专家分析:2022年的网络安全状况
发布时间:2022-06-08 14:27:08 所属栏目:安全 来源:互联网
导读:GregoryTouhill是世界知名的卡内基梅隆大学(CMU)软件工程研究所CERT部门的主任,他领导着一支由研究人员、软件工程师、安全分析师和数字智能专家组成的多元化团队,致力于研究软件产品中的安全漏洞,并开发尖端信息和培训以改善网络安全实践。 早在巴拉克奥
|
GregoryTouhill是世界知名的卡内基梅隆大学(CMU)软件工程研究所CERT部门的主任,他领导着一支由研究人员、软件工程师、安全分析师和数字智能专家组成的多元化团队,致力于研究软件产品中的安全漏洞,并开发尖端信息和培训以改善网络安全实践。 早在巴拉克·奥巴马当政时,Touhill就被任命为美国政府的首位首席信息安全官(CISO)。此前,他还曾在国土安全部(DHS)网络安全和通信办公室担任副助理部长。在加入卡内基梅隆大学软件工程学院之前,他曾任Appgate Federal公司总裁,该公司是为政府和国防机构提供网络安全产品和服务的供应商。 Touhill还是一位有着30年美国空军经验的老兵,曾担任中队、大队和联队级别的作战指挥官。在此期间,他曾担任军事网络安全和信息技术项目的高级领导,并最终成为美国运输司令部的首席信息官。据悉,该司令部是美国10大作战司令部之一。作为一名战斗老兵,他获得了众多奖项和勋章,包括铜星奖章和空军科学与工程奖。之后,他以准将军衔从空军退役。 Touhill拥有宾夕法尼亚州立大学政治学学士学位(辅修工程学)、南加州大学系统管理硕士学位、空军战争学院战略研究硕士学位以及哈佛大学肯尼迪学院证书。他同时还持有注册信息系统安全专家(CISSP)和注册信息安全员(CISM)认证。他是卡内基梅隆大学Heinz信息系统与公共政策学院以及迪肯大学(澳大利亚)网络安全研究与创新中心的兼职教员。 作为许多组织委员会的成员,并获得了诸多奖项,Touhill被《安全杂志》评为“安全领域最具影响力人物之一”,并被《联邦计算机周刊》评为“联邦100强人物之一”。他还是《高管的网络安全:创新技术的实用指南和商业化》(Cybersecurity for Executives: A Practical Guide and Commercialization of Innovative Technologies)一书的合著者。 采访摘录: Michael Krigsman(主持人):接下来,我们将与退休的空军准将Gregory Touhill一起探讨2022年的网络安全状况。Touhill,你能先简单介绍一下自己以及你所做的事情吗? Gregory Touhill:在奥巴马政府末期和人事管理办公室(OPM)经历大规模个人数据泄露之后,总统决定任命一位首席信息安全官,我就在这种情况下出任了联邦政府首位首席信息安全官。 在奥巴马政府结束后,我离开了联邦服务部门,并踏上了两条截然不同的道路。我成为了卡内基梅隆大学的一名教授,与此同时我也踏足了商业领域。我不仅担任过网络安全初创公司Appgate的总裁;我还曾在Semantic、Splunk、Intel、Bay Dynamics以及Cyber Response的董事会任职。因此,我在行业中获得了非常丰富的经验。 之后,我来到了卡内基梅隆大学软件工程学院,并担任CERT部门主任,我认为自己现在正处于“金字塔顶端”,领导着一支由杰出研究人员和工程师组成的多元化团队,致力于通过强化网络生态系统,来帮助更好地保护国家安全,实现国家繁荣。 Michael Krigsman:你认为此时此刻的网络安全格局如何? Gregory Touhill:我认为现在的网络安全状况是不稳定的。当我们分析利弊时,当今环境中的一些优点是,我们确实拥有一些出色的技术,这些技术将继续投入使用,以更好地保护我们的基础设施。 我们还让政府带头实施和推广零信任安全战略。请注意,我说的是“零信任策略”,而不是零信任架构或技术。它需要先从战略开始,也感谢政府在这方面取得的进展。 最后,我们发现,攻击仍然是一件非常便宜的事情。例如,任何有足够钱购买Kindle或低端笔记本电脑的人都可以(只要有足够的互联网访问权限)上YouTube,并参加有关如何破解系统的培训课程,从而成为一名技能娴熟的黑客。 综合这些利弊,我认为网络安全现在仍处于一种非常不稳定的状态。我认为,我们都需要意识到:虽然我们有很多专业人士,但同时也存在很多风险敞口。 Michael Krigsman:你提到的管理系统与操作系统的集成,以及导致更大安全风险的基本架构,显然是一个非常严重却非常普遍的问题。那么对此,我们能够做些什么呢? Gregory Touhill:这确实是一个非常普遍的问题,但它也被许多不同的组织所关注,因为正如你所说,作为一家企业,我们会竭尽所能地提高效率并降低成本。很多组织可能会从人力成本入手,因为它确实非常昂贵。 举个例子,我们会在关键基础设施中安装燃气表和电表,以前,我们会派人挨家挨户、一家企业一家企业地走动,去记录电表和燃气表数据。但是,当你考虑成本和价值最大化问题时,你会发现自动化并连接这些类型的计量系统可以降低人力和劳动力成本。 如今,随着技术不断发展,我们开始将各种不同的系统与计费之类的东西联系在一起。但是我们往往只知道一味地集成,却忽略了还需要对架构进行积极地控制,并了解系统是如何集成和组合的。这也是许多组织尚未掌握的高级技能。这也再次印证“复杂性是安全的阻碍”这句话。 Michael Krigsman:那么从根本上说,造成这种问题的原因是安全培训不足,还是企业架构问题? Gregory Touhill:虽然如此,但不可否认许多领域的情况正在好转。我们现在拥有的工具可以帮助IT人员映射他们的网络并更好地了解情况。 话虽如此,我们仍然需要了解对手在寻找什么,并开始像黑客一样思考。腓特烈大帝曾说,“妄图捍卫一切的人,到头来什么也捍卫不了”。我们必须厘清重点,而这里的重点就在于数据。 我们见过的最佳实践之一是,首先,在你整合防御措施之前,确保你了解自己的数据。并非所有数据都是均等的,你需要了解数据的价值并按优先级进行保护。 此外,通过进行红队和渗透测试等事情,你可以获得巨大的收益。因为当你像黑客一样思考时,通常会发现自己以前根本没注意到的风险。 对于IT专业人员来说,我们认为最好的做法是在进行红队和渗透测试的地方进行常规训练。此外,如果你正在进行代码开发等实践,请考虑启动漏洞赏金计划,以帮助你了解自身的风险敞口并更好地控制你所面临的风险。 Michael Krigsman:正如你一直在描述的那样,我们似乎知道解决方案或预防措施,但世界上最大的一些公司仍在面临数据泄露挑战,这到底是怎么回事?究竟是出了什么问题? Gregory Touhill:我首先想强调的是,不要因为一些挑战而忽略了进步,事实上,很多事情都是朝着好的方向发展的。正如我们所看到的,我们的经济发展、社会稳定和国家安全,所有这一切都依赖于安全、有保障的IT基础设施。 我们的经济正从强劲的疫情大流行中复苏。我认为,在大流行期间,信息技术以及我们进行此类对话的能力、视频电话会议、远程劳动力枢纽,所有这些都是专业的,也应该是值得我们庆祝的事情。 话虽如此,我们也不能忽略有攻击者正在积极寻求访问我们数据的方法,试图寻求竞争优势,试图为了金钱而动摇我们,比如之前提到的勒索软件骗子。 那么,他们究竟是如何成功的呢?数据显示,绝大多数(大约95%以上)的网络事件都是由粗心、疏忽、漠视或困惑的人引起的,他们没有进行正确地安装、配置或将他们拥有的信息技术部署在合适的地方。当然,还存在很多促成因素,例如复杂的系统。 用《星际迷航》(Star Trek)中“企业”号太空飞船总工程师Scottie的话来说,“越复杂的东西,往往越容易被破解。” 作为一名前军事网络运营商,我们一直在寻找接缝。在现实世界中,作为基地指挥官,我们会进行基地防御演习。你会发现,总能从对手的防御中寻找到缺口。 我们看到越来越多的组织——不仅在像国防部这样的政府部门,而且在私营部门——现在正在实施这些网络安全要求,并且正在贯彻执行独立的第三方审计能力。 现在,我们知道国防部还在进行“网络安全能力成熟度模型认证”项目,设计CMMC框架标准,授权第三方机构对美国国防工业基础企业的网络安全成熟度进行等级确认。 我们为各界在网络安全和安全设计方面——不仅在你的代码、硬件和湿件中,而且在你的流程中也是如此——所做的努力鼓掌。希望这对世界各地的组织都有帮助,而不仅仅是政府。 Michael Krigsman:随着经济衰退的阴影迫在眉睫,投资周期正在发生变化,我们从上次经济危机中学到了哪些关于如何在经济受限的环境中实现安全的经验?现在与2018年或2007年有什么不同? Gregory Touhill:在这一点上,当你看到经济衰退时,我们看到的是通胀正在攀升,美联储正在考虑调整利率以试图控制通胀。归根结底,企业必须要平衡收支,而做企业的目的就是为了赚钱。 在这种情况下,身为技术人员,我们所要做的就是提出更好的业务案例,以阐述我们为什么投资网络安全。总的来说,网络安全保护了信息技术系统的完整性,而这些信息技术系统能够为推动业务发展提供动力。 回溯过往,我们发现,我们的IT同行在理解如何表达业务案例方面做得并不好,但令人欣喜的迹象表明人们正在努力理解它。如今,网络安全已被列入董事会、教室、餐厅甚至客厅的议事日程。我们需要能够展示价值主张在哪里、投资回报率等等。 对于那些不知道什么是勒索软件的人来说,从本质上讲,从事勒索软件的人是罪犯。他们是网络骗子,他们正在创建恶意程序或直接通过勒索软件即服务(RaaS)购买一段可以发起勒索软件攻击的代码。 他们通常会通过网络钓鱼或有针对性的鱼叉式网络钓鱼攻击将这些恶意代码发送给受害者,一旦启动代码,它就会在网络中横向移动并加密你的数据。然后,如果你想解密你的数据并访问他们篡改的数据,你必须向他们支付赎金。基本上,受害者会选择付款,否则勒索软件攻击者可能会销毁数据并使其无法恢复。 真正老练的勒索软件骗子也非常有耐心,他们会等到你进行五到六次备份后才会触发并拒绝你访问自己的数据。 我们在世界各地的勒索事件中都看到了这一点。例如,最近,哥斯达黎加政府发生的勒索软件攻击事件。 有一些方法可以降低勒索软件风险。其中最重要的是,每个人都应该提前与你的执法部门——联邦调查局、特勤局、当地警察局——交谈,因为如果发生勒索软件攻击,你第一次与这些帮助你的人交谈不应该处于压力和危机时期。 在制定事件响应计划时——你应该有一个针对勒索软件的计划,该计划需要在公司的各个层面都得到执行——你应该安排好会见执法官员,如果你实际上受到勒索软件攻击,他们可以提供资源来帮助你。 Michael Krigsman:勒索软件主要是人为失误的原因,例如人们中了鱼叉式网络钓鱼攻击的陷阱,还是系统的技术渗透? Gregory Touhill:出现网络钓鱼攻击的可能性更大。这种攻击通常有两种不同的类型:一个是“撒网并祈祷”,攻击者大范围地向潜在受害者发送消息,然后“祈祷”有人点击链接。 Gregory Touhill:是的,从事该恶意活动的大多是一般的网络骗子,而非有组织的犯罪集团。目前,我们仍然没有看到高度组织化、高技能、有组织的犯罪分子在使用这些勒索软件。我们看到越来越多的人将勒索软件下载为代码功能,并针对他们的本地企业实施攻击。 这不仅在美国,而且在世界各地都有发生。攻击者的准入门槛和成本继续下降,而对于各地企业和政府来说,防御成本仍然很高。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号