专家解读:2022年的网络安全状况
发布时间:2022-07-28 11:13:06 所属栏目:安全 来源:互联网
导读:Gregory Touhill是世界知名的卡内基梅隆大学(CMU)软件工程研究所CERT部门的主任,他领导着一支由研究人员、软件工程师、安全分析师和数字智能专家组成的多元化团队,致力于研究软件产品中的安全漏洞,并开发尖端信息和培训以改善网络安全实践。 早在巴拉克奥
|
Gregory Touhill是世界知名的卡内基梅隆大学(CMU)软件工程研究所CERT部门的主任,他领导着一支由研究人员、软件工程师、安全分析师和数字智能专家组成的多元化团队,致力于研究软件产品中的安全漏洞,并开发尖端信息和培训以改善网络安全实践。 早在巴拉克·奥巴马当政时,Touhill就被任命为美国政府的首位首席信息安全官(CISO)。此前,他还曾在国土安全部(DHS)网络安全和通信办公室担任副助理部长。在加入卡内基梅隆大学软件工程学院之前,他曾任Appgate Federal公司总裁,该公司是为政府和国防机构提供网络安全产品和服务的供应商。 Touhill还是一位有着30年美国空军经验的老兵,曾担任中队、大队和联队级别的作战指挥官。在此期间,他曾担任军事网络安全和信息技术项目的高级领导,并最终成为美国运输司令部的首席信息官。据悉,该司令部是美国10大作战司令部之一。作为一名战斗老兵,他获得了众多奖项和勋章,包括铜星奖章和空军科学与工程奖。之后,他以准将军衔从空军退役。 Touhill拥有宾夕法尼亚州立大学政治学学士学位(辅修工程学)、南加州大学系统管理硕士学位、空军战争学院战略研究硕士学位以及哈佛大学肯尼迪学院证书。他同时还持有注册信息系统安全专家(CISSP)和注册信息安全员(CISM)认证。他是卡内基梅隆大学Heinz信息系统与公共政策学院以及迪肯大学(澳大利亚)网络安全研究与创新中心的兼职教员。 作为许多组织委员会的成员,并获得了诸多奖项,Touhill被《安全杂志》评为“安全领域最具影响力人物之一”,并被《联邦计算机周刊》评为“联邦100强人物之一”。他还是《高管的网络安全:创新技术的实用指南和商业化》(Cybersecurity for Executives: A Practical Guide and Commercialization of Innovative Technologies)一书的合著者。 采访摘录: Michael Krigsman(主持人):接下来,我们将与退休的空军准将Gregory Touhill一起探讨2022年的网络安全状况。Touhill,你能先简单介绍一下自己以及你所做的事情吗? Gregory Touhill:在奥巴马政府末期和人事管理办公室(OPM)经历大规模个人数据泄露之后,总统决定任命一位首席信息安全官,我就在这种情况下出任了联邦政府首位首席信息安全官。 在奥巴马政府结束后,我离开了联邦服务部门,并踏上了两条截然不同的道路。我成为了卡内基梅隆大学的一名教授,与此同时我也踏足了商业领域。我不仅担任过网络安全初创公司Appgate的总裁;我还曾在Semantic、Splunk、Intel、Bay Dynamics以及Cyber Response的董事会任职。因此,我在行业中获得了非常丰富的经验。 之后,我来到了卡内基梅隆大学软件工程学院,并担任CERT部门主任,我认为自己现在正处于“金字塔顶端”,领导着一支由杰出研究人员和工程师组成的多元化团队,致力于通过强化网络生态系统,来帮助更好地保护国家安全,实现国家繁荣。 Michael Krigsman:你认为此时此刻的网络安全格局如何? Gregory Touhill:我认为现在的网络安全状况是不稳定的。当我们分析利弊时,当今环境中的一些优点是,我们确实拥有一些出色的技术,这些技术将继续投入使用,以更好地保护我们的基础设施。 我们还让政府带头实施和推广零信任安全战略。请注意,我说的是“零信任策略”,而不是零信任架构或技术。它需要先从战略开始,也感谢政府在这方面取得的进展。 然后,我还看到市场正在积极回应在托管服务、安全服务提供商或安全托管服务提供商(MSSP)开发方面需要一些帮助的中小型企业。此外,我还看到了信息共享方面的增加趋势,所以这四个元素都是非常积极的。 但遗憾的是,所有这些努力被一些顽固存在的弊病所抵消。首先,我想说的是,新技术层出不穷是好事,但我们却对信息技术产生了过度依赖,这一点已经在大流行期间得到了验证,它确实突出了我们对信息技术和安全、可信赖的网络生态系统的严重依赖。 其次,我们发现仍然存在很多集成问题。当你去整合更多的东西时,无疑也在增加你的风险敞口。我们发现,许多组织并没有很好地处理他们的风险敞口,特别是当他们将信息技术与运营技术、工业控制系统(例如与泵相连的计费系统)、现场阀门开关相集成时,这无疑进一步加剧了安全风险。 最后两个缺点是:复杂性继续困扰着我们的人为因素,即系统中涉及的湿件(wetware,指硬件、软件之外的人件peopleware),因为复杂性是安全的阻碍。我们继续拥有需要数月或数年才能掌握的产品。从认知的角度来看,我们有一支混乱的劳动力队伍正在努力跟上技术发展步伐。 最后,我们发现,攻击仍然是一件非常便宜的事情。例如,任何有足够钱购买Kindle或低端笔记本电脑的人都可以(只要有足够的互联网访问权限)上YouTube,并参加有关如何破解系统的培训课程,从而成为一名技能娴熟的黑客。 综合这些利弊,我认为网络安全现在仍处于一种非常不稳定的状态。我认为,我们都需要意识到:虽然我们有很多专业人士,但同时也存在很多风险敞口。 Michael Krigsman:你提到的管理系统与操作系统的集成,以及导致更大安全风险的基本架构,显然是一个非常严重却非常普遍的问题。那么对此,我们能够做些什么呢? Gregory Touhill:这确实是一个非常普遍的问题,但它也被许多不同的组织所关注,因为正如你所说,作为一家企业,我们会竭尽所能地提高效率并降低成本。很多组织可能会从人力成本入手,因为它确实非常昂贵。 举个例子,我们会在关键基础设施中安装燃气表和电表,以前,我们会派人挨家挨户、一家企业一家企业地走动,去记录电表和燃气表数据。但是,当你考虑成本和价值最大化问题时,你会发现自动化并连接这些类型的计量系统可以降低人力和劳动力成本。 如今,随着技术不断发展,我们开始将各种不同的系统与计费之类的东西联系在一起。但是我们往往只知道一味地集成,却忽略了还需要对架构进行积极地控制,并了解系统是如何集成和组合的。这也是许多组织尚未掌握的高级技能。这也再次印证“复杂性是安全的阻碍”这句话。 Michael Krigsman:那么从根本上说,造成这种问题的原因是安全培训不足,还是企业架构问题? Gregory Touhill:其中一些应该属于历史遗留问题,以前的员工(现已离职)可能在上世纪90年代就将管理系统与操作系统集成,并试图将这两者结合在一起以实现更高效的业务。 以我在国土安全部的工作经历为例,当我们与关键基础设施提供商合作时,我们会进行渗透测试和红队测试,向他们展示我们实际上是如何利用其中一些被整合在一起的活动跨越IT和OT的,当然,我们的目的是善意的。 通过这种复杂性,可以确保你能够很好地处理企业架构,通过渗透测试和红队测试来查看是否有人插入了你不知道的内容,所有这些都是当今最佳实践的组成部分。每个高管、董事会成员、IT人员、运营人员,乃至整个公司都需要对系统如何集成以及存在哪些风险具备态势感知能力。 Michael Krigsman:我假设你所描述的这种有组织的态势感知还不够普遍,因为事实证明隐私泄露、勒索软件攻击等一直在发生。 Gregory Touhill:虽然如此,但不可否认许多领域的情况正在好转。我们现在拥有的工具可以帮助IT人员映射他们的网络并更好地了解情况。 话虽如此,我们仍然需要了解对手在寻找什么,并开始像黑客一样思考。腓特烈大帝曾说,“妄图捍卫一切的人,到头来什么也捍卫不了”。我们必须厘清重点,而这里的重点就在于数据。 我们见过的最佳实践之一是,首先,在你整合防御措施之前,确保你了解自己的数据。并非所有数据都是均等的,你需要了解数据的价值并按优先级进行保护。 此外,通过进行红队和渗透测试等事情,你可以获得巨大的收益。因为当你像黑客一样思考时,通常会发现自己以前根本没注意到的风险。 对于IT专业人员来说,我们认为最好的做法是在进行红队和渗透测试的地方进行常规训练。此外,如果你正在进行代码开发等实践,请考虑启动漏洞赏金计划,以帮助你了解自身的风险敞口并更好地控制你所面临的风险。 Michael Krigsman:正如你一直在描述的那样,我们似乎知道解决方案或预防措施,但世界上最大的一些公司仍在面临数据泄露挑战,这到底是怎么回事?究竟是出了什么问题? Gregory Touhill:我首先想强调的是,不要因为一些挑战而忽略了进步,事实上,很多事情都是朝着好的方向发展的。正如我们所看到的,我们的经济发展、社会稳定和国家安全,所有这一切都依赖于安全、有保障的IT基础设施。 我们的经济正从强劲的疫情大流行中复苏。我认为,在大流行期间,信息技术以及我们进行此类对话的能力、视频电话会议、远程劳动力枢纽,所有这些都是专业的,也应该是值得我们庆祝的事情。 话虽如此,我们也不能忽略有攻击者正在积极寻求访问我们数据的方法,试图寻求竞争优势,试图为了金钱而动摇我们,比如之前提到的勒索软件骗子。 那么,他们究竟是如何成功的呢?数据显示,绝大多数(大约95%以上)的网络事件都是由粗心、疏忽、漠视或困惑的人引起的,他们没有进行正确地安装、配置或将他们拥有的信息技术部署在合适的地方。当然,还存在很多促成因素,例如复杂的系统。 用《星际迷航》(Star Trek)中“企业”号太空飞船总工程师Scottie的话来说,“越复杂的东西,往往越容易被破解。” 作为一名前军事网络运营商,我们一直在寻找接缝。在现实世界中,作为基地指挥官,我们会进行基地防御演习。你会发现,总能从对手的防御中寻找到缺口。 这也解释了为什么网络攻击者总能从我们的网络防御、界面、人为因素中找到缺口,发现我们在安全实践、配置、安装以及漏洞修复方面存在的缺失。所有这些都形成了现有扫描工具能够轻松识别的接缝,然后被网络攻击者利用。 Michael Krigsman:有报道称,三分之二的政府由政府承包商提供技术支持,而这些承包商是大多为中小型企业。当政府合同基于成本考虑时,网络安全可能并非这些承包商首先考虑的问题。如果他们专注于低成本而非高安全性,我们该怎么办? Gregory Touhill:我自己以及CERT部门的建议是,无论是政府内部还是政府外部的高绩效组织都应将网络安全作为一项要求。你不用猜他们是否具备适当的网络安全控制措施,你应该要求他们具备适当的网络安全控制措施。 此外,根据你的风险偏好,你可以通过制定要求来进一步降低风险,例如我想要对该供应商进行独立的第三方审计、定期审计,以确保他们的网络安全控制措施到位并且得到适当的遵守。 我们看到越来越多的组织——不仅在像国防部这样的政府部门,而且在私营部门——现在正在实施这些网络安全要求,并且正在贯彻执行独立的第三方审计能力。 现在,我们知道国防部还在进行“网络安全能力成熟度模型认证”项目,设计CMMC框架标准,授权第三方机构对美国国防工业基础企业的网络安全成熟度进行等级确认。 我们为各界在网络安全和安全设计方面——不仅在你的代码、硬件和湿件中,而且在你的流程中也是如此——所做的努力鼓掌。希望这对世界各地的组织都有帮助,而不仅仅是政府。 (编辑:南昌站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
