我有機會聽到Krebs Stamos Group的創(chuàng)始合伙人、網(wǎng)絡安全和基礎(chǔ)設(shè)施安全局(CISA)前任主任Chris Krebs在第25屆黑帽安全會議上發(fā)表開幕主題演講。

　　25年來，InfoSec社區(qū)和行業(yè)通過研究和對手洞察力消除了技術(shù)中的安全漏洞。25年來，供應商和軟件公司不斷推出新產(chǎn)品和保護措施。以過去25年為序幕——展望未來25年——我們需要問：“我們走在正確的軌道上嗎?”

　　鑒于社會對連接一切事物的貪得無厭和病態(tài)的需求，我們并不是為成功而準備的。我們正在為壞人提供更多的攻擊面，并且總是在我們知道會導致不良安全結(jié)果的業(yè)務決策之后進行清理。與此同時，我們無法控制的因素——即全球市場現(xiàn)實和不斷變化的地緣政治動態(tài)——破壞了精心策劃的商業(yè)計劃和國家戰(zhàn)略。過去幾年的地緣政治混亂和專制的根深蒂固可能看起來像這十年末的太平日子。

　　當今的網(wǎng)絡安全

　　Chris分享了當今的風險趨勢以及它們對未來網(wǎng)絡防御者的意義，并在此過程中建議需要轉(zhuǎn)變思維方式和行動以提供更好的結(jié)果，同時認識到我們將始終在競爭激烈的信息環(huán)境中運營。

　　網(wǎng)絡安全專業(yè)人員有機會，甚至可能有義務成為將人們聚集在一起解決問題的“橋梁建設(shè)者”。Chris和他的團隊在過去18個月中一直在進行定性和定量研究，以了解企業(yè)和政府正在努力實現(xiàn)的目標以及他們的擔憂和挑戰(zhàn)。

　　克里斯解決了他在下面提出的三個主要問題。

　　為什么現(xiàn)在這么糟糕?

　　客戶和業(yè)內(nèi)其他人希望將討論轉(zhuǎn)向它會變得更好的討論。然而，克里斯相信在好轉(zhuǎn)之前情況會變得更糟。

　　造成這種情況的四個原因是技術(shù)、不良行為者、政府和人民。

　　技術(shù)：軟件仍然容易受到攻擊，因為上市速度的好處繼續(xù)超過安全性的好處。安全被視為減緩開發(fā)、采用和使用的摩擦。

　　隨著我們將更多不安全的產(chǎn)品集成到用例中，我們使衡量風險變得更加復雜。云就是一個很好的例子，因為它提供了更高的靈活性、彈性、更低的透明度和更多的復雜性，越來越多的產(chǎn)品被添加到云平臺之上。我們繼續(xù)看到SaaS機會和解決方案的爆炸式增長。

　　領(lǐng)導力已經(jīng)變得非常高效——正如人們所想的那樣，“如果我不能做好，我們就會把它外包給其他人來做好。”這增加了復雜性，同時降低了透明度和知識。

　　網(wǎng)絡犯罪分子明白，更復雜和更多的SaaS解決方案提供了更多機會來提取價值、以加密貨幣獲得報酬并將其保護在安全的避風港中。每個企業(yè)和政府都必須擴大對威脅行為者的看法，將網(wǎng)絡犯罪分子包括在內(nèi)。如果您在互聯(lián)網(wǎng)上，那么您就處于黑客的競爭環(huán)境中。

　　運送產(chǎn)品的公司是運送目標，如果您的托管服務，您就是目標。就像Willie Sutton瞄準銀行一樣，網(wǎng)絡犯罪分子瞄準軟件供應商，因為這就是機會所在。

　　政府一直在努力平衡營銷干預與允許創(chuàng)新發(fā)展的愿望。應用程序的市場干預應用不均衡，我們沒有得到我們想要的結(jié)果。當政府進行監(jiān)管時，它做得不好——使用清單而不是積極的以結(jié)果為導向的戰(zhàn)略和策略。

　　與政府合作很困難，這樣做的價值主張并不像它需要的那樣清晰。國會也需要解決這個問題——加強對政府機構(gòu)和部門的監(jiān)督。

　　領(lǐng)導不領(lǐng)導。很少有CEO將網(wǎng)絡風險理解為業(yè)務風險。我們需要改變安全產(chǎn)品的價值平衡。

　　最后，我們沒有像其他國家那樣以技術(shù)為導向的課程?？杀氖?，高中和大學畢業(yè)生都沒有準備好思考和應對這些挑戰(zhàn)。

　　你是什??么意思它會變得更糟？

　　事情在好轉(zhuǎn)之前會變得更糟。將會有更多的東西連接到互聯(lián)網(wǎng)。更多的東西正在收集和生成數(shù)據(jù)——汽車、家庭、身體上、身體上。我們正在產(chǎn)生大量的數(shù)據(jù)和數(shù)字廢氣。一切都變得更加復雜，而不是更少。

　　網(wǎng)絡安全是一個成熟的行業(yè)，生產(chǎn)解決問題的產(chǎn)品。它只是沒有按照我們需要的速度這樣做。在我們能夠?qū)Σ涣夹袨檎呤┘佑幸饬x的后果之前，它將繼續(xù)存在。網(wǎng)絡犯罪分子可以使用僅在幾年前才可供民族國家使用的工具。

　　中國、俄羅斯、伊朗和朝鮮(以及每個國家)等國家行為者都將網(wǎng)絡視為內(nèi)部和外部間諜活動的必要領(lǐng)域。在不久的將來會有新的事件發(fā)生，就像我們看到的WannaCry、BadRabbit和俄羅斯削減烏克蘭的電力一樣。

　　積極的一面是，隨著領(lǐng)導者越來越年輕，他們也越來越聰明。勞動力正變得越來越具有技術(shù)本土化、精明和敏銳的洞察力。

　　總體而言，就安全性而言，克里斯近期看跌，長期看漲。

　　我們?nèi)绾巫龀龈淖円愿纳?

　　在技??術(shù)方面，企業(yè)必須有一套價值觀原則，如何踐行價值觀，以及紅線是什么。當戰(zhàn)爭罪行的畫面出現(xiàn)在電視上時，你不能繼續(xù)支持俄羅斯的戰(zhàn)爭機器。你必須有原則。如果您是互聯(lián)網(wǎng)結(jié)構(gòu)的核心，那么您就是國家安全的一部分。你必須認真對待安全。這適用于所有大公司和每家科技公司。

　　以不同的方式思考威脅模型。開發(fā)解決問題的產(chǎn)品。核心產(chǎn)品和解決方案必須解決持續(xù)存在的難題。它可能會影響您的安全服務業(yè)務的底線，但您需要一個長期的解決方案。

　　領(lǐng)導人必須立即圍繞臺灣正在發(fā)生的事情制定兩到三年的計劃。

　　它如何影響我和我的IT運營?它將在中國和臺灣之間達到頂點。為了管理風險，您必須通過物理分離臺灣的IT網(wǎng)絡和供應鏈，開始??為“昨天”即將到來的現(xiàn)實做計劃。

　　政府如何塑造未來?

　　根據(jù)克里斯的說法，政府有四個主要角色：消費者、執(zhí)法者、捍衛(wèi)者和推動者。

　　聯(lián)邦政府是大多數(shù)科技公司的最大客戶。它具有令人難以置信的購買力。聯(lián)邦政府需要利用其購買力在解決方案和商業(yè)實踐的安全性方面設(shè)置更高的標準。如果安全最佳實踐沒有到位并沒有被遵循，那么低價不應成為決定因素。

　　聯(lián)邦政府應該負責根據(jù)結(jié)果而不是清單來執(zhí)行法規(guī)。他們需要更好地了解與他們有業(yè)務往來的每家公司的安全狀況。DOJ和FBI需要主動追捕對手和網(wǎng)絡犯罪分子，以對從公司榨取價值的網(wǎng)絡犯罪分子施加成本。

　　作為打擊網(wǎng)絡犯罪分子的捍衛(wèi)者，聯(lián)邦網(wǎng)絡指揮部可以繼續(xù)向前推進，以了解州行為者在做什么以及他們的目標是什么，因為他們允許州和地方選舉官員了解選舉安全——無論他們是否選擇使用提供的信息。

　　作為網(wǎng)絡安全的推動者，聯(lián)邦政府應繼續(xù)投資和建設(shè)CISA。讓公司更容易與政府合作并在這樣做時獲得價值。Chris建議在網(wǎng)絡安全方面讓CISA成為政府的大門。

　　將信息交到防御者手中。數(shù)字環(huán)境發(fā)生了很大變化。政府需要以不同的方式與技術(shù)互動，并且需要對其進行重組，使其變得更智能、更高效。

　　我們能做些什么來改善這種情況?

　　Chris說，這取決于Black Hat社區(qū)中的人們做出必要的改變——他們必須“引領(lǐng)變革”。網(wǎng)絡安全必須是非政治性的。我們需要坦率、坦誠和透明地了解正在發(fā)生的事情，以贏得與我們合作的人的信任。

　　有300萬個開放的網(wǎng)絡安全工作崗位。我們并沒有縮小對網(wǎng)絡安全專業(yè)人員的需求差距。我們需要將網(wǎng)絡安全的職業(yè)發(fā)展為有趣、有利可圖和長期的。網(wǎng)絡安全不會在我們有生之年消失，它本身就很有趣。我們的國家安全取決于網(wǎng)絡安全——這是一項重要的工作。

　　離別的思念

　　我們都生活在數(shù)字環(huán)境中。我們每個人都需要問自己：“您通過什么因素來過上有意義的線上和線下生活?”

　　原則：什么對你很重要，你代表什么?

　　人員：找到您的人員和您的支持網(wǎng)絡，并互相幫助。

　　生活太短，不能為混蛋工作：為你找到合適的地方。

　　生命太短暫，不能吃壞食物：找到工作之外給你帶來意義和快樂的東西。

　　不要閱讀評論：向您的員工尋求建設(shè)性的反饋

　　幫助某人：當你這樣做時，你會感覺更好。