專家解讀:2022年的網絡安全狀況
GregoryTouhill是世界知名的卡內基梅隆大學(CMU)軟件工程研究所CERT部門的主任,他領導著一支由研究人員、軟件工程師、安全分析師和數字智能專家組成的多元化團隊,致力于研究軟件產品中的安全漏洞,并開發(fā)尖端信息和培訓以改善網絡安全實踐。
早在巴拉克·奧巴馬當政時,Touhill就被任命為美國政府的首位首席信息安全官(CISO)。此前,他還曾在國土安全部(DHS)網絡安全和通信辦公室擔任副助理部長。在加入卡內基梅隆大學軟件工程學院之前,他曾任Appgate Federal公司總裁,該公司是為政府和國防機構提供網絡安全產品和服務的供應商。
Touhill還是一位有著30年美國空軍經驗的老兵,曾擔任中隊、大隊和聯隊級別的作戰(zhàn)指揮官。在此期間,他曾擔任軍事網絡安全和信息技術項目的高級領導,并最終成為美國運輸司令部的首席信息官。據悉,該司令部是美國10大作戰(zhàn)司令部之一。作為一名戰(zhàn)斗老兵,他獲得了眾多獎項和勛章,包括銅星獎章和空軍科學與工程獎。之后,他以準將軍銜從空軍退役。
Touhill擁有賓夕法尼亞州立大學政治學學士學位(輔修工程學)、南加州大學系統(tǒng)管理碩士學位、空軍戰(zhàn)爭學院戰(zhàn)略研究碩士學位以及哈佛大學肯尼迪學院證書。他同時還持有注冊信息系統(tǒng)安全專家(CISSP)和注冊信息安全員(CISM)認證。他是卡內基梅隆大學Heinz信息系統(tǒng)與公共政策學院以及迪肯大學(澳大利亞)網絡安全研究與創(chuàng)新中心的兼職教員。
作為許多組織委員會的成員,并獲得了諸多獎項,Touhill被《安全雜志》評為“安全領域最具影響力人物之一”,并被《聯邦計算機周刊》評為“聯邦100強人物之一”。他還是《高管的網絡安全:創(chuàng)新技術的實用指南和商業(yè)化》(Cybersecurity for Executives: A Practical Guide and Commercialization of Innovative Technologies)一書的合著者。
采訪摘錄:
Michael Krigsman(主持人):接下來,我們將與退休的空軍準將Gregory Touhill一起探討2022年的網絡安全狀況。Touhill,你能先簡單介紹一下自己以及你所做的事情嗎?
Gregory Touhill:在奧巴馬政府末期和人事管理辦公室(OPM)經歷大規(guī)模個人數據泄露之后,總統(tǒng)決定任命一位首席信息安全官,我就在這種情況下出任了聯邦政府首位首席信息安全官。
在奧巴馬政府結束后,我離開了聯邦服務部門,并踏上了兩條截然不同的道路。我成為了卡內基梅隆大學的一名教授,與此同時我也踏足了商業(yè)領域。我不僅擔任過網絡安全初創(chuàng)公司Appgate的總裁;我還曾在Semantic、Splunk、Intel、Bay Dynamics以及Cyber Response的董事會任職。因此,我在行業(yè)中獲得了非常豐富的經驗。
之后,我來到了卡內基梅隆大學軟件工程學院,并擔任CERT部門主任,我認為自己現在正處于“金字塔頂端”,領導著一支由杰出研究人員和工程師組成的多元化團隊,致力于通過強化網絡生態(tài)系統(tǒng),來幫助更好地保護國家安全,實現國家繁榮。
Michael Krigsman:你認為此時此刻的網絡安全格局如何?
Gregory Touhill:我認為現在的網絡安全狀況是不穩(wěn)定的。當我們分析利弊時,當今環(huán)境中的一些優(yōu)點是,我們確實擁有一些出色的技術,這些技術將繼續(xù)投入使用,以更好地保護我們的基礎設施。
我們還讓政府帶頭實施和推廣零信任安全戰(zhàn)略。請注意,我說的是“零信任策略”,而不是零信任架構或技術。它需要先從戰(zhàn)略開始,也感謝政府在這方面取得的進展。
然后,我還看到市場正在積極回應在托管服務、安全服務提供商或安全托管服務提供商(MSSP)開發(fā)方面需要一些幫助的中小型企業(yè)。此外,我還看到了信息共享方面的增加趨勢,所以這四個元素都是非常積極的。
但遺憾的是,所有這些努力被一些頑固存在的弊病所抵消。首先,我想說的是,新技術層出不窮是好事,但我們卻對信息技術產生了過度依賴,這一點已經在大流行期間得到了驗證,它確實突出了我們對信息技術和安全、可信賴的網絡生態(tài)系統(tǒng)的嚴重依賴。
其次,我們發(fā)現仍然存在很多集成問題。當你去整合更多的東西時,無疑也在增加你的風險敞口。我們發(fā)現,許多組織并沒有很好地處理他們的風險敞口,特別是當他們將信息技術與運營技術、工業(yè)控制系統(tǒng)(例如與泵相連的計費系統(tǒng))、現場閥門開關相集成時,這無疑進一步加劇了安全風險。
最后兩個缺點是:復雜性繼續(xù)困擾著我們的人為因素,即系統(tǒng)中涉及的濕件(wetware,指硬件、軟件之外的人件peopleware),因為復雜性是安全的阻礙。我們繼續(xù)擁有需要數月或數年才能掌握的產品。從認知的角度來看,我們有一支混亂的勞動力隊伍正在努力跟上技術發(fā)展步伐。
最后,我們發(fā)現,攻擊仍然是一件非常便宜的事情。例如,任何有足夠錢購買Kindle或低端筆記本電腦的人都可以(只要有足夠的互聯網訪問權限)上YouTube,并參加有關如何破解系統(tǒng)的培訓課程,從而成為一名技能嫻熟的黑客。
綜合這些利弊,我認為網絡安全現在仍處于一種非常不穩(wěn)定的狀態(tài)。我認為,我們都需要意識到:雖然我們有很多專業(yè)人士,但同時也存在很多風險敞口。
Michael Krigsman:你提到的管理系統(tǒng)與操作系統(tǒng)的集成,以及導致更大安全風險的基本架構,顯然是一個非常嚴重卻非常普遍的問題。那么對此,我們能夠做些什么呢?
Gregory Touhill:這確實是一個非常普遍的問題,但它也被許多不同的組織所關注,因為正如你所說,作為一家企業(yè),我們會竭盡所能地提高效率并降低成本。很多組織可能會從人力成本入手,因為它確實非常昂貴。
舉個例子,我們會在關鍵基礎設施中安裝燃氣表和電表,以前,我們會派人挨家挨戶、一家企業(yè)一家企業(yè)地走動,去記錄電表和燃氣表數據。但是,當你考慮成本和價值最大化問題時,你會發(fā)現自動化并連接這些類型的計量系統(tǒng)可以降低人力和勞動力成本。
如今,隨著技術不斷發(fā)展,我們開始將各種不同的系統(tǒng)與計費之類的東西聯系在一起。但是我們往往只知道一味地集成,卻忽略了還需要對架構進行積極地控制,并了解系統(tǒng)是如何集成和組合的。這也是許多組織尚未掌握的高級技能。這也再次印證“復雜性是安全的阻礙”這句話。
Michael Krigsman:那么從根本上說,造成這種問題的原因是安全培訓不足,還是企業(yè)架構問題?
Gregory Touhill:其中一些應該屬于歷史遺留問題,以前的員工(現已離職)可能在上世紀90年代就將管理系統(tǒng)與操作系統(tǒng)集成,并試圖將這兩者結合在一起以實現更高效的業(yè)務。
以我在國土安全部的工作經歷為例,當我們與關鍵基礎設施提供商合作時,我們會進行滲透測試和紅隊測試,向他們展示我們實際上是如何利用其中一些被整合在一起的活動跨越IT和OT的,當然,我們的目的是善意的。
通過這種復雜性,可以確保你能夠很好地處理企業(yè)架構,通過滲透測試和紅隊測試來查看是否有人插入了你不知道的內容,所有這些都是當今最佳實踐的組成部分。每個高管、董事會成員、IT人員、運營人員,乃至整個公司都需要對系統(tǒng)如何集成以及存在哪些風險具備態(tài)勢感知能力。
Michael Krigsman:我假設你所描述的這種有組織的態(tài)勢感知還不夠普遍,因為事實證明隱私泄露、勒索軟件攻擊等一直在發(fā)生。
Gregory Touhill:雖然如此,但不可否認許多領域的情況正在好轉。我們現在擁有的工具可以幫助IT人員映射他們的網絡并更好地了解情況。
話雖如此,我們仍然需要了解對手在尋找什么,并開始像黑客一樣思考。腓特烈大帝曾說,“妄圖捍衛(wèi)一切的人,到頭來什么也捍衛(wèi)不了”。我們必須厘清重點,而這里的重點就在于數據。
我們見過的最佳實踐之一是,首先,在你整合防御措施之前,確保你了解自己的數據。并非所有數據都是均等的,你需要了解數據的價值并按優(yōu)先級進行保護。
此外,通過進行紅隊和滲透測試等事情,你可以獲得巨大的收益。因為當你像黑客一樣思考時,通常會發(fā)現自己以前根本沒注意到的風險。
對于IT專業(yè)人員來說,我們認為最好的做法是在進行紅隊和滲透測試的地方進行常規(guī)訓練。此外,如果你正在進行代碼開發(fā)等實踐,請考慮啟動漏洞賞金計劃,以幫助你了解自身的風險敞口并更好地控制你所面臨的風險。
Michael Krigsman:正如你一直在描述的那樣,我們似乎知道解決方案或預防措施,但世界上最大的一些公司仍在面臨數據泄露挑戰(zhàn),這到底是怎么回事?究竟是出了什么問題?
Gregory Touhill:我首先想強調的是,不要因為一些挑戰(zhàn)而忽略了進步,事實上,很多事情都是朝著好的方向發(fā)展的。正如我們所看到的,我們的經濟發(fā)展、社會穩(wěn)定和國家安全,所有這一切都依賴于安全、有保障的IT基礎設施。
我們的經濟正從強勁的疫情大流行中復蘇。我認為,在大流行期間,信息技術以及我們進行此類對話的能力、視頻電話會議、遠程勞動力樞紐,所有這些都是專業(yè)的,也應該是值得我們慶祝的事情。
話雖如此,我們也不能忽略有攻擊者正在積極尋求訪問我們數據的方法,試圖尋求競爭優(yōu)勢,試圖為了金錢而動搖我們,比如之前提到的勒索軟件騙子。
那么,他們究竟是如何成功的呢?數據顯示,絕大多數(大約95%以上)的網絡事件都是由粗心、疏忽、漠視或困惑的人引起的,他們沒有進行正確地安裝、配置或將他們擁有的信息技術部署在合適的地方。當然,還存在很多促成因素,例如復雜的系統(tǒng)。
用《星際迷航》(Star Trek)中“企業(yè)”號太空飛船總工程師Scottie的話來說,“越復雜的東西,往往越容易被破解。”
作為一名前軍事網絡運營商,我們一直在尋找接縫。在現實世界中,作為基地指揮官,我們會進行基地防御演習。你會發(fā)現,總能從對手的防御中尋找到缺口。
這也解釋了為什么網絡攻擊者總能從我們的網絡防御、界面、人為因素中找到缺口,發(fā)現我們在安全實踐、配置、安裝以及漏洞修復方面存在的缺失。所有這些都形成了現有掃描工具能夠輕松識別的接縫,然后被網絡攻擊者利用。
Michael Krigsman:有報道稱,三分之二的政府由政府承包商提供技術支持,而這些承包商是大多為中小型企業(yè)。當政府合同基于成本考慮時,網絡安全可能并非這些承包商首先考慮的問題。如果他們專注于低成本而非高安全性,我們該怎么辦?
Gregory Touhill:我自己以及CERT部門的建議是,無論是政府內部還是政府外部的高績效組織都應將網絡安全作為一項要求。你不用猜他們是否具備適當的網絡安全控制措施,你應該要求他們具備適當的網絡安全控制措施。
此外,根據你的風險偏好,你可以通過制定要求來進一步降低風險,例如我想要對該供應商進行獨立的第三方審計、定期審計,以確保他們的網絡安全控制措施到位并且得到適當的遵守。
我們看到越來越多的組織——不僅在像國防部這樣的政府部門,而且在私營部門——現在正在實施這些網絡安全要求,并且正在貫徹執(zhí)行獨立的第三方審計能力。
現在,我們知道國防部還在進行“網絡安全能力成熟度模型認證”項目,設計CMMC框架標準,授權第三方機構對美國國防工業(yè)基礎企業(yè)的網絡安全成熟度進行等級確認。
我們?yōu)楦鹘缭诰W絡安全和安全設計方面——不僅在你的代碼、硬件和濕件中,而且在你的流程中也是如此——所做的努力鼓掌。希望這對世界各地的組織都有幫助,而不僅僅是政府。
Michael Krigsman:隨著經濟衰退的陰影迫在眉睫,投資周期正在發(fā)生變化,我們從上次經濟危機中學到了哪些關于如何在經濟受限的環(huán)境中實現安全的經驗?現在與2018年或2007年有什么不同?
Gregory Touhill:在這一點上,當你看到經濟衰退時,我們看到的是通脹正在攀升,美聯儲正在考慮調整利率以試圖控制通脹。歸根結底,企業(yè)必須要平衡收支,而做企業(yè)的目的就是為了賺錢。
在這種情況下,身為技術人員,我們所要做的就是提出更好的業(yè)務案例,以闡述我們?yōu)槭裁赐顿Y網絡安全。總的來說,網絡安全保護了信息技術系統(tǒng)的完整性,而這些信息技術系統(tǒng)能夠為推動業(yè)務發(fā)展提供動力。
回溯過往,我們發(fā)現,我們的IT同行在理解如何表達業(yè)務案例方面做得并不好,但令人欣喜的跡象表明人們正在努力理解它。如今,網絡安全已被列入董事會、教室、餐廳甚至客廳的議事日程。我們需要能夠展示價值主張在哪里、投資回報率等等。
不過,如果你要抵御經濟衰退的影響,你不僅需要針對資源的內部競爭者,還需要針對最終消費者展示價值主張,表明如果他們要向你提供任何數據,你有能力為他們保管好這些數據。那些能夠在經濟動蕩時期證明自身價值,并具備抵御經濟衰退能力的企業(yè)無疑會脫穎而出。
Michael Krigsman:當你的客戶數據、個人數據(信用卡等、社會安全號碼)被發(fā)布到網絡上時,這對你的公司聲譽肯定是沒有任何好處的。現在我們經常聽到的另一種攻擊類型是勒索軟件攻擊。你能告訴我們有關勒索軟件以及這些攻擊是如何發(fā)生的嗎?
Gregory Touhill:勒索軟件實際上是目前全世界面臨的一個棘手問題。我們有無處不在的網絡竊賊。正如我在介紹中提到的,你可以上網下載有關如何成為黑客、如何創(chuàng)建勒索軟件等惡意軟件的課程。
對于那些不知道什么是勒索軟件的人來說,從本質上講,從事勒索軟件的人是罪犯。他們是網絡騙子,他們正在創(chuàng)建惡意程序或直接通過勒索軟件即服務(RaaS)購買一段可以發(fā)起勒索軟件攻擊的代碼。
他們通常會通過網絡釣魚或有針對性的魚叉式網絡釣魚攻擊將這些惡意代碼發(fā)送給受害者,一旦啟動代碼,它就會在網絡中橫向移動并加密你的數據。然后,如果你想解密你的數據并訪問他們篡改的數據,你必須向他們支付贖金。基本上,受害者會選擇付款,否則勒索軟件攻擊者可能會銷毀數據并使其無法恢復。
真正老練的勒索軟件騙子也非常有耐心,他們會等到你進行五到六次備份后才會觸發(fā)并拒絕你訪問自己的數據。
我們在世界各地的勒索事件中都看到了這一點。例如,最近,哥斯達黎加政府發(fā)生的勒索軟件攻擊事件。
有一些方法可以降低勒索軟件風險。其中最重要的是,每個人都應該提前與你的執(zhí)法部門——聯邦調查局、特勤局、當地警察局——交談,因為如果發(fā)生勒索軟件攻擊,你第一次與這些幫助你的人交談不應該處于壓力和危機時期。
在制定事件響應計劃時——你應該有一個針對勒索軟件的計劃,該計劃需要在公司的各個層面都得到執(zhí)行——你應該安排好會見執(zhí)法官員,如果你實際上受到勒索軟件攻擊,他們可以提供資源來幫助你。
Michael Krigsman:勒索軟件主要是人為失誤的原因,例如人們中了魚叉式網絡釣魚攻擊的陷阱,還是系統(tǒng)的技術滲透?
Gregory Touhill:出現網絡釣魚攻擊的可能性更大。這種攻擊通常有兩種不同的類型:一個是“撒網并祈禱”,攻擊者大范圍地向潛在受害者發(fā)送消息,然后“祈禱”有人點擊鏈接。
另一種是有針對性的魚叉式網絡釣魚攻擊,攻擊者會事先對受害者進行研究,并精心制作一個有針對性的消息,試圖誘使受害者點擊鏈接。因此,你應該時刻警惕惡意發(fā)送的電子郵件和其他傳入信息。
Michael Krigsman:你的意思是說,這些類型的勒索軟件攻擊部分是技術性的,部分是對預期目標的仔細研究。
Gregory Touhill:是的,從事該惡意活動的大多是一般的網絡騙子,而非有組織的犯罪集團。目前,我們仍然沒有看到高度組織化、高技能、有組織的犯罪分子在使用這些勒索軟件。我們看到越來越多的人將勒索軟件下載為代碼功能,并針對他們的本地企業(yè)實施攻擊。
這不僅在美國,而且在世界各地都有發(fā)生。攻擊者的準入門檻和成本繼續(xù)下降,而對于各地企業(yè)和政府來說,防御成本仍然很高。
Michael Krigsman:每天,我們都會看到來自世界各地的網絡安全威脅。為什么為網絡安全制定業(yè)務案例仍然如此困難,文化的作用是什么?
Gregory Touhill:如果可以的話,我想先與你分享一下我對現存威脅的分類,因為現存的威脅實在太多了。這個分類法是我與我的朋友兼同事Andy Ozment共同開發(fā)的。
首先,從威脅的角度來看,我認為每個組織都需要為網絡領域的幾種威脅做好準備。
一是間諜(spy)。這些間諜可能是民族國家支持的惡意行為者,也可能是從事商業(yè)間諜活動的人。他們通過訪問你的數據來尋求競爭優(yōu)勢,以便在特定問題上比你更快地采取行動。
第二種是網絡竊賊(burglar),他們是試圖尋求經濟利益的網絡犯罪分子。
第三種我稱之為“網絡劫匪”(mugger),朝鮮黑客針對索尼影業(yè)的攻擊就是最好的例子,他們劫持了索尼。但是,話說回來,每個人應該都或多或少地經歷過網絡欺凌,他們試圖在互聯網上劫持其他人。最終,劫匪的目光會落在有影響力的人或事物上,以實際影響實體或個人行為。
第四種是破壞者(saboteur)。破壞者非常有害,而且很難被發(fā)現。現在,他們可能是民族國家的參與者,他們正在植入惡意代碼(有點像網絡炸彈),以便在他們選擇的時間和地點發(fā)動攻擊;或者可能是一個心懷不滿的員工埋下了某種邏輯炸彈。你必須為破壞者做好計劃,采取積極的控制措施并實施它們以防止其破壞你的數據。
第五種是顛覆者(vandal),他們試圖傳達自己的信息并質疑你的信息,試圖占據上風來詆毀你的組織或個人。匿名者(Anonymous)就是一個很好的例子,這些人長期以來一直是網絡顛覆者并試圖傳達他們的信息。
正如我之前提到的,當你查看威脅環(huán)境時,我認為超過95%的事件歸咎于那些粗心、疏忽、冷漠和困惑的人,他們安裝、配置錯誤,沒有及時打補丁,或者正在實踐糟糕的做法。這是大多數網絡威脅進入和存在風險的首要原因。但作為一名高管,你必須為所有這些不同的威脅做好計劃。
再進一步說,這些類型的威脅早在互聯網出現之前就已經存在了。制作你的業(yè)務案例并將其提交給董事會,不過在此之前,你必須以每個人都理解的業(yè)務語言來表達。
通常來說,將其類比為物理世界可以使你在公司預算過程中獲得優(yōu)勢,以便你實際上可以展示,“嘿,這是不同類型的威脅。這是我們需要采用的控制類型來降低風險。”
自此,你就可以更好地用證據武裝自己來制定業(yè)務案例。
希望這種分類法對大家有用。
Michael Krigsman:你提到95%的網絡安全問題本質上是人為錯誤和經驗造成的,那另外的5%是什么?
Gregory Touhill:另外5%是上面提到的其他威脅:間諜、網絡竊賊、網絡劫匪、破壞者和顛覆者。
Michael Krigsman:你認為網絡安全將走向何方,威脅的性質又將走向何方?
Gregory Touhill:我認為現存的威脅將繼續(xù)存在,至于發(fā)展方向,我們將看到更多的人出于不同的動機而涉足某些領域。例如,如果他們想獲取數據,他們就會去追查某些事情,可能會成為間諜;或者,如果他們是網絡騙子,他們會試圖獲取可以貨幣化的數據。
當我們看到攻擊成本進一步下降時,我們必須采取反制措施,以確保我們擁有有效、高效和安全的防守能力。
我們還發(fā)現,那些能力和資源不及政府或大型企業(yè)實體的中小型企業(yè),會加大對托管安全服務提供商(MSSP)的投資,MSSP可以在許多不同的領域為這些企業(yè)提供集體防御能力。
此外,我們還看到一些互聯網服務提供商(ISP)為家庭用戶提供上游保護。隨著互聯網服務提供商市場競爭愈發(fā)激烈,提供上游保護會成為ISP 的一個競爭優(yōu)勢。
最后,從端點的角度來看,我認為你會看到更多購買手機、筆記本電腦等的人,消費者的需求信號是希望從一開始就內置安全性。我不想添加它,因為那太復雜了。
Michael Krigsman:政府的網絡安全政策應該是什么?作為消費者,我知道自己的個人信息多次被泄露,并且正在出售。
Gregory Touhill:有兩個問題需要列在世界各地每個公民的議程上。一個是,我們需要就隱私與安全進行非常開放和公開的對話。我認為沒有安全性就不能擁有隱私。同理,我認為沒有隱私就沒有安全性。
其次,我認為市場確實需要對其產品安全性的質量和有效性進行反省。我們需要安全設計,而不是將安全性作為配置功能。我們需要在我們的許多產品、代碼庫等中內置彈性。
這就是我們在卡內基梅隆大學和軟件工程研究所CERT部門所做的事情,我們正在與行業(yè)合作,以展示基于證據的研究,表明我們需要在系統(tǒng)、硬件、供應鏈中的軟件方面做得更好。
以上就是我認為我們需要做得更好的兩件事。
