美國中央情報局前CTO談如何防范網絡安全威脅

今年7月份以協助政府監(jiān)視公民而聞名的黑客團隊Hacking Team被黑，400GB資料外泄；8月份烏云爆料在這400GB資料中發(fā)現我國一直是網絡攻擊的受害者，一些亞洲地區(qū)國家對我國進行了網絡攻擊竊密；詐騙短信、手機病毒、隱私竊取等智能手機屢報安全事件……

大到國家，小到個人時時刻刻面臨著網絡信息安全的威脅，網絡也成為可怕的軍事武器之一，而且讓人毫無防范的遭受攻擊。

正在臺北參加趨勢科技CLOUDSEC 2015的前美國中央情報局CTO Bob Flores在接受網易科技等媒體訪談時分享了目前網絡信息安全的現狀，案例以及應對之道。Bob Flores認為，網絡安全意識教育是目前階段最難推進也是最重要的一個步驟，面對不可預期的黑客新型態(tài)的攻擊，必須要建立信息安全應變小組，及時應對“必然”會到來的網絡威脅。

獨家揭秘美國OPM泄露事件

“即使現在最領先的反病毒廠商也不得不承認，傳統反病毒軟件已死。”在美國中央情報局工作了31年的Bob Flores直言。

對于目前的網絡威脅現狀，他給出了一組數據：2014年在對1000個組織取證追蹤中發(fā)現有84%的組織受到了惡意軟件的入侵，而造成這些惡意軟件入侵的原因就是組織者缺乏安全意識，而且感染率在每年增加。

而且，黑客攻破速度越來越快，潛伏時間越來越長。根據趨勢科技2015年APT分析調查，平均一起攻擊事件的潛伏期可高達559天，被鎖定的政府（或企業(yè)）表面上安然無恙，但已經在不可預期的情況下被黑客竊取了重要信息。

趨勢科技臺灣暨香港區(qū)總經理洪偉淦透露，現在目標式攻擊已經全面啟動，目標不再局限于政府和大型企業(yè)，中小企業(yè)也成為目標式攻擊的對象。“攻擊已經不可避免，而且無法防御。”洪偉淦提道。

因此，即使最領先的反病毒廠商也不得不承認，傳統反病毒軟件已死。在對信息安全專業(yè)人士的一份調查中顯示，85%的專業(yè)人士都不相信，殺毒軟件可以阻止針對特定目標的攻擊，比如高級持續(xù)性威脅（APT）和網絡釣魚以及多態(tài)攻擊和零日漏洞攻擊。

無法防御并不意味著就要不作為。Bob Flores認為在網絡安全防護工作推進過程中，安全意識教育最為重要，很多數據泄露或網絡攻擊事件都是由于企業(yè)或員工個人沒有安全意識造成的。

比如美國史上最大規(guī)模的信息外泄事件——美國人事管理局遭受最大規(guī)模網絡攻擊，被盜信息從400萬一直漲到1400萬、1800萬再到2150萬，比預估的數量多了6倍多，成為美國史上最大規(guī)模的信息外泄事件。美國聯邦人事管理局局長阿奎萊拉為此還辭職下臺。

對此，Bob Flores表示，聯邦人事管理局資料外泄一案說明了政府以及企業(yè)對數據保護的意識不足，并向媒體揭秘了造成此次重大事件背后的5大原因：首先是缺乏多重認證，數據信息的保護只是基于數字簽名，讓黑客分子可以輕而易舉進入；其次，雖然有入侵檢測系統，但是沒有預防攻擊措施；第三，一些敏感的數據信息并沒有加密；第四，員工可以遠程登陸數據庫，而且沒有任何監(jiān)視行為；第五，合作伙伴沒有安全保護措施，黑客最終是通過承包商用戶的憑證侵入的。

如何防范不可預期安全威脅？

“這件入侵事件其實在2年前已經發(fā)生，可是到最近才被發(fā)現。” Bob Flores透露。

這類針對特定攻擊對象設計一套專屬的攻擊策略，以長期、緩慢、逐漸滲透埋伏等伎倆，躲避安全軟件偵測，并竊取重要信息資產的攻擊就是所謂的APT攻擊。APT攻擊是不可能被避免的。

“攻擊者有非常明確的目標，他們會想盡各種辦法達到他們的目標，永遠不會停下來。因此，一個運作良好的組織一定要有足夠的資金和技術來做檢測。” Bob Flores表示。

在Bob Flores看來，構建一個完整的網絡信息安全藍圖需要意識、策略和具體行動缺一不可。首先，企業(yè)或政府內部由上而下，不只專業(yè)技術人員都應該有黑客防范意識，而且有具備對安全攻擊的動員能力。只有全員及時發(fā)現，及時通報才能有效打擊安全漏洞。

其次，建立安全防護策略，通過安全風險評估來檢視目前的安全策略。

“每個公司都應該建立一個良好的事件應變處理小組，除了小組的技術人員之外，還有跟人資、法務、公關相互配合。” Bob Flores補充道。

但是對于中小企業(yè)來說，建立事件應變小組會成為“不可承受之重”，Bob Flores建議可以先將此服務外包，隨時檢測是否能夠及時處理，如果外包無法滿足需求，這時，公司就需要建立自己的應變小組。

對此，網絡安全公司也是表示建立事件應變處理小組是應對APT的當務之急。

政府應該扮演何種角色？

另外，Bob Flores認為政府與企業(yè)應當投入適當資源，部署網絡安全防護。但同時，Bob也強調網絡安全防護不能只依靠政府，因為有時候政府動作會比較慢一些。應該由市場競爭決定。有些國家比如美國會在政策、法規(guī)上進行規(guī)定管理；但有些國家比如德國則交給中間商來做。

據透露，臺灣地區(qū)的政府在信息安全防護方面，會成立相關工作組，同時制定網絡安全發(fā)展方案、白皮書、確定網絡信息安全責任等級；并會定期進行業(yè)務演練與考察，提升防護能力。據悉，臺灣正在草擬信息安全管理法，通過立法落實信息安全政策和構建信息安全環(huán)境。

對此，臺灣黑客團隊HITCON CTF領隊李倫銓認為應該盡快培養(yǎng)更多高級信息安全人才，給予這些人才更好的資源環(huán)境是解決之本。這時候，企業(yè)就應該承擔更多的責任，扮演更重要的角色，而不是政府。

“企業(yè)可以建立漏洞回報機制或獎勵制度，鼓勵白帽子黑客幫助企業(yè)檢測漏洞，而不讓人才流失到黑色產業(yè)鏈中。” 李倫銓表示。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。