GregoryTouhill是世界知名的卡內(nèi)基梅隆大學(xué)(CMU)軟件工程研究所CERT部門的主任，他領(lǐng)導(dǎo)著一支由研究人員、軟件工程師、安全分析師和數(shù)字智能專家組成的多元化團(tuán)隊，致力于研究軟件產(chǎn)品中的安全漏洞，并開發(fā)尖端信息和培訓(xùn)以改善網(wǎng)絡(luò)安全實踐。

早在巴拉克·奧巴馬當(dāng)政時，Touhill就被任命為美國政府的首位首席信息安全官(CISO)。此前，他還曾在國土安全部(DHS)網(wǎng)絡(luò)安全和通信辦公室擔(dān)任副助理部長。在加入卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院之前，他曾任Appgate Federal公司總裁，該公司是為政府和國防機構(gòu)提供網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的供應(yīng)商。

Touhill還是一位有著30年美國空軍經(jīng)驗的老兵，曾擔(dān)任中隊、大隊和聯(lián)隊級別的作戰(zhàn)指揮官。在此期間，他曾擔(dān)任軍事網(wǎng)絡(luò)安全和信息技術(shù)項目的高級領(lǐng)導(dǎo)，并最終成為美國運輸司令部的首席信息官。據(jù)悉，該司令部是美國10大作戰(zhàn)司令部之一。作為一名戰(zhàn)斗老兵，他獲得了眾多獎項和勛章，包括銅星獎?wù)潞涂哲娍茖W(xué)與工程獎。之后，他以準(zhǔn)將軍銜從空軍退役。

Touhill擁有賓夕法尼亞州立大學(xué)政治學(xué)學(xué)士學(xué)位(輔修工程學(xué))、南加州大學(xué)系統(tǒng)管理碩士學(xué)位、空軍戰(zhàn)爭學(xué)院戰(zhàn)略研究碩士學(xué)位以及哈佛大學(xué)肯尼迪學(xué)院證書。他同時還持有注冊信息系統(tǒng)安全專家(CISSP)和注冊信息安全員(CISM)認(rèn)證。他是卡內(nèi)基梅隆大學(xué)Heinz信息系統(tǒng)與公共政策學(xué)院以及迪肯大學(xué)(澳大利亞)網(wǎng)絡(luò)安全研究與創(chuàng)新中心的兼職教員。

作為許多組織委員會的成員，并獲得了諸多獎項，Touhill被《安全雜志》評為“安全領(lǐng)域最具影響力人物之一”，并被《聯(lián)邦計算機周刊》評為“聯(lián)邦100強人物之一”。他還是《高管的網(wǎng)絡(luò)安全：創(chuàng)新技術(shù)的實用指南和商業(yè)化》(Cybersecurity for Executives: A Practical Guide and Commercialization of Innovative Technologies)一書的合著者。

采訪摘錄：

Michael Krigsman(主持人)：接下來，我們將與退休的空軍準(zhǔn)將Gregory Touhill一起探討2022年的網(wǎng)絡(luò)安全狀況。Touhill，你能先簡單介紹一下自己以及你所做的事情嗎?

Gregory Touhill：在奧巴馬政府末期和人事管理辦公室(OPM)經(jīng)歷大規(guī)模個人數(shù)據(jù)泄露之后，總統(tǒng)決定任命一位首席信息安全官，我就在這種情況下出任了聯(lián)邦政府首位首席信息安全官。

在奧巴馬政府結(jié)束后，我離開了聯(lián)邦服務(wù)部門，并踏上了兩條截然不同的道路。我成為了卡內(nèi)基梅隆大學(xué)的一名教授，與此同時我也踏足了商業(yè)領(lǐng)域。我不僅擔(dān)任過網(wǎng)絡(luò)安全初創(chuàng)公司Appgate的總裁;我還曾在Semantic、Splunk、Intel、Bay Dynamics以及Cyber Response的董事會任職。因此，我在行業(yè)中獲得了非常豐富的經(jīng)驗。

之后，我來到了卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院，并擔(dān)任CERT部門主任，我認(rèn)為自己現(xiàn)在正處于“金字塔頂端”，領(lǐng)導(dǎo)著一支由杰出研究人員和工程師組成的多元化團(tuán)隊，致力于通過強化網(wǎng)絡(luò)生態(tài)系統(tǒng)，來幫助更好地保護(hù)國家安全，實現(xiàn)國家繁榮。

Michael Krigsman：你認(rèn)為此時此刻的網(wǎng)絡(luò)安全格局如何?

Gregory Touhill：我認(rèn)為現(xiàn)在的網(wǎng)絡(luò)安全狀況是不穩(wěn)定的。當(dāng)我們分析利弊時，當(dāng)今環(huán)境中的一些優(yōu)點是，我們確實擁有一些出色的技術(shù)，這些技術(shù)將繼續(xù)投入使用，以更好地保護(hù)我們的基礎(chǔ)設(shè)施。

我們還讓政府帶頭實施和推廣零信任安全戰(zhàn)略。請注意，我說的是“零信任策略”，而不是零信任架構(gòu)或技術(shù)。它需要先從戰(zhàn)略開始，也感謝政府在這方面取得的進(jìn)展。

然后，我還看到市場正在積極回應(yīng)在托管服務(wù)、安全服務(wù)提供商或安全托管服務(wù)提供商(MSSP)開發(fā)方面需要一些幫助的中小型企業(yè)。此外，我還看到了信息共享方面的增加趨勢，所以這四個元素都是非常積極的。

但遺憾的是，所有這些努力被一些頑固存在的弊病所抵消。首先，我想說的是，新技術(shù)層出不窮是好事，但我們卻對信息技術(shù)產(chǎn)生了過度依賴，這一點已經(jīng)在大流行期間得到了驗證，它確實突出了我們對信息技術(shù)和安全、可信賴的網(wǎng)絡(luò)生態(tài)系統(tǒng)的嚴(yán)重依賴。

其次，我們發(fā)現(xiàn)仍然存在很多集成問題。當(dāng)你去整合更多的東西時，無疑也在增加你的風(fēng)險敞口。我們發(fā)現(xiàn)，許多組織并沒有很好地處理他們的風(fēng)險敞口，特別是當(dāng)他們將信息技術(shù)與運營技術(shù)、工業(yè)控制系統(tǒng)(例如與泵相連的計費系統(tǒng))、現(xiàn)場閥門開關(guān)相集成時，這無疑進(jìn)一步加劇了安全風(fēng)險。

最后兩個缺點是：復(fù)雜性繼續(xù)困擾著我們的人為因素，即系統(tǒng)中涉及的濕件(wetware，指硬件、軟件之外的人件peopleware)，因為復(fù)雜性是安全的阻礙。我們繼續(xù)擁有需要數(shù)月或數(shù)年才能掌握的產(chǎn)品。從認(rèn)知的角度來看，我們有一支混亂的勞動力隊伍正在努力跟上技術(shù)發(fā)展步伐。

最后，我們發(fā)現(xiàn)，攻擊仍然是一件非常便宜的事情。例如，任何有足夠錢購買Kindle或低端筆記本電腦的人都可以(只要有足夠的互聯(lián)網(wǎng)訪問權(quán)限)上YouTube，并參加有關(guān)如何破解系統(tǒng)的培訓(xùn)課程，從而成為一名技能嫻熟的黑客。

綜合這些利弊，我認(rèn)為網(wǎng)絡(luò)安全現(xiàn)在仍處于一種非常不穩(wěn)定的狀態(tài)。我認(rèn)為，我們都需要意識到：雖然我們有很多專業(yè)人士，但同時也存在很多風(fēng)險敞口。

Michael Krigsman：你提到的管理系統(tǒng)與操作系統(tǒng)的集成，以及導(dǎo)致更大安全風(fēng)險的基本架構(gòu)，顯然是一個非常嚴(yán)重卻非常普遍的問題。那么對此，我們能夠做些什么呢?

Gregory Touhill：這確實是一個非常普遍的問題，但它也被許多不同的組織所關(guān)注，因為正如你所說，作為一家企業(yè)，我們會竭盡所能地提高效率并降低成本。很多組織可能會從人力成本入手，因為它確實非常昂貴。

舉個例子，我們會在關(guān)鍵基礎(chǔ)設(shè)施中安裝燃?xì)獗砗碗姳?，以前，我們會派人挨家挨戶、一家企業(yè)一家企業(yè)地走動，去記錄電表和燃?xì)獗頂?shù)據(jù)。但是，當(dāng)你考慮成本和價值最大化問題時，你會發(fā)現(xiàn)自動化并連接這些類型的計量系統(tǒng)可以降低人力和勞動力成本。

如今，隨著技術(shù)不斷發(fā)展，我們開始將各種不同的系統(tǒng)與計費之類的東西聯(lián)系在一起。但是我們往往只知道一味地集成，卻忽略了還需要對架構(gòu)進(jìn)行積極地控制，并了解系統(tǒng)是如何集成和組合的。這也是許多組織尚未掌握的高級技能。這也再次印證“復(fù)雜性是安全的阻礙”這句話。

Michael Krigsman：那么從根本上說，造成這種問題的原因是安全培訓(xùn)不足，還是企業(yè)架構(gòu)問題?

Gregory Touhill：其中一些應(yīng)該屬于歷史遺留問題，以前的員工(現(xiàn)已離職)可能在上世紀(jì)90年代就將管理系統(tǒng)與操作系統(tǒng)集成，并試圖將這兩者結(jié)合在一起以實現(xiàn)更高效的業(yè)務(wù)。

以我在國土安全部的工作經(jīng)歷為例，當(dāng)我們與關(guān)鍵基礎(chǔ)設(shè)施提供商合作時，我們會進(jìn)行滲透測試和紅隊測試，向他們展示我們實際上是如何利用其中一些被整合在一起的活動跨越IT和OT的，當(dāng)然，我們的目的是善意的。

通過這種復(fù)雜性，可以確保你能夠很好地處理企業(yè)架構(gòu)，通過滲透測試和紅隊測試來查看是否有人插入了你不知道的內(nèi)容，所有這些都是當(dāng)今最佳實踐的組成部分。每個高管、董事會成員、IT人員、運營人員，乃至整個公司都需要對系統(tǒng)如何集成以及存在哪些風(fēng)險具備態(tài)勢感知能力。

Michael Krigsman：我假設(shè)你所描述的這種有組織的態(tài)勢感知還不夠普遍，因為事實證明隱私泄露、勒索軟件攻擊等一直在發(fā)生。

Gregory Touhill：雖然如此，但不可否認(rèn)許多領(lǐng)域的情況正在好轉(zhuǎn)。我們現(xiàn)在擁有的工具可以幫助IT人員映射他們的網(wǎng)絡(luò)并更好地了解情況。

話雖如此，我們?nèi)匀恍枰私鈱κ衷趯ふ沂裁?，并開始像黑客一樣思考。腓特烈大帝曾說，“妄圖捍衛(wèi)一切的人，到頭來什么也捍衛(wèi)不了”。我們必須厘清重點，而這里的重點就在于數(shù)據(jù)。

我們見過的最佳實踐之一是，首先，在你整合防御措施之前，確保你了解自己的數(shù)據(jù)。并非所有數(shù)據(jù)都是均等的，你需要了解數(shù)據(jù)的價值并按優(yōu)先級進(jìn)行保護(hù)。

此外，通過進(jìn)行紅隊和滲透測試等事情，你可以獲得巨大的收益。因為當(dāng)你像黑客一樣思考時，通常會發(fā)現(xiàn)自己以前根本沒注意到的風(fēng)險。

對于IT專業(yè)人員來說，我們認(rèn)為最好的做法是在進(jìn)行紅隊和滲透測試的地方進(jìn)行常規(guī)訓(xùn)練。此外，如果你正在進(jìn)行代碼開發(fā)等實踐，請考慮啟動漏洞賞金計劃，以幫助你了解自身的風(fēng)險敞口并更好地控制你所面臨的風(fēng)險。

Michael Krigsman：正如你一直在描述的那樣，我們似乎知道解決方案或預(yù)防措施，但世界上最大的一些公司仍在面臨數(shù)據(jù)泄露挑戰(zhàn)，這到底是怎么回事?究竟是出了什么問題?

Gregory Touhill：我首先想強調(diào)的是，不要因為一些挑戰(zhàn)而忽略了進(jìn)步，事實上，很多事情都是朝著好的方向發(fā)展的。正如我們所看到的，我們的經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全，所有這一切都依賴于安全、有保障的IT基礎(chǔ)設(shè)施。

我們的經(jīng)濟正從強勁的疫情大流行中復(fù)蘇。我認(rèn)為，在大流行期間，信息技術(shù)以及我們進(jìn)行此類對話的能力、視頻電話會議、遠(yuǎn)程勞動力樞紐，所有這些都是專業(yè)的，也應(yīng)該是值得我們慶祝的事情。

話雖如此，我們也不能忽略有攻擊者正在積極尋求訪問我們數(shù)據(jù)的方法，試圖尋求競爭優(yōu)勢，試圖為了金錢而動搖我們，比如之前提到的勒索軟件騙子。

那么，他們究竟是如何成功的呢?數(shù)據(jù)顯示，絕大多數(shù)(大約95%以上)的網(wǎng)絡(luò)事件都是由粗心、疏忽、漠視或困惑的人引起的，他們沒有進(jìn)行正確地安裝、配置或?qū)⑺麄儞碛械男畔⒓夹g(shù)部署在合適的地方。當(dāng)然，還存在很多促成因素，例如復(fù)雜的系統(tǒng)。

用《星際迷航》(Star Trek)中“企業(yè)”號太空飛船總工程師Scottie的話來說，“越復(fù)雜的東西，往往越容易被破解?！?/p>

作為一名前軍事網(wǎng)絡(luò)運營商，我們一直在尋找接縫。在現(xiàn)實世界中，作為基地指揮官，我們會進(jìn)行基地防御演習(xí)。你會發(fā)現(xiàn)，總能從對手的防御中尋找到缺口。

這也解釋了為什么網(wǎng)絡(luò)攻擊者總能從我們的網(wǎng)絡(luò)防御、界面、人為因素中找到缺口，發(fā)現(xiàn)我們在安全實踐、配置、安裝以及漏洞修復(fù)方面存在的缺失。所有這些都形成了現(xiàn)有掃描工具能夠輕松識別的接縫，然后被網(wǎng)絡(luò)攻擊者利用。

Michael Krigsman：有報道稱，三分之二的政府由政府承包商提供技術(shù)支持，而這些承包商是大多為中小型企業(yè)。當(dāng)政府合同基于成本考慮時，網(wǎng)絡(luò)安全可能并非這些承包商首先考慮的問題。如果他們專注于低成本而非高安全性，我們該怎么辦?

Gregory Touhill：我自己以及CERT部門的建議是，無論是政府內(nèi)部還是政府外部的高績效組織都應(yīng)將網(wǎng)絡(luò)安全作為一項要求。你不用猜他們是否具備適當(dāng)?shù)木W(wǎng)絡(luò)安全控制措施，你應(yīng)該要求他們具備適當(dāng)?shù)木W(wǎng)絡(luò)安全控制措施。

此外，根據(jù)你的風(fēng)險偏好，你可以通過制定要求來進(jìn)一步降低風(fēng)險，例如我想要對該供應(yīng)商進(jìn)行獨立的第三方審計、定期審計，以確保他們的網(wǎng)絡(luò)安全控制措施到位并且得到適當(dāng)?shù)淖袷亍?/p>

我們看到越來越多的組織——不僅在像國防部這樣的政府部門，而且在私營部門——現(xiàn)在正在實施這些網(wǎng)絡(luò)安全要求，并且正在貫徹執(zhí)行獨立的第三方審計能力。

現(xiàn)在，我們知道國防部還在進(jìn)行“網(wǎng)絡(luò)安全能力成熟度模型認(rèn)證”項目，設(shè)計CMMC框架標(biāo)準(zhǔn)，授權(quán)第三方機構(gòu)對美國國防工業(yè)基礎(chǔ)企業(yè)的網(wǎng)絡(luò)安全成熟度進(jìn)行等級確認(rèn)。

我們?yōu)楦鹘缭诰W(wǎng)絡(luò)安全和安全設(shè)計方面——不僅在你的代碼、硬件和濕件中，而且在你的流程中也是如此——所做的努力鼓掌。希望這對世界各地的組織都有幫助，而不僅僅是政府。

Michael Krigsman：隨著經(jīng)濟衰退的陰影迫在眉睫，投資周期正在發(fā)生變化，我們從上次經(jīng)濟危機中學(xué)到了哪些關(guān)于如何在經(jīng)濟受限的環(huán)境中實現(xiàn)安全的經(jīng)驗?現(xiàn)在與2018年或2007年有什么不同?

Gregory Touhill：在這一點上，當(dāng)你看到經(jīng)濟衰退時，我們看到的是通脹正在攀升，美聯(lián)儲正在考慮調(diào)整利率以試圖控制通脹。歸根結(jié)底，企業(yè)必須要平衡收支，而做企業(yè)的目的就是為了賺錢。

在這種情況下，身為技術(shù)人員，我們所要做的就是提出更好的業(yè)務(wù)案例，以闡述我們?yōu)槭裁赐顿Y網(wǎng)絡(luò)安全?？偟膩碚f，網(wǎng)絡(luò)安全保護(hù)了信息技術(shù)系統(tǒng)的完整性，而這些信息技術(shù)系統(tǒng)能夠為推動業(yè)務(wù)發(fā)展提供動力。

回溯過往，我們發(fā)現(xiàn)，我們的IT同行在理解如何表達(dá)業(yè)務(wù)案例方面做得并不好，但令人欣喜的跡象表明人們正在努力理解它。如今，網(wǎng)絡(luò)安全已被列入董事會、教室、餐廳甚至客廳的議事日程。我們需要能夠展示價值主張在哪里、投資回報率等等。

不過，如果你要抵御經(jīng)濟衰退的影響，你不僅需要針對資源的內(nèi)部競爭者，還需要針對最終消費者展示價值主張，表明如果他們要向你提供任何數(shù)據(jù)，你有能力為他們保管好這些數(shù)據(jù)。那些能夠在經(jīng)濟動蕩時期證明自身價值，并具備抵御經(jīng)濟衰退能力的企業(yè)無疑會脫穎而出。

Michael Krigsman：當(dāng)你的客戶數(shù)據(jù)、個人數(shù)據(jù)(信用卡等、社會安全號碼)被發(fā)布到網(wǎng)絡(luò)上時，這對你的公司聲譽肯定是沒有任何好處的?，F(xiàn)在我們經(jīng)常聽到的另一種攻擊類型是勒索軟件攻擊。你能告訴我們有關(guān)勒索軟件以及這些攻擊是如何發(fā)生的嗎?

Gregory Touhill：勒索軟件實際上是目前全世界面臨的一個棘手問題。我們有無處不在的網(wǎng)絡(luò)竊賊。正如我在介紹中提到的，你可以上網(wǎng)下載有關(guān)如何成為黑客、如何創(chuàng)建勒索軟件等惡意軟件的課程。

對于那些不知道什么是勒索軟件的人來說，從本質(zhì)上講，從事勒索軟件的人是罪犯。他們是網(wǎng)絡(luò)騙子，他們正在創(chuàng)建惡意程序或直接通過勒索軟件即服務(wù)(RaaS)購買一段可以發(fā)起勒索軟件攻擊的代碼。

他們通常會通過網(wǎng)絡(luò)釣魚或有針對性的魚叉式網(wǎng)絡(luò)釣魚攻擊將這些惡意代碼發(fā)送給受害者，一旦啟動代碼，它就會在網(wǎng)絡(luò)中橫向移動并加密你的數(shù)據(jù)。然后，如果你想解密你的數(shù)據(jù)并訪問他們篡改的數(shù)據(jù)，你必須向他們支付贖金?；旧?，受害者會選擇付款，否則勒索軟件攻擊者可能會銷毀數(shù)據(jù)并使其無法恢復(fù)。

真正老練的勒索軟件騙子也非常有耐心，他們會等到你進(jìn)行五到六次備份后才會觸發(fā)并拒絕你訪問自己的數(shù)據(jù)。

我們在世界各地的勒索事件中都看到了這一點。例如，最近，哥斯達(dá)黎加政府發(fā)生的勒索軟件攻擊事件。

有一些方法可以降低勒索軟件風(fēng)險。其中最重要的是，每個人都應(yīng)該提前與你的執(zhí)法部門——聯(lián)邦調(diào)查局、特勤局、當(dāng)?shù)鼐炀帧徽?，因為如果發(fā)生勒索軟件攻擊，你第一次與這些幫助你的人交談不應(yīng)該處于壓力和危機時期。

在制定事件響應(yīng)計劃時——你應(yīng)該有一個針對勒索軟件的計劃，該計劃需要在公司的各個層面都得到執(zhí)行——你應(yīng)該安排好會見執(zhí)法官員，如果你實際上受到勒索軟件攻擊，他們可以提供資源來幫助你。

Michael Krigsman：勒索軟件主要是人為失誤的原因，例如人們中了魚叉式網(wǎng)絡(luò)釣魚攻擊的陷阱，還是系統(tǒng)的技術(shù)滲透?

Gregory Touhill：出現(xiàn)網(wǎng)絡(luò)釣魚攻擊的可能性更大。這種攻擊通常有兩種不同的類型：一個是“撒網(wǎng)并祈禱”，攻擊者大范圍地向潛在受害者發(fā)送消息，然后“祈禱”有人點擊鏈接。

另一種是有針對性的魚叉式網(wǎng)絡(luò)釣魚攻擊，攻擊者會事先對受害者進(jìn)行研究，并精心制作一個有針對性的消息，試圖誘使受害者點擊鏈接。因此，你應(yīng)該時刻警惕惡意發(fā)送的電子郵件和其他傳入信息。

Michael Krigsman：你的意思是說，這些類型的勒索軟件攻擊部分是技術(shù)性的，部分是對預(yù)期目標(biāo)的仔細(xì)研究。

Gregory Touhill：是的，從事該惡意活動的大多是一般的網(wǎng)絡(luò)騙子，而非有組織的犯罪集團(tuán)。目前，我們?nèi)匀粵]有看到高度組織化、高技能、有組織的犯罪分子在使用這些勒索軟件。我們看到越來越多的人將勒索軟件下載為代碼功能，并針對他們的本地企業(yè)實施攻擊。

這不僅在美國，而且在世界各地都有發(fā)生。攻擊者的準(zhǔn)入門檻和成本繼續(xù)下降，而對于各地企業(yè)和政府來說，防御成本仍然很高。

Michael Krigsman：每天，我們都會看到來自世界各地的網(wǎng)絡(luò)安全威脅。為什么為網(wǎng)絡(luò)安全制定業(yè)務(wù)案例仍然如此困難，文化的作用是什么?

Gregory Touhill：如果可以的話，我想先與你分享一下我對現(xiàn)存威脅的分類，因為現(xiàn)存的威脅實在太多了。這個分類法是我與我的朋友兼同事Andy Ozment共同開發(fā)的。

首先，從威脅的角度來看，我認(rèn)為每個組織都需要為網(wǎng)絡(luò)領(lǐng)域的幾種威脅做好準(zhǔn)備。

一是間諜(spy)。這些間諜可能是民族國家支持的惡意行為者，也可能是從事商業(yè)間諜活動的人。他們通過訪問你的數(shù)據(jù)來尋求競爭優(yōu)勢，以便在特定問題上比你更快地采取行動。

第二種是網(wǎng)絡(luò)竊賊(burglar)，他們是試圖尋求經(jīng)濟利益的網(wǎng)絡(luò)犯罪分子。

第三種我稱之為“網(wǎng)絡(luò)劫匪”(mugger)，朝鮮黑客針對索尼影業(yè)的攻擊就是最好的例子，他們劫持了索尼。但是，話說回來，每個人應(yīng)該都或多或少地經(jīng)歷過網(wǎng)絡(luò)欺凌，他們試圖在互聯(lián)網(wǎng)上劫持其他人。最終，劫匪的目光會落在有影響力的人或事物上，以實際影響實體或個人行為。

第四種是破壞者(saboteur)。破壞者非常有害，而且很難被發(fā)現(xiàn)?，F(xiàn)在，他們可能是民族國家的參與者，他們正在植入惡意代碼(有點像網(wǎng)絡(luò)炸彈)，以便在他們選擇的時間和地點發(fā)動攻擊;或者可能是一個心懷不滿的員工埋下了某種邏輯炸彈。你必須為破壞者做好計劃，采取積極的控制措施并實施它們以防止其破壞你的數(shù)據(jù)。

第五種是顛覆者(vandal)，他們試圖傳達(dá)自己的信息并質(zhì)疑你的信息，試圖占據(jù)上風(fēng)來詆毀你的組織或個人。匿名者(Anonymous)就是一個很好的例子，這些人長期以來一直是網(wǎng)絡(luò)顛覆者并試圖傳達(dá)他們的信息。

正如我之前提到的，當(dāng)你查看威脅環(huán)境時，我認(rèn)為超過95%的事件歸咎于那些粗心、疏忽、冷漠和困惑的人，他們安裝、配置錯誤，沒有及時打補丁，或者正在實踐糟糕的做法。這是大多數(shù)網(wǎng)絡(luò)威脅進(jìn)入和存在風(fēng)險的首要原因。但作為一名高管，你必須為所有這些不同的威脅做好計劃。

再進(jìn)一步說，這些類型的威脅早在互聯(lián)網(wǎng)出現(xiàn)之前就已經(jīng)存在了。制作你的業(yè)務(wù)案例并將其提交給董事會，不過在此之前，你必須以每個人都理解的業(yè)務(wù)語言來表達(dá)。

通常來說，將其類比為物理世界可以使你在公司預(yù)算過程中獲得優(yōu)勢，以便你實際上可以展示，“嘿，這是不同類型的威脅。這是我們需要采用的控制類型來降低風(fēng)險?！?

自此，你就可以更好地用證據(jù)武裝自己來制定業(yè)務(wù)案例。

希望這種分類法對大家有用。

Michael Krigsman：你提到95%的網(wǎng)絡(luò)安全問題本質(zhì)上是人為錯誤和經(jīng)驗造成的，那另外的5%是什么?

Gregory Touhill：另外5%是上面提到的其他威脅：間諜、網(wǎng)絡(luò)竊賊、網(wǎng)絡(luò)劫匪、破壞者和顛覆者。

Michael Krigsman：你認(rèn)為網(wǎng)絡(luò)安全將走向何方，威脅的性質(zhì)又將走向何方?

Gregory Touhill：我認(rèn)為現(xiàn)存的威脅將繼續(xù)存在，至于發(fā)展方向，我們將看到更多的人出于不同的動機而涉足某些領(lǐng)域。例如，如果他們想獲取數(shù)據(jù)，他們就會去追查某些事情，可能會成為間諜;或者，如果他們是網(wǎng)絡(luò)騙子，他們會試圖獲取可以貨幣化的數(shù)據(jù)。

當(dāng)我們看到攻擊成本進(jìn)一步下降時，我們必須采取反制措施，以確保我們擁有有效、高效和安全的防守能力。

我們還發(fā)現(xiàn)，那些能力和資源不及政府或大型企業(yè)實體的中小型企業(yè)，會加大對托管安全服務(wù)提供商(MSSP)的投資，MSSP可以在許多不同的領(lǐng)域為這些企業(yè)提供集體防御能力。

此外，我們還看到一些互聯(lián)網(wǎng)服務(wù)提供商(ISP)為家庭用戶提供上游保護(hù)。隨著互聯(lián)網(wǎng)服務(wù)提供商市場競爭愈發(fā)激烈，提供上游保護(hù)會成為ISP 的一個競爭優(yōu)勢。

最后，從端點的角度來看，我認(rèn)為你會看到更多購買手機、筆記本電腦等的人，消費者的需求信號是希望從一開始就內(nèi)置安全性。我不想添加它，因為那太復(fù)雜了。

Michael Krigsman：政府的網(wǎng)絡(luò)安全政策應(yīng)該是什么?作為消費者，我知道自己的個人信息多次被泄露，并且正在出售。

Gregory Touhill：有兩個問題需要列在世界各地每個公民的議程上。一個是，我們需要就隱私與安全進(jìn)行非常開放和公開的對話。我認(rèn)為沒有安全性就不能擁有隱私。同理，我認(rèn)為沒有隱私就沒有安全性。

其次，我認(rèn)為市場確實需要對其產(chǎn)品安全性的質(zhì)量和有效性進(jìn)行反省。我們需要安全設(shè)計，而不是將安全性作為配置功能。我們需要在我們的許多產(chǎn)品、代碼庫等中內(nèi)置彈性。

這就是我們在卡內(nèi)基梅隆大學(xué)和軟件工程研究所CERT部門所做的事情，我們正在與行業(yè)合作，以展示基于證據(jù)的研究，表明我們需要在系統(tǒng)、硬件、供應(yīng)鏈中的軟件方面做得更好。

以上就是我認(rèn)為我們需要做得更好的兩件事。