上網(wǎng)下載有關(guān)如何成為黑客、如何創(chuàng)建勒索軟件等惡意軟件的課程。

對(duì)于那些不知道什么是勒索軟件的人來說，從本質(zhì)上講，從事勒索軟件的人是罪犯。他們是網(wǎng)絡(luò)騙子，他們正在創(chuàng)建惡意程序或直接通過勒索軟件即服務(wù)(RaaS)購買一段可以發(fā)起勒索軟件攻擊的代碼。

他們通常會(huì)通過網(wǎng)絡(luò)釣魚或有針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚攻擊將這些惡意代碼發(fā)送給受害者，一旦啟動(dòng)代碼，它就會(huì)在網(wǎng)絡(luò)中橫向移動(dòng)并加密你的數(shù)據(jù)。然后，如果你想解密你的數(shù)據(jù)并訪問他們篡改的數(shù)據(jù)，你必須向他們支付贖金?；旧?，受害者會(huì)選擇付款，否則勒索軟件攻擊者可能會(huì)銷毀數(shù)據(jù)并使其無法恢復(fù)。

真正老練的勒索軟件騙子也非常有耐心，他們會(huì)等到你進(jìn)行五到六次備份后才會(huì)觸發(fā)并拒絕你訪問自己的數(shù)據(jù)。

我們?cè)谑澜绺鞯氐睦账魇录卸伎吹搅诉@一點(diǎn)。例如，最近，哥斯達(dá)黎加政府發(fā)生的勒索軟件攻擊事件。

有一些方法可以降低勒索軟件風(fēng)險(xiǎn)。其中最重要的是，每個(gè)人都應(yīng)該提前與你的執(zhí)法部門——聯(lián)邦調(diào)查局、特勤局、當(dāng)?shù)鼐炀帧徽?，因?yàn)槿绻l(fā)生勒索軟件攻擊，你第一次與這些幫助你的人交談不應(yīng)該處于壓力和危機(jī)時(shí)期。

在制定事件響應(yīng)計(jì)劃時(shí)——你應(yīng)該有一個(gè)針對(duì)勒索軟件的計(jì)劃，該計(jì)劃需要在公司的各個(gè)層面都得到執(zhí)行——你應(yīng)該安排好會(huì)見執(zhí)法官員，如果你實(shí)際上受到勒索軟件攻擊，他們可以提供資源來幫助你。

Michael Krigsman：勒索軟件主要是人為失誤的原因，例如人們中了魚叉式網(wǎng)絡(luò)釣魚攻擊的陷阱，還是系統(tǒng)的技術(shù)滲透?

Gregory Touhill：出現(xiàn)網(wǎng)絡(luò)釣魚攻擊的可能性更大。這種攻擊通常有兩種不同的類型：一個(gè)是“撒網(wǎng)并祈禱”，攻擊者大范圍地向潛在受害者發(fā)送消息，然后“祈禱”有人點(diǎn)擊鏈接。

另一種是有針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚攻擊，攻擊者會(huì)事先對(duì)受害者進(jìn)行研究，并精心制作一個(gè)有針對(duì)性的消息，試圖誘使受害者點(diǎn)擊鏈接。因此，你應(yīng)該時(shí)刻警惕惡意發(fā)送的電子郵件和其他傳入信息。

Michael Krigsman：你的意思是說，這些類型的勒索軟件攻擊部分是技術(shù)性的，部分是對(duì)預(yù)期目標(biāo)的仔細(xì)研究。

Gregory Touhill：是的，從事該惡意活動(dòng)的大多是一般的網(wǎng)絡(luò)騙子，而非有組織的犯罪集團(tuán)。目前，我們?nèi)匀粵]有看到高度組織化、高技能、有組織的犯罪分子在使用這些勒索軟件。我們看到越來越多的人將勒索軟件下載為代碼功能，并針對(duì)他們的本地企業(yè)實(shí)施攻擊。

這不僅在美國(guó)，而且在世界各地都有發(fā)生。攻擊者的準(zhǔn)入門檻和成本繼續(xù)下降，而對(duì)于各地企業(yè)和政府來說，防御成本仍然很高。

Michael Krigsman：每天，我們都會(huì)看到來自世界各地的網(wǎng)絡(luò)安全威脅。為什么為網(wǎng)絡(luò)安全制定業(yè)務(wù)案例仍然如此困難，文化的作用是什么?

Gregory Touhill：如果可以的話，我想先與你分享一下我對(duì)現(xiàn)存威脅的分類，因?yàn)楝F(xiàn)存的威脅實(shí)在太多了。這個(gè)分類法是我與我的朋友兼同事Andy Ozment共同開發(fā)的。

首先，從威脅的角度來看，我認(rèn)為每個(gè)組織都需要為網(wǎng)絡(luò)領(lǐng)域的幾種威脅做好準(zhǔn)備。

一是間諜(spy)。這些間諜可能是民族國(guó)家支持的惡意行為者，也可能是從事商業(yè)間諜活動(dòng)的人。他們通過訪問你的數(shù)據(jù)來尋求競(jìng)爭(zhēng)優(yōu)勢(shì)，以便在特定問題上比你更快地采取行動(dòng)。

第二種是網(wǎng)絡(luò)竊賊(burglar)，他們是試圖尋求經(jīng)濟(jì)利益的網(wǎng)絡(luò)犯罪分子。

第三種我稱之為“網(wǎng)絡(luò)劫匪”(mugger)，朝鮮黑客針對(duì)索尼影業(yè)的攻擊就是最好的例子，他們劫持了索尼。但是，話說回來，每個(gè)人應(yīng)該都或多或少地經(jīng)歷過網(wǎng)絡(luò)欺凌，他們?cè)噲D在互聯(lián)網(wǎng)上劫持其他人。最終，劫匪的目光會(huì)落在有影響力的人或事物上，以實(shí)際影響實(shí)體或個(gè)人行為。

第四種是破壞者(saboteur)。破壞者非常有害，而且很難被發(fā)現(xiàn)?，F(xiàn)在，他們可能是民族國(guó)家的參與者，他們正在植入惡意代碼(有點(diǎn)像網(wǎng)絡(luò)炸彈)，以便在他們選擇的時(shí)間和地點(diǎn)發(fā)動(dòng)攻擊;或者可能是一個(gè)心懷不滿的員工埋下了某種邏輯炸彈。你必須為破壞者做好計(jì)劃，采取積極的控制措施并實(shí)施它們以防止其破壞你的數(shù)據(jù)。

第五種是顛覆者(vandal)，他們?cè)噲D傳達(dá)自己的信息并質(zhì)疑你的信息，試圖占據(jù)上風(fēng)來詆毀你的組織或個(gè)人。匿名者(Anonymous)就是一個(gè)很好的例子，這些人長(zhǎng)期以來一直是網(wǎng)絡(luò)顛覆者并試圖傳達(dá)他們的信息。

正如我之前提到的，當(dāng)你查看威脅環(huán)境時(shí)，我認(rèn)為超過95%的事件歸咎于那些粗心、疏忽、冷漠和困惑的人，他們安裝、配置錯(cuò)誤，沒有及時(shí)打補(bǔ)丁，或者正在實(shí)踐糟糕的做法。這是大多數(shù)網(wǎng)絡(luò)威脅進(jìn)入和存在風(fēng)險(xiǎn)的首要原因。但作為一名高管，你必須為所有這些不同的威脅做好計(jì)劃。

再進(jìn)一步說，這些類型的威脅早在互聯(lián)網(wǎng)出現(xiàn)之前就已經(jīng)存在了。制作你的業(yè)務(wù)案例并將其提交給董事會(huì)，不過在此之前，你必須以每個(gè)人都理解的業(yè)務(wù)語言來表達(dá)。

通常來說，將其類比為物理世界可以使你在公司預(yù)算過程中獲得優(yōu)勢(shì)，以便你實(shí)際上可以展示，“嘿，這是不同類型的威脅。這是我們需要采用的控制類型來降低風(fēng)險(xiǎn)?！?

自此，你就可以更好地用證據(jù)武裝自己來制定業(yè)務(wù)案例。

希望這種分類法對(duì)大家有用。

Michael Krigsman：你提到95%的網(wǎng)絡(luò)安全問題本質(zhì)上是人為錯(cuò)誤和經(jīng)驗(yàn)造成的，那另外的5%是什么?

Gregory Touhill：另外5%是上面提到的其他威脅：間諜、網(wǎng)絡(luò)竊賊、網(wǎng)絡(luò)劫匪、破壞者和顛覆者。

Michael Krigsman：你認(rèn)為網(wǎng)絡(luò)安全將走向何方，威脅的性質(zhì)又將走向何方?

Gregory Touhill：我認(rèn)為現(xiàn)存的威脅將繼續(xù)存在，至于發(fā)展方向，我們將看到更多的人出于不同的動(dòng)機(jī)而涉足某些領(lǐng)域。例如，如果他們想獲取數(shù)據(jù)，他們就會(huì)去追查某些事情，可能會(huì)成為間諜;或者，如果他們是網(wǎng)絡(luò)騙子，他們會(huì)試圖獲取可以貨幣化的數(shù)據(jù)。

當(dāng)我們看到攻擊成本進(jìn)一步下降時(shí)，我們必須采取反制措施，以確保我們擁有有效、高效和安全的防守能力。

我們還發(fā)現(xiàn)，那些能力和資源不及政府或大型企業(yè)實(shí)體的中小型企業(yè)，會(huì)加大對(duì)托管安全服務(wù)提供商(MSSP)的投資，MSSP可以在許多不同的領(lǐng)域?yàn)檫@些企業(yè)提供集體防御能力。

此外，我們還看到一些互聯(lián)網(wǎng)服務(wù)提供商(ISP)為家庭用戶提供上游保護(hù)。隨著互聯(lián)網(wǎng)服務(wù)提供商市場(chǎng)競(jìng)爭(zhēng)愈發(fā)激烈，提供上游保護(hù)會(huì)成為ISP 的一個(gè)競(jìng)爭(zhēng)優(yōu)勢(shì)。

最后，從端點(diǎn)的角度來看，我認(rèn)為你會(huì)看到更多購買手機(jī)、筆記本電腦等的人，消費(fèi)者的需求信號(hào)是希望從一開始就內(nèi)置安全性。我不想添加它，因?yàn)槟翘珡?fù)雜了。

Michael Krigsman：政府的網(wǎng)絡(luò)安全政策應(yīng)該是什么?作為消費(fèi)者，我知道自己的個(gè)人信息多次被泄露，并且正在出售。

Gregory Touhill：有兩個(gè)問題需要列在世界各地每個(gè)公民的議程上。一個(gè)是，我們需要就隱私與安全進(jìn)行非常開放和公開的對(duì)話。我認(rèn)為沒有安全性就不能擁有隱私。同理，我認(rèn)為沒有隱私就沒有安全性。

其次，我認(rèn)為市場(chǎng)確實(shí)需要對(duì)其產(chǎn)品安全性的質(zhì)量和有效性進(jìn)行反省。我們需要安全設(shè)計(jì)，而不是將安全性作為配置功能。我們需要在我們的許多產(chǎn)品、代碼庫等中內(nèi)置彈性。

這就是我們?cè)诳▋?nèi)基梅隆大學(xué)和軟件工程研究所CERT部門所做的事情，我們正在與行業(yè)合作，以展示基于證據(jù)的研究，表明我們需要在系統(tǒng)、硬件、供應(yīng)鏈中的軟件方面做得更好。

以上就是我認(rèn)為我們需要做得更好的兩件事。