专访美中央情报局前CTO：如何防范网络安全威胁

美国中央情报局前CTO Bob Flores（右）

今年7月份以协助政府监视公民而闻名的黑客团队Hacking Team被黑，400GB资料外泄；8月份乌云爆料在这400GB资料中发现我国一直是网络攻击的受害者，一些亚洲地区国家对我国进行了网络攻击窃密；诈骗短信、手机病毒、隐私窃取等智能手机屡报安全事件……

大到国家，小到个人时时刻刻面临着网络信息安全的威胁，网络也成为可怕的军事武器之一，而且让人毫无防范的遭受攻击。

正在台北参加趋势科技CLOUDSEC 2015的前美国中央情报局CTO Bob Flores在接受网易科技等媒体访谈时分享了目前网络信息安全的现状，案例以及应对之道。Bob Flores认为，网络安全意识教育是目前阶段最难推进也是最重要的一个步骤，面对不可预期的黑客新型态的攻击，必须要建立信息安全应变小组，及时应对“必然”会到来的网络威胁。

独家美国OPM泄露事件

“即使现在最领先的反病毒厂商也不得不承认，传统反病毒软件已死。”在美国中央情报局工作了31年的Bob Flores直言。

对于目前的网络威胁现状，他给出了一组数据2014年在对1000个组织取证追踪中发现有84%的组织受到了恶意软件的入侵，而造成这些恶意软件入侵的原因就是组织者缺乏安全意识，而且感染率在每年增加。

而且，黑客攻破速度越来越快，潜伏时间越来越长。根据趋势科技2015年APT分析调查，平均一起攻击事件的潜伏期可高达559天，被锁定的政府（或企业）表面上安然无恙，但已经在不可预期的情况下被黑客窃取了重要信息。

趋势科技台湾暨香港区总经理洪伟淦透露，现在目标式攻击已经全面启动，目标不再局限于政府和大型企业，中小企业也成为目标式攻击的对象。“攻击已经不可避免，而且无法防御。”洪伟淦提道。

，即使最领先的反病毒厂商也不得不承认，传统反病毒软件已死。在对信息安全专业人士的一份调查中显示，85%的专业人士都不相信，杀毒软件可以阻止针对特定目标的攻击，比如高级持续性威胁（APT）和网络钓鱼以及多态攻击和零日漏洞攻击。

无法防御并不意味着就要不作为。Bob Flores认为在网络安全防护工作推进过程中，安全意识教育最为重要，很多数据泄露或网络攻击事件都是由于企业或员工个人没有安全意识造成的。

比如美国史上最大规模的信息外泄事件——美国人事管理局遭受最大规模网络攻击，被盗信息从400万一直涨到1400万、1800万再到2150万，比预估的数量多了6倍多，成为美国史上最大规模的信息外泄事件。美国联邦人事管理局局长阿奎莱拉为此还辞职下台。

对此，Bob Flores表示，联邦人事管理局资料外泄一案说明了政府以及企业对数据保护的意识不足，并向媒体了造成此次重大事件背后的5大原因是缺乏多重认证，数据信息的保护只是基于数字签名，让黑客分子可以轻而易举进入；，虽然有入侵检测系统，没有预防攻击措施；第三，一些敏感的数据信息并没有加密；第四，员工可以远程登陆数据库，而且没有任何监视行为；第五，合作伙伴没有安全保护措施，黑客最终是通过承包商用户的凭证侵入的。

如何防范不可预期安全威胁？

“这件入侵事件其实在2年前已经发生，可是到最近才被发现。” Bob Flores透露。

这类针对特定攻击对象设计一套专属的攻击策略，以长期、缓慢、逐渐渗透埋伏等伎俩，躲避安全软件侦测，并窃取重要信息资产的攻击就是所谓的APT攻击。APT攻击是不可能被避免的。

“攻击者有非常明确的目标，他们会想尽各种办法达到他们的目标，永远不会停下来。，一个运作良好的组织一定要有足够的资金和技术来做检测。” Bob Flores表示。

在Bob Flores看来，构建一个完整的网络信息安全蓝图需要意识、策略和具体行动缺一不可。，企业或政府内部由上而下，不只专业技术人员都应该有黑客防范意识，而且有具备对安全攻击的动员能力。只有全员及时发现，及时通报才能有效打击安全漏洞。

，建立安全防护策略，通过安全风险评估来检视目前的安全策略。

“每个公司都应该建立一个良好的事件应变处理小组，除了小组的技术人员之外，还有跟人资、法务、公关相互配合。” Bob Flores补充道。

对于中小企业来说，建立事件应变小组会成为“不可承受之重”，Bob Flores建议可以先将此服务外包，随时检测是否能够及时处理，如果外包无法满足需求，这时，公司就需要建立自己的应变小组。

对此，网络安全公司也是表示建立事件应变处理小组是应对APT的当务之急。

政府应该扮演何种角色？

，Bob Flores认为政府与企业应当投入适当资源，部署网络安全防护。但，Bob也强调网络安全防护不能只依靠政府，因为有时候政府动作会比较慢一些。应该由市场竞争决定。有些国家比如美国会在政策、法规上进行规定管理；但有些国家比如德国则交给中间商来做。

据透露，台湾地区的政府在信息安全防护方面，会成立相关工作组，制定网络安全发展方案、白皮书、确定网络信息安全责任等级；并会定期进行业务演练与考察，提升防护能力。据悉，台湾正在草拟信息安全管理法，通过立法落实信息安全政策和构建信息安全环境。

对此，台湾黑客团队HITCON CTF领队李伦铨认为应该尽快培养更多高级信息安全人才，给予这些人才更好的资源环境是解决之本。这时候，企业就应该承担更多的责任，扮演更重要的角色，而不是政府。

“企业可以建立漏洞回报机制或奖励制度，鼓励白帽子黑客帮助企业检测漏洞，而不让人才流失到黑色产业链中。” 李伦铨表示。（崔玉贤）