专家解读:2022年网络安全状况多元化的数字情报专家团队研究软件产品中的安全漏洞并开发前沿信息和培训以改进网络安全实践。早在巴拉克奥巴马政府时期,Touhill就被任命为美国政府的第一任首席信息安全官(CISO)。他之前还曾担任国土安全部(DHS)网络安全和通信办公室的副助理部长。在加入卡内基梅隆大学软件工程学院之前,他是AppgateFederal的总裁,该公司是一家为政府和国防机构提供网络安全产品和服务的供应商。图希尔还是一名在美国空军服役30年的老兵,曾担任中队、大队和联队级别的作战指挥官。在此期间,他担任军方网络安全和信息技术项目的高级领导,并最终成为美国运输司令部的首席信息官。据悉,该司令部是美国十大作战司令部之一。作为一名战斗老兵,他获得过无数奖项和勋章,包括铜星勋章和空军科学与工程奖。随后,他以准将军衔从空军退役。Touhill拥有宾夕法尼亚州立大学政治学学士学位(辅修工程学)、南加州大学系统管理硕士学位、空军战争学院战略研究硕士学位以及哈佛大学肯尼迪学院的证书。他还拥有认证信息系统安全专家(CISSP)和认证信息安全官(CISM)认证。他是卡内基梅隆大学亨氏信息系统与公共政策学院和迪肯大学(澳大利亚)网络安全研究与创新中心的兼职教员。作为众多组织委员会的成员和众多奖项的获得者,Touhill被《安全杂志》评为“安全领域最具影响力的人物之一”,并被《联邦计算机周刊》评为“联合会100强人物”之一。他还是《高管的网络安全:创新技术的实用指南和商业化》一书的合著者(Cyber??securityforExecutives:APracticalGuideandCommercializationofInnovativeTechnologies)。访谈摘录:MichaelKrigsman(主持人):接下来,我们将与退役空军准将GregoryTouhill讨论2022年的网络安全状况。Touhill,你能先简单介绍一下你自己和你的工作吗?GregoryTouhill:在奥巴马政府末期,在人事管理办公室(OPM)发生大规模个人数据泄露事件后,总统决定任命一名首席信息安全官,而我在这种情况下,他成为了第一位首席信息官联邦政府的安全官员。奥巴马政府结束后,我离开了联邦政府,走上了两条截然不同的道路。我成为了卡内基梅隆大学的教授,同时我也涉足商界。我不仅担任过网络安全初创公司Appgate的总裁;我还曾在Semantic、Splunk、Intel、BayDynamics和Cyber??Response的董事会任职。因此,我获得了非常丰富的行业经验。之后,我来到了卡内基梅隆大学软件工程学院,担任CERT部门的主任。我想我现在处于“金字塔顶端”,领导着一支由杰出研究人员和工程师组成的多元化团队,致力于通过加强网络生态系统来帮助更好地保护国家安全并实现国家繁荣。MichaelKrigsman:您如何看待目前的网络安全形势?GregoryTouhill:我认为现在的网络安全形势不稳定。当我们审视利弊时,当今环境中的一些好事是我们确实拥有一些伟大的技术,这些技术将继续到位,以更好地保护我们的基础设施。我们还让政府带头实施和推出零信任安全策略。请注意,我说的是“零信任策略”,而不是零信任架构或技术。它需要首先从战略着手,政府对在这方面取得的进展表示感谢。然后我还看到市场对需要托管服务、安全服务提供商或托管安全服务提供商(MSSP)开发方面帮助的SMB做出积极响应。此外,我看到信息共享方面的趋势有所增加,因此所有四个要素都非常积极。不幸的是,所有这些努力都被一些顽疾所抵消。首先我想说,新技术是个好东西,但是我们对信息技术的过度依赖,这一点在疫情期间得到了验证,也确实凸显了我们对信息技术的热爱和对安全、值得信赖的重度依赖在网络生态系统上。其次,我们发现还存在很多整合问题。当你去整合更多的东西时,无疑是在增加你的风险敞口。我们发现,许多组织并没有很好地处理他们的风险暴露,尤其是当他们将信息技术与运营技术、工业控制系统(例如连接到泵的计费系统)、现场阀门开关相结合时,无疑进一步加剧了安全风险。最后两个缺点是:复杂性继续困扰着我们的人为因素,即系统中涉及的湿件(wetware,指除人件之外的硬件、软件和人件),因为复杂性是安全的障碍。我们继续拥有需要数月或数年才能掌握的产品。从认知的角度来看,我们有一支杂乱无章的员工队伍,他们在努力跟上技术的发展。最后,我们发现攻击仍然是一件非常便宜的事情。例如,任何有足够钱购买Kindle或低端笔记本电脑的人都可以(只要有足够的互联网访问权限)上YouTube并参加有关如何破解系统并成为熟练黑客的培训课程。结合这些优点和缺点,我认为网络安全仍然处于一个非常不稳定的状态。我认为我们都需要意识到,虽然我们拥有很多专业知识,但我们也有很多曝光率。MichaelKrigsman:您提到的管理系统与操作系统的集成,以及导致更大安全风险的底层架构,显然是一个非常严重但又非常普遍的问题。那么我们能做些什么呢?GregoryTouhill:这确实是一个非常普遍的问题,但许多不同的组织也在关注它,因为正如您所说,作为一家企业,我们试图提高效率并降低成本。许多组织可能会从劳动力成本开始,因为它真的很贵。例如,我们将在关键基础设施中安装煤气表和电表。以前,我们会派人挨家挨户、逐家逐户地记录电表和煤气表的数据。然而,当您考虑成本和价值最大化问题时,您会发现自动化和连接这些类型的计量系统可以减少劳动力和劳动力成本。今天,随着技术的不断发展,我们开始将各种不同的系统与计费等事物联系在一起。但我们往往只知道如何盲目地集成,而忽略了主动控制架构和了解系统如何集成组合的需要。这也是许多组织尚未掌握的高级技能。这再次印证了“复杂性是安全的障碍”这句话。MichaelKrigsman:那么从根本上说,这个问题是安全培训不足造成的,还是企业架构的问题?GregoryTouhill:其中一些应该是历史问题,以前的员工(现在已经离职)可能在1990年代就已经将管理系统与操作系统集成,并尝试将两者结合在一起以实现更高效的业务。以我在国土安全部的时间为例,当我们与关键基础设施提供商合作时,我们会进行渗透测试和红队测试,以向他们展示我们实际上是如何利用其中一些跨IT和OT放在一起的活动,当然,我们的意图是善意的。有了这种复杂性,您可以确保您对企业架构、渗透测试和红队有很好的处理,看看是否有人插入了您不知道的东西,所有这些都是当今最佳实践的一部分。每个高管、董事会成员、IT人员、运营人员和整个公司都需要了解系统如何集成以及存在哪些风险的态势感知。MichaelKrigsman:我假设您描述的这种有组织的态势感知还不够普遍,因为事实证明隐私泄露、勒索软件攻击等一直都在发生。GregoryTouhill:话虽如此,但不可否认的是,许多领域的情况都在改善。我们现在拥有可帮助IT人员映射其网络并获得更好可见性的工具。话虽如此,我们仍然需要了解对手在寻找什么,并开始像黑客一样思考。腓特烈大帝曾经说过:“试图捍卫一切的人最终将一无所获。”我们必须切入正题,这里的重点就是数据。我们见过的最佳做法之一是,首先,确保在采取防御措施之前了解您的数据。并非所有数据生而平等,您需要了解其价值并优先保护其。此外,您还可以通过红队和渗透测试等方式获得巨大收益。因为当你像黑客一样思考时,你经常会发现你以前甚至没有注意到的风险。对于IT专业人员,我们认为最佳做法是在进行红队测试和渗透测试的地方进行定期培训。此外,如果您从事代码开发等实践,请考虑启动漏洞赏金计划,以帮助您了解您的风险并更好地控制您面临的风险。MichaelKrigsman:正如您所描述的,我们似乎知道解决方案或预防措施,但世界上一些最大的公司仍然面临数据泄露的挑战。这是怎么回事?出了什么问题?GregoryTouhill:我首先要强调的是,不要因为一些挑战而忽视进步。其实很多事情都在往好的方向发展。正如我们所看到的,我们的经济发展、社会稳定和国家安全都依赖于安全可靠的信息技术基础设施。我们的经济正在从一场严重的流行病中复苏。我认为在大流行期间,信息技术以及我们进行此类对话、视频电话会议、远程劳动力中心的能力,所有这些都是专业的,应该值得我们庆祝。话虽如此,我们不能忽视这样一个事实,即有攻击者正在积极寻找访问我们数据的方法,试图获得竞争优势,并试图通过金钱来影响我们,就像前面提到的勒索软件骗子一样。那么他们究竟是如何成功的呢?统计数据表明,绝大多数(超过95%)的网络事件是由于粗心、疏忽、忽视或混淆的人造成的,他们没有正确安装、配置或将信息技术部署在正确的地方。当然,影响因素有很多,比如复杂的系统。用《星际迷航》(星际迷航)中企业号飞船总工程师斯科蒂的话来说,“越复杂的东西越容易被破解。”作为前军事网络运营商,我们一直在寻找接缝。在现实世界中,作为基地指挥官,我们进行基地防御演习。你会发现,你总能在对手的防守中找到空子。这也解释了为什么网络攻击者总能在我们的网络防御、接口、人为因素中找到漏洞,并在我们的安全实践、配置、安装和错误修复中找到漏洞。所有这些形成了现有扫描工具可以轻松识别然后被网络攻击者利用的接缝。MichaelKrigsman:据报道,三分之二的政府都由政府承包商提供技术支持,而这些承包商大多是中小企业。当政府合同基于成本考虑时,网络安全可能不是这些承包商的首要任务。如果他们关注低成本而不是高安全性,我们该怎么办?GregoryTouhill:我个人以及CERT部门的建议是,政府内外的高绩效组织都应该将网络安全作为一项要求。与其猜测他们是否实施了网络安全控制措施,不如要求他们实施。此外,根据您的风险偏好,您可以通过制定要求进一步降低风险,例如我想对供应商进行独立的第3方审计,定期审计以确保他们的网络安全控制措施到位并得到适当遵守.我们看到越来越多的组织——不仅在国防部等政府部门,而且在私营部门——现在都在实施这些网络安全要求并实施独立的第三方审计能力。现在,我们知道国防部还在开展“网络安全能力成熟度模型认证”项目,设计CMMC框架标准,授权第三方机构确认美国国防工业基地的网络安全成熟度水平企业。我们赞赏各行各业在网络安全和安全设计方面所做的努力——不仅在您的代码、硬件和湿件中,而且在您的流程中。希望这有助于世界各地的组织,而不仅仅是政府。MichaelKrigsman:随着经济衰退的阴影和投资周期的转变,我们从上次经济危机中学到了什么关于如何在经济受限的环境中保持安全?现在与2018年或2007年有何不同?GregoryTouhill:在这一点上,当你审视经济衰退时,我们看到的是通胀正在攀升,美联储正在考虑调整利率以试图控制通胀。归根结底,做生意要收支平衡,做生意的目的就是为了赚钱。在这种情况下,作为技术人员,我们所要做的就是为我们投资网络安全的原因提出更好的商业案例。总的来说,网络安全保护为企业提供动力的信息技术系统的完整性。回顾过去,我们发现我们的IT同行在理解如何表达业务案例方面做得不好,但有可喜的迹象表明人们正在努力理解它。如今,网络安全已提上会议室、教室、餐厅甚至客厅的议程。我们需要能够展示价值主张在哪里、投资回报率等。但是,如果您要抵御衰退,您不仅需要向内部竞争对手展示价值主张以获取资源,而且还需要最终消费者,表明如果他们要向您提供任何数据,您有能力为他们确保数据安全。那些能够在经济动荡时期证明自己价值并有能力抵御经济衰退的企业无疑会脱颖而出。MichaelKrigsman:当您的客户数据、个人数据(信用卡等、社会安全号码)在网上发布时,这绝对不会给您的公司声誉带来任何好处。我们最近经常听到的另一种攻击类型是勒索软件攻击。您能告诉我们有关勒索软件的信息以及这些攻击是如何发生的吗?GregoryTouhill:勒索软件实际上是当今世界面临的一个非常棘手的问题。我们到处都有网络窃贼。正如我在介绍中提到的,您可以上网下载有关如何成为一名黑客、如何创建勒索软件等恶意软件的课程。对于那些不知道什么是勒索软件的人来说,实施勒索软件的人本质上都是罪犯。他们是网络骗子,他们正在创建恶意程序或直接通过勒索软件即服务(RaaS)购买一段代码,从而发起勒索软件攻击。他们通常通过网络钓鱼或有针对性的鱼叉式网络钓鱼攻击将此恶意代码发送给受害者,一旦代码启动,它就会在网络中横向移动并加密您的数据。然后,如果你想解密你的数据并访问他们篡改的数据,你必须向他们支付赎金。基本上,受害者选择支付,否则勒索软件攻击者可能会破坏数据并使其无法恢复。真正老练的勒索软件骗子也非常有耐心,会等到你做了五六次备份后才会触发并拒绝你访问自己的数据。我们在世界各地的勒索事件中都看到了这一点。例如,最近发生了针对哥斯达黎加政府的勒索软件攻击。有多种方法可以降低勒索软件的风险。其中最重要的是,每个人都应该提前与您的执法部门——联邦调查局、特勤局、当地警察局——交谈,因为在勒索软件攻击的情况下,这是你第一次交谈致那些正在帮助您的人这不应该是压力和危机时期。在制定事件响应计划时——你应该有一个需要在公司的每个级别执行的勒索软件计划——你应该安排与执法官员会面,他们可以提供资源来帮助你。MichaelKrigsman:勒索软件主要是人为错误的结果,比如人们陷入鱼叉式网络钓鱼攻击,还是系统的技术渗透?GregoryTouhill:网络钓鱼攻击的可能性更大。这种攻击通常有两种截然不同的类型:一种是“撒网祈祷”,攻击者向潜在受害者大规模发送消息,然后“祈祷”有人点击链接。另一种是有针对性的鱼叉式网络钓鱼攻击,攻击者事先研究受害者并制作有针对性的消息,试图诱使受害者点击链接。因此,您应该始终留意恶意发送的电子邮件和其他传入消息。MichaelKrigsman:你的意思是,这些类型的勒索软件攻击部分是技术性的,部分是对预期目标的仔细研究。GregoryTouhill:是的,大多数恶意活动是由普通网络骗子而不是有组织的犯罪集团完成的。目前,我们仍然没有看到使用这些勒索软件的高度组织化、高技能、有组织的犯罪分子。我们看到越来越多的人将勒索软件下载为代码功能,并以他们当地的企业为目标。这不仅发生在美国,而且发生在全世界。进入壁垒和攻击者的成本继续下降,而各地的企业和政府的防御成本仍然很高。MichaelKrigsman:每天,我们都会看到来自世界各地的网络安全威胁。为什么为网络安全制定商业案例仍然如此困难,文化的作用是什么?GregoryTouhill:如果可以的话,我想首先与您分享我对现有威胁的分类,因为威胁太多了。这个分类法是我和我的朋友兼同事AndyOzment一起开发的。首先,从威胁的角度来看,我认为每个组织都需要为网络领域的多种威胁做好准备。一种是间谍(spy)。这些间谍可能是民族国家支持的恶意行为者,也可能是从事企业间谍活动的人。他们通过访问您的数据来寻求竞争优势,以便在特定问题上比您更快地采取行动。第二种是窃贼,他们是寻求经济利益的网络犯罪分子。第三种我称之为“抢劫者”(mugger),朝鲜黑客对索尼影业的攻击就是最好的例子,他们劫持了索尼。但是,话虽如此,每个人都应该经历过一次或多次网络欺凌,他们试图在互联网上劫持其他人。最终,强盗会将目光投向有影响力的人或事,以实际影响实体或个人的行为。第四种是破坏者(saboteur)。破坏者非常有害且难以发现。现在,他们可能是国家行为者,他们正在植入恶意代码(有点像网络炸弹)以在他们选择的时间和地点发动攻击;或者可能是心怀不满的员工安放了某种逻辑炸弹。您必须为违规行为做好计划,采取积极的控制措施并加以实施,以防止它们破坏您的数据。第五种是破坏者,他们试图传播他们的信息并质疑你的信息,试图占据上风来诋毁你的组织或个人。Anonymous就是一个很好的例子,这些人长期以来一直是网络破坏者,并试图传播他们的信息。正如我之前提到的,当你审视威胁形势时,我认为超过95%的事件是由于粗心、疏忽、冷漠和困惑的人安装、错误配置、没有及时打补丁,或者正在实践不良做法。这是大多数网络威胁进入并存在风险的首要原因。但作为一名高管,您必须为所有这些不同的威胁做好计划。更进一步,这些类型的威胁早在互联网出现之前就已经存在。制定您的业务案例并将其提交给董事会,但在此之前,您必须使用每个人都能理解的业务语言。一般而言,将其与现实世界进行类比会给您在公司预算流程中带来优势,这样您就可以真正表明,“嘿,这是一种不同类型的威胁。以下是我们需要实施以降低风险的控制类型。从那里,您将能够更好地为自己提供证据来制定商业案例。希望这个分类法对大家有用。MichaelKrigsman:你提到95%的网络安全问题本质上是人为错误和经验,那另外5%呢?GregoryTouhill:另外5%是上面提到的其他威胁:间谍活动、网络窃贼、网络劫匪、破坏者和颠覆者。MichaelKrigsman:您认为网络安全将走向何方,威胁的本质又将走向何方?GregoryTouhill:我认为现有的威胁将继续存在,就我们的发展方向而言,我们将看到更多的人以不同的动机参与某些领域。例如,如果他们想要获取数据,那么他们正在追逐某些东西,可能会成为一名间谍;或者,如果他们是网络骗子,他们正试图获取可以货币化的数据。随着我们看到攻击成本进一步下降,我们必须采取对策以确保我们拥有有效、高效和安全的防御。我们还发现,与政府或大型企业实体相比,能力和资源较少的中小型企业对托管安全服务提供商(MSSP)的投资更多,这可以在许多不同领域为这些企业提供集体防御。此外,我们还看到一些互联网服务提供商(ISP)为家庭用户提供上游保护。随着Internet服务提供商市场竞争越来越激烈,提供上游保护可能成为ISP的竞争优势。最后,从端点的角度来看,我认为你会看到更多人购买手机、笔记本电脑等,消费者的需求信号是希望从一开始就内置安全性。我不想添加它,因为那太复杂了。MichaelKrigsman:政府的网络安全政策应该是什么?作为消费者,我知道我的个人信息已多次泄露并被出售。GregoryTouhill:有两个问题需要提上每个地方每个公民的议程。一是,我们需要就隐私和安全进行非常开放和公开的对话。我不认为没有安全就没有隐私。同样的道理,我相信没有隐私就没有安全。其次,我认为市场确实需要对其产品安全的质量和有效性进行一些反省。我们需要设计的安全性,而不是作为配置功能的安全性。我们需要在我们的许多产品、代码库等中内置弹性。这就是我们在卡内基梅隆大学和软件工程研究所的CERT部门正在做的事情,我们正在与行业合作展示基于证据的研究,这些研究表明我们需要在供应链的系统、硬件、软件方面做得更好。这是我认为我们需要做得更好的两件事。
