GregoryTouhill是世界知名的卡内基梅隆大学(CMU)软件工程研究所CERT部门的主任,他领导着一支由研究人员、软件工程师、安全分析师和数字智能专家组成的多元化团队,致力于研究软件产品中的安全漏洞,并开发尖端信息和培训以改善网络安全实践。
早在巴拉克·奥巴马当政时,Touhill就被任命为美国政府的首位首席信息安全官(CISO)。此前,他还曾在国土安全部(DHS)网络安全和通信办公室担任副助理部长。在加入卡内基梅隆大学软件工程学院之前,他曾任Appgate Federal公司总裁,该公司是为政府和国防机构提供网络安全产品和服务的供应商。
Touhill还是一位有着30年美国空军经验的老兵,曾担任中队、大队和联队级别的作战指挥官。在此期间,他曾担任军事网络安全和信息技术项目的高级领导,并最终成为美国运输司令部的首席信息官。据悉,该司令部是美国10大作战司令部之一。作为一名战斗老兵,他获得了众多奖项和勋章,包括铜星奖章和空军科学与工程奖。之后,他以准将军衔从空军退役。
Touhill拥有宾夕法尼亚州立大学政治学学士学位(辅修工程学)、南加州大学系统管理硕士学位、空军战争学院战略研究硕士学位以及哈佛大学肯尼迪学院证书。他同时还持有注册信息系统安全专家(CISSP)和注册信息安全员(CISM)认证。他是卡内基梅隆大学Heinz信息系统与公共政策学院以及迪肯大学(澳大利亚)网络安全研究与创新中心的兼职教员。
作为许多组织委员会的成员,并获得了诸多奖项,Touhill被《安全杂志》评为“安全领域最具影响力人物之一”,并被《联邦计算机周刊》评为“联邦100强人物之一”。他还是《高管的网络安全:创新技术的实用指南和商业化》(Cybersecurity for Executives: A Practical Guide and Commercialization of Innovative Technologies)一书的合著者。
采访摘录:
Michael Krigsman(主持人):接下来,我们将与退休的空军准将Gregory Touhill一起探讨2022年的网络安全状况。Touhill,你能先简单介绍一下自己以及你所做的事情吗?
Gregory Touhill:在奥巴马政府末期和人事管理办公室(OPM)经历大规模个人数据泄露之后,总统决定任命一位首席信息安全官,我就在这种情况下出任了联邦政府首位首席信息安全官。
在奥巴马政府结束后,我离开了联邦服务部门,并踏上了两条截然不同的道路。我成为了卡内基梅隆大学的一名教授,与此同时我也踏足了商业领域。我不仅担任过网络安全初创公司Appgate的总裁;我还曾在Semantic、Splunk、Intel、Bay Dynamics以及Cyber Response的董事会任职。因此,我在行业中获得了非常丰富的经验。
之后,我来到了卡内基梅隆大学软件工程学院,并担任CERT部门主任,我认为自己现在正处于“金字塔顶端”,领导着一支由杰出研究人员和工程师组成的多元化团队,致力于通过强化网络生态系统,来帮助更好地保护国家安全,实现国家繁荣。
Michael Krigsman:你认为此时此刻的网络安全格局如何?
Gregory Touhill:我认为现在的网络安全状况是不稳定的。当我们分析利弊时,当今环境中的一些优点是,我们确实拥有一些出色的技术,这些技术将继续投入使用,以更好地保护我们的基础设施。
我们还让政府带头实施和推广零信任安全战略。请注意,我说的是“零信任策略”,而不是零信任架构或技术。它需要先从战略开始,也感谢政府在这方面取得的进展。
然后,我还看到市场正在积极回应在托管服务、安全服务提供商或安全托管服务提供商(MSSP)开发方面需要一些帮助的中小型企业。此外,我还看到了信息共享方面的增加趋势,所以这四个元素都是非常积极的。
但遗憾的是,所有这些努力被一些顽固存在的弊病所抵消。首先,我想说的是,新技术层出不穷是好事,但我们却对信息技术产生了过度依赖,这一点已经在大流行期间得到了验证,它确实突出了我们对信息技术和安全、可信赖的网络生态系统的严重依赖。
其次,我们发现仍然存在很多集成问题。当你去整合更多的东西时,无疑也在增加你的风险敞口。我们发现,许多组织并没有很好地处理他们的风险敞口,特别是当他们将信息技术与运营技术、工业控制系统(例如与泵相连的计费系统)、现场阀门开关相集成时,这无疑进一步加剧了安全风险。
最后两个缺点是:复杂性继续困扰着我们的人为因素,即系统中涉及的湿件(wetware,指硬件、软件之外的人件peopleware),因为复杂性是安全的阻碍。我们继续拥有需要数月或数年才能掌握的产品。从认知的角度来看,我们有一支混乱的劳动力队伍正在努力跟上技术发展步伐。
最后,我们发现,攻击仍然是一件非常便宜的事情。例如,任何有足够钱购买Kindle或低端笔记本电脑的人都可以(只要有足够的互联网访问权限)上YouTube,并参加有关如何破解系统的培训课程,从而成为一名技能娴熟的黑客。
综合这些利弊,我认为网络安全现在仍处于一种非常不稳定的状态。我认为,我们都需要意识到:虽然我们有很多专业人士,但同时也存在很多风险敞口。
Michael Krigsman:你提到的管理系统与操作系统的集成,以及导致更大安全风险的基本架构,显然是一个非常严重却非常普遍的问题。那么对此,我们能够做些什么呢?
Gregory Touhill:这确实是一个非常普遍的问题,但它也被许多不同的组织所关注,因为正如你所说,作为一家企业,我们会竭尽所能地提高效率并降低成本。很多组织可能会从人力成本入手,因为它确实非常昂贵。
举个例子,我们会在关键基础设施中安装燃气表和电表,以前,我们会派人挨家挨户、一家企业一家企业地走动,去记录电表和燃气表数据。但是,当你考虑成本和价值最大化问题时,你会发现自动化并连接这些类型的计量系统可以降低人力和劳动力成本。
如今,随着技术不断发展,我们开始将各种不同的系统与计费之类的东西联系在一起。但是我们往往只知道一味地集成,却忽略了还需要对架构进行积极地控制,并了解系统是如何集成和组合的。这也是许多组织尚未掌握的高级技能。这也再次印证“复杂性是安全的阻碍”这句话。
Michael Krigsman:那么从根本上说,造成这种问题的原因是安全培训不足,还是企业架构问题?
Gregory Touhill:其中一些应该属于历史遗留问题,以前的员工(现已离职)可能在上世纪90年代就将管理系统与操作系统集成,并试图将这两者结合在一起以实现更高效的业务。
以我在国土安全部的工作经历为例,当我们与关键基础设施提供商合作时,我们会进行渗透测试和红队测试,向他们展示我们实际上是如何利用其中一些被整合在一起的活动跨越IT和OT的,当然,我们的目的是善意的。
通过这种复杂性,可以确保你能够很好地处理企业架构,通过渗透测试和红队测试来查看是否有人插入了你不知道的内容,所有这些都是当今最佳实践的组成部分。每个高管、董事会成员、IT人员、运营人员,乃至整个公司都需要对系统如何集成以及存在哪些风险具备态势感知能力。
Michael Krigsman:我假设你所描述的这种有组织的态势感知还不够普遍,因为事实证明隐私泄露、勒索软件攻击等一直在发生。
Gregory Touhill:虽然如此,但不可否认许多领域的情况正在好转。我们现在拥有的工具可以帮助IT人员映射他们的网络并更好地了解情况。
话虽如此,我们仍然需要了解对手在寻找什么,并开始像黑客一样思考。腓特烈大帝曾说,“妄图捍卫一切的人,到头来什么也捍卫不了”。我们必须厘清重点,而这里的重点就在于数据。
我们见过的最佳实践之一是,首先,在你整合防御措施之前,确保你了解自己的数据。并非所有数据都是均等的,你需要了解数据的价值并按优先级进行保护。
此外,通过进行红队和渗透测试等事情,你可以获得巨大的收益。因为当你像黑客一样思考时,通常会发现自己以前根本没注意到的风险。
对于IT专业人员来说,我们认为最好的做法是在进行红队和渗透测试的地方进行常规训练。此外,如果你正在进行代码开发等实践,请考虑启动漏洞赏金计划,以帮助你了解自身的风险敞口并更好地控制你所面临的风险。
Michael Krigsman:正如你一直在描述的那样,我们似乎知道解决方案或预防措施,但世界上最大的一些公司仍在面临数据泄露挑战,这到底是怎么回事?究竟是出了什么问题?
Gregory Touhill:我首先想强调的是,不要因为一些挑战而忽略了进步,事实上,很多事情都是朝着好的方向发展的。正如我们所看到的,我们的经济发展、社会稳定和国家安全,所有这一切都依赖于安全、有保障的IT基础设施。
我们的经济正从强劲的疫情大流行中复苏。我认为,在大流行期间,信息技术以及我们进行此类对话的能力、视频电话会议、远程劳动力枢纽,所有这些都是专业的,也应该是值得我们庆祝的事情。
话虽如此,我们也不能忽略有攻击者正在积极寻求访问我们数据的方法,试图寻求竞争优势,试图为了金钱而动摇我们,比如之前提到的勒索软件骗子。
那么,他们究竟是如何成功的呢?数据显示,绝大多数(大约95%以上)的网络事件都是由粗心、疏忽、漠视或困惑的人引起的,他们没有进行正确地安装、配置或将他们拥有的信息技术部署在合适的地方。当然,还存在很多促成因素,例如复杂的系统。
用《星际迷航》(Star Trek)中“企业”号太空飞船总工程师Scottie的话来说,“越复杂的东西,往往越容易被破解。”
作为一名前军事网络运营商,我们一直在寻找接缝。在现实世界中,作为基地指挥官,我们会进行基地防御演习。你会发现,总能从对手的防御中寻找到缺口。
这也解释了为什么网络攻击者总能从我们的网络防御、界面、人为因素中找到缺口,发现我们在安全实践、配置、安装以及漏洞修复方面存在的缺失。所有这些都形成了现有扫描工具能够轻松识别的接缝,然后被网络攻击者利用。
Michael Krigsman:有报道称,三分之二的政府由政府承包商提供技术支持,而这些承包商是大多为中小型企业。当政府合同基于成本考虑时,网络安全可能并非这些承包商首先考虑的问题。如果他们专注于低成本而非高安全性,我们该怎么办?
Gregory Touhill:我自己以及CERT部门的建议是,无论是政府内部还是政府外部的高绩效组织都应将网络安全作为一项要求。你不用猜他们是否具备适当的网络安全控制措施,你应该要求他们具备适当的网络安全控制措施。
此外,根据你的风险偏好,你可以通过制定要求来进一步降低风险,例如我想要对该供应商进行独立的第三方审计、定期审计,以确保他们的网络安全控制措施到位并且得到适当的遵守。
我们看到越来越多的组织——不仅在像国防部这样的政府部门,而且在私营部门——现在正在实施这些网络安全要求,并且正在贯彻执行独立的第三方审计能力。
现在,我们知道国防部还在进行“网络安全能力成熟度模型认证”项目,设计CMMC框架标准,授权第三方机构对美国国防工业基础企业的网络安全成熟度进行等级确认。
我们为各界在网络安全和安全设计方面——不仅在你的代码、硬件和湿件中,而且在你的流程中也是如此——所做的努力鼓掌。希望这对世界各地的组织都有帮助,而不仅仅是政府。
Michael Krigsman:随着经济衰退的阴影迫在眉睫,投资周期正在发生变化,我们从上次经济危机中学到了哪些关于如何在经济受限的环境中实现安全的经验?现在与2018年或2007年有什么不同?
Gregory Touhill:在这一点上,当你看到经济衰退时,我们看到的是通胀正在攀升,美联储正在考虑调整利率以试图控制通胀。归根结底,企业必须要平衡收支,而做企业的目的就是为了赚钱。
在这种情况下,身为技术人员,我们所要做的就是提出更好的业务案例,以阐述我们为什么投资网络安全。总的来说,网络安全保护了信息技术系统的完整性,而这些信息技术系统能够为推动业务发展提供动力。
回溯过往,我们发现,我们的IT同行在理解如何表达业务案例方面做得并不好,但令人欣喜的迹象表明人们正在努力理解它。如今,网络安全已被列入董事会、教室、餐厅甚至客厅的议事日程。我们需要能够展示价值主张在哪里、投资回报率等等。
不过,如果你要抵御经济衰退的影响,你不仅需要针对资源的内部竞争者,还需要针对最终消费者展示价值主张,表明如果他们要向你提供任何数据,你有能力为他们保管好这些数据。那些能够在经济动荡时期证明自身价值,并具备抵御经济衰退能力的企业无疑会脱颖而出。
Michael Krigsman:当你的客户数据、个人数据(信用卡等、社会安全号码)被发布到网络上时,这对你的公司声誉肯定是没有任何好处的。现在我们经常听到的另一种攻击类型是勒索软件攻击。你能告诉我们有关勒索软件以及这些攻击是如何发生的吗?
Gregory Touhill:勒索软件实际上是目前全世界面临的一个棘手问题。我们有无处不在的网络窃贼。正如我在介绍中提到的,你可以上网下载有关如何成为黑客、如何创建勒索软件等恶意软件的课程。
对于那些不知道什么是勒索软件的人来说,从本质上讲,从事勒索软件的人是罪犯。他们是网络骗子,他们正在创建恶意程序或直接通过勒索软件即服务(RaaS)购买一段可以发起勒索软件攻击的代码。
他们通常会通过网络钓鱼或有针对性的鱼叉式网络钓鱼攻击将这些恶意代码发送给受害者,一旦启动代码,它就会在网络中横向移动并加密你的数据。然后,如果你想解密你的数据并访问他们篡改的数据,你必须向他们支付赎金。基本上,受害者会选择付款,否则勒索软件攻击者可能会销毁数据并使其无法恢复。
真正老练的勒索软件骗子也非常有耐心,他们会等到你进行五到六次备份后才会触发并拒绝你访问自己的数据。
我们在世界各地的勒索事件中都看到了这一点。例如,最近,哥斯达黎加政府发生的勒索软件攻击事件。
有一些方法可以降低勒索软件风险。其中最重要的是,每个人都应该提前与你的执法部门——联邦调查局、特勤局、当地警察局——交谈,因为如果发生勒索软件攻击,你第一次与这些帮助你的人交谈不应该处于压力和危机时期。
在制定事件响应计划时——你应该有一个针对勒索软件的计划,该计划需要在公司的各个层面都得到执行——你应该安排好会见执法官员,如果你实际上受到勒索软件攻击,他们可以提供资源来帮助你。
Michael Krigsman:勒索软件主要是人为失误的原因,例如人们中了鱼叉式网络钓鱼攻击的陷阱,还是系统的技术渗透?
Gregory Touhill:出现网络钓鱼攻击的可能性更大。这种攻击通常有两种不同的类型:一个是“撒网并祈祷”,攻击者大范围地向潜在受害者发送消息,然后“祈祷”有人点击链接。
另一种是有针对性的鱼叉式网络钓鱼攻击,攻击者会事先对受害者进行研究,并精心制作一个有针对性的消息,试图诱使受害者点击链接。因此,你应该时刻警惕恶意发送的电子邮件和其他传入信息。
Michael Krigsman:你的意思是说,这些类型的勒索软件攻击部分是技术性的,部分是对预期目标的仔细研究。
Gregory Touhill:是的,从事该恶意活动的大多是一般的网络骗子,而非有组织的犯罪集团。目前,我们仍然没有看到高度组织化、高技能、有组织的犯罪分子在使用这些勒索软件。我们看到越来越多的人将勒索软件下载为代码功能,并针对他们的本地企业实施攻击。
这不仅在美国,而且在世界各地都有发生。攻击者的准入门槛和成本继续下降,而对于各地企业和政府来说,防御成本仍然很高。
Michael Krigsman:每天,我们都会看到来自世界各地的网络安全威胁。为什么为网络安全制定业务案例仍然如此困难,文化的作用是什么?
Gregory Touhill:如果可以的话,我想先与你分享一下我对现存威胁的分类,因为现存的威胁实在太多了。这个分类法是我与我的朋友兼同事Andy Ozment共同开发的。
首先,从威胁的角度来看,我认为每个组织都需要为网络领域的几种威胁做好准备。
一是间谍(spy)。这些间谍可能是民族国家支持的恶意行为者,也可能是从事商业间谍活动的人。他们通过访问你的数据来寻求竞争优势,以便在特定问题上比你更快地采取行动。
第二种是网络窃贼(burglar),他们是试图寻求经济利益的网络犯罪分子。
第三种我称之为“网络劫匪”(mugger),朝鲜黑客针对索尼影业的攻击就是最好的例子,他们劫持了索尼。但是,话说回来,每个人应该都或多或少地经历过网络欺凌,他们试图在互联网上劫持其他人。最终,劫匪的目光会落在有影响力的人或事物上,以实际影响实体或个人行为。
第四种是破坏者(saboteur)。破坏者非常有害,而且很难被发现。现在,他们可能是民族国家的参与者,他们正在植入恶意代码(有点像网络炸弹),以便在他们选择的时间和地点发动攻击;或者可能是一个心怀不满的员工埋下了某种逻辑炸弹。你必须为破坏者做好计划,采取积极的控制措施并实施它们以防止其破坏你的数据。
第五种是颠覆者(vandal),他们试图传达自己的信息并质疑你的信息,试图占据上风来诋毁你的组织或个人。匿名者(Anonymous)就是一个很好的例子,这些人长期以来一直是网络颠覆者并试图传达他们的信息。
正如我之前提到的,当你查看威胁环境时,我认为超过95%的事件归咎于那些粗心、疏忽、冷漠和困惑的人,他们安装、配置错误,没有及时打补丁,或者正在实践糟糕的做法。这是大多数网络威胁进入和存在风险的首要原因。但作为一名高管,你必须为所有这些不同的威胁做好计划。
再进一步说,这些类型的威胁早在互联网出现之前就已经存在了。制作你的业务案例并将其提交给董事会,不过在此之前,你必须以每个人都理解的业务语言来表达。
通常来说,将其类比为物理世界可以使你在公司预算过程中获得优势,以便你实际上可以展示,“嘿,这是不同类型的威胁。这是我们需要采用的控制类型来降低风险。”
自此,你就可以更好地用证据武装自己来制定业务案例。
希望这种分类法对大家有用。
Michael Krigsman:你提到95%的网络安全问题本质上是人为错误和经验造成的,那另外的5%是什么?
Gregory Touhill:另外5%是上面提到的其他威胁:间谍、网络窃贼、网络劫匪、破坏者和颠覆者。
Michael Krigsman:你认为网络安全将走向何方,威胁的性质又将走向何方?
Gregory Touhill:我认为现存的威胁将继续存在,至于发展方向,我们将看到更多的人出于不同的动机而涉足某些领域。例如,如果他们想获取数据,他们就会去追查某些事情,可能会成为间谍;或者,如果他们是网络骗子,他们会试图获取可以货币化的数据。
当我们看到攻击成本进一步下降时,我们必须采取反制措施,以确保我们拥有有效、高效和安全的防守能力。
我们还发现,那些能力和资源不及政府或大型企业实体的中小型企业,会加大对托管安全服务提供商(MSSP)的投资,MSSP可以在许多不同的领域为这些企业提供集体防御能力。
此外,我们还看到一些互联网服务提供商(ISP)为家庭用户提供上游保护。随着互联网服务提供商市场竞争愈发激烈,提供上游保护会成为ISP 的一个竞争优势。
最后,从端点的角度来看,我认为你会看到更多购买手机、笔记本电脑等的人,消费者的需求信号是希望从一开始就内置安全性。我不想添加它,因为那太复杂了。
Michael Krigsman:政府的网络安全政策应该是什么?作为消费者,我知道自己的个人信息多次被泄露,并且正在出售。
Gregory Touhill:有两个问题需要列在世界各地每个公民的议程上。一个是,我们需要就隐私与安全进行非常开放和公开的对话。我认为没有安全性就不能拥有隐私。同理,我认为没有隐私就没有安全性。
其次,我认为市场确实需要对其产品安全性的质量和有效性进行反省。我们需要安全设计,而不是将安全性作为配置功能。我们需要在我们的许多产品、代码库等中内置弹性。
这就是我们在卡内基梅隆大学和软件工程研究所CERT部门所做的事情,我们正在与行业合作,以展示基于证据的研究,表明我们需要在系统、硬件、供应链中的软件方面做得更好。
以上就是我认为我们需要做得更好的两件事。