專(zhuān)訪(fǎng)美中央情報(bào)局前CTO：如何防范網(wǎng)絡(luò)安全威脅

來(lái)源：互聯(lián)網(wǎng)   發(fā)布日期：2015-08-14 12:36:10   瀏覽：7005次  

美國(guó)中央情報(bào)局前CTO Bob Flores（右）

今年7月份以協(xié)助政府監(jiān)視公民而聞名的黑客團(tuán)隊(duì)Hacking Team被黑，400GB資料外泄；8月份烏云爆料在這400GB資料中發(fā)現(xiàn)我國(guó)一直是網(wǎng)絡(luò)攻擊的受害者，一些亞洲地區(qū)國(guó)家對(duì)我國(guó)進(jìn)行了網(wǎng)絡(luò)攻擊竊密；詐騙短信、手機(jī)病毒、隱私竊取等智能手機(jī)屢報(bào)安全事件……

大到國(guó)家，小到個(gè)人時(shí)時(shí)刻刻面臨著網(wǎng)絡(luò)信息安全的威脅，網(wǎng)絡(luò)也成為可怕的軍事武器之一，而且讓人毫無(wú)防范的遭受攻擊。

正在臺(tái)北參加趨勢(shì)科技CLOUDSEC 2015的前美國(guó)中央情報(bào)局CTO Bob Flores在接受網(wǎng)易科技等媒體訪(fǎng)談時(shí)分享了目前網(wǎng)絡(luò)信息安全的現(xiàn)狀，案例以及應(yīng)對(duì)之道。Bob Flores認(rèn)為，網(wǎng)絡(luò)安全意識(shí)教育是目前階段最難推進(jìn)也是最重要的一個(gè)步驟，面對(duì)不可預(yù)期的黑客新型態(tài)的攻擊，必須要建立信息安全應(yīng)變小組，及時(shí)應(yīng)對(duì)“必然”會(huì)到來(lái)的網(wǎng)絡(luò)威脅。

獨(dú)家揭秘美國(guó)OPM泄露事件

“即使現(xiàn)在最領(lǐng)先的反病毒廠商也不得不承認(rèn)，傳統(tǒng)反病毒軟件已死。”在美國(guó)中央情報(bào)局工作了31年的Bob Flores直言。

對(duì)于目前的網(wǎng)絡(luò)威脅現(xiàn)狀，他給出了一組數(shù)據(jù)：2014年在對(duì)1000個(gè)組織取證追蹤中發(fā)現(xiàn)有84%的組織受到了惡意軟件的入侵，而造成這些惡意軟件入侵的原因就是組織者缺乏安全意識(shí)，而且感染率在每年增加。

而且，黑客攻破速度越來(lái)越快，潛伏時(shí)間越來(lái)越長(zhǎng)。根據(jù)趨勢(shì)科技2015年APT分析調(diào)查，平均一起攻擊事件的潛伏期可高達(dá)559天，被鎖定的政府（或企業(yè)）表面上安然無(wú)恙，但已經(jīng)在不可預(yù)期的情況下被黑客竊取了重要信息。

趨勢(shì)科技臺(tái)灣暨香港區(qū)總經(jīng)理洪偉淦透露，現(xiàn)在目標(biāo)式攻擊已經(jīng)全面啟動(dòng)，目標(biāo)不再局限于政府和大型企業(yè)，中小企業(yè)也成為目標(biāo)式攻擊的對(duì)象。“攻擊已經(jīng)不可避免，而且無(wú)法防御。”洪偉淦提道。

因此，即使最領(lǐng)先的反病毒廠商也不得不承認(rèn)，傳統(tǒng)反病毒軟件已死。在對(duì)信息安全專(zhuān)業(yè)人士的一份調(diào)查中顯示，85%的專(zhuān)業(yè)人士都不相信，殺毒軟件可以阻止針對(duì)特定目標(biāo)的攻擊，比如高級(jí)持續(xù)性威脅（APT）和網(wǎng)絡(luò)釣魚(yú)以及多態(tài)攻擊和零日漏洞攻擊。

無(wú)法防御并不意味著就要不作為。Bob Flores認(rèn)為在網(wǎng)絡(luò)安全防護(hù)工作推進(jìn)過(guò)程中，安全意識(shí)教育最為重要，很多數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊事件都是由于企業(yè)或員工個(gè)人沒(méi)有安全意識(shí)造成的。

比如美國(guó)史上最大規(guī)模的信息外泄事件——美國(guó)人事管理局遭受最大規(guī)模網(wǎng)絡(luò)攻擊，被盜信息從400萬(wàn)一直漲到1400萬(wàn)、1800萬(wàn)再到2150萬(wàn)，比預(yù)估的數(shù)量多了6倍多，成為美國(guó)史上最大規(guī)模的信息外泄事件。美國(guó)聯(lián)邦人事管理局局長(zhǎng)阿奎萊拉為此還辭職下臺(tái)。

對(duì)此，Bob Flores表示，聯(lián)邦人事管理局資料外泄一案說(shuō)明了政府以及企業(yè)對(duì)數(shù)據(jù)保護(hù)的意識(shí)不足，并向媒體揭秘了造成此次重大事件背后的5大原因：首先是缺乏多重認(rèn)證，數(shù)據(jù)信息的保護(hù)只是基于數(shù)字簽名，讓黑客分子可以輕而易舉進(jìn)入；其次，雖然有入侵檢測(cè)系統(tǒng)，但是沒(méi)有預(yù)防攻擊措施；第三，一些敏感的數(shù)據(jù)信息并沒(méi)有加密；第四，員工可以遠(yuǎn)程登陸數(shù)據(jù)庫(kù)，而且沒(méi)有任何監(jiān)視行為；第五，合作伙伴沒(méi)有安全保護(hù)措施，黑客最終是通過(guò)承包商用戶(hù)的憑證侵入的。

如何防范不可預(yù)期安全威脅？

“這件入侵事件其實(shí)在2年前已經(jīng)發(fā)生，可是到最近才被發(fā)現(xiàn)。” Bob Flores透露。

這類(lèi)針對(duì)特定攻擊對(duì)象設(shè)計(jì)一套專(zhuān)屬的攻擊策略，以長(zhǎng)期、緩慢、逐漸滲透埋伏等伎倆，躲避安全軟件偵測(cè)，并竊取重要信息資產(chǎn)的攻擊就是所謂的APT攻擊。APT攻擊是不可能被避免的。

“攻擊者有非常明確的目標(biāo)，他們會(huì)想盡各種辦法達(dá)到他們的目標(biāo)，永遠(yuǎn)不會(huì)停下來(lái)。因此，一個(gè)運(yùn)作良好的組織一定要有足夠的資金和技術(shù)來(lái)做檢測(cè)。” Bob Flores表示。

在Bob Flores看來(lái)，構(gòu)建一個(gè)完整的網(wǎng)絡(luò)信息安全藍(lán)圖需要意識(shí)、策略和具體行動(dòng)缺一不可。首先，企業(yè)或政府內(nèi)部由上而下，不只專(zhuān)業(yè)技術(shù)人員都應(yīng)該有黑客防范意識(shí)，而且有具備對(duì)安全攻擊的動(dòng)員能力。只有全員及時(shí)發(fā)現(xiàn)，及時(shí)通報(bào)才能有效打擊安全漏洞。

其次，建立安全防護(hù)策略，通過(guò)安全風(fēng)險(xiǎn)評(píng)估來(lái)檢視目前的安全策略。

“每個(gè)公司都應(yīng)該建立一個(gè)良好的事件應(yīng)變處理小組，除了小組的技術(shù)人員之外，還有跟人資、法務(wù)、公關(guān)相互配合。” Bob Flores補(bǔ)充道。

但是對(duì)于中小企業(yè)來(lái)說(shuō)，建立事件應(yīng)變小組會(huì)成為“不可承受之重”，Bob Flores建議可以先將此服務(wù)外包，隨時(shí)檢測(cè)是否能夠及時(shí)處理，如果外包無(wú)法滿(mǎn)足需求，這時(shí)，公司就需要建立自己的應(yīng)變小組。

對(duì)此，網(wǎng)絡(luò)安全公司也是表示建立事件應(yīng)變處理小組是應(yīng)對(duì)APT的當(dāng)務(wù)之急。

政府應(yīng)該扮演何種角色？

另外，Bob Flores認(rèn)為政府與企業(yè)應(yīng)當(dāng)投入適當(dāng)資源，部署網(wǎng)絡(luò)安全防護(hù)。但同時(shí)，Bob也強(qiáng)調(diào)網(wǎng)絡(luò)安全防護(hù)不能只依靠政府，因?yàn)橛袝r(shí)候政府動(dòng)作會(huì)比較慢一些。應(yīng)該由市場(chǎng)競(jìng)爭(zhēng)決定。有些國(guó)家比如美國(guó)會(huì)在政策、法規(guī)上進(jìn)行規(guī)定管理；但有些國(guó)家比如德國(guó)則交給中間商來(lái)做。

據(jù)透露，臺(tái)灣地區(qū)的政府在信息安全防護(hù)方面，會(huì)成立相關(guān)工作組，同時(shí)制定網(wǎng)絡(luò)安全發(fā)展方案、白皮書(shū)、確定網(wǎng)絡(luò)信息安全責(zé)任等級(jí)；并會(huì)定期進(jìn)行業(yè)務(wù)演練與考察，提升防護(hù)能力。據(jù)悉，臺(tái)灣正在草擬信息安全管理法，通過(guò)立法落實(shí)信息安全政策和構(gòu)建信息安全環(huán)境。

對(duì)此，臺(tái)灣黑客團(tuán)隊(duì)HITCON CTF領(lǐng)隊(duì)李倫銓認(rèn)為應(yīng)該盡快培養(yǎng)更多高級(jí)信息安全人才，給予這些人才更好的資源環(huán)境是解決之本。這時(shí)候，企業(yè)就應(yīng)該承擔(dān)更多的責(zé)任，扮演更重要的角色，而不是政府。

“企業(yè)可以建立漏洞回報(bào)機(jī)制或獎(jiǎng)勵(lì)制度，鼓勵(lì)白帽子黑客幫助企業(yè)檢測(cè)漏洞，而不讓人才流失到黑色產(chǎn)業(yè)鏈中。” 李倫銓表示。（崔玉賢）

贊助本站