网络安全何去何从？

　　我有机会听到Krebs Stamos Group的创始合伙人、网络安全和基础设施安全局(CISA)前任主任Chris Krebs在第25届黑帽安全会议上发表开幕主题演讲。

　　25年来，InfoSec社区和行业通过研究和对手洞察力消除了技术中的安全漏洞。25年来，供应商和软件公司不断推出新产品和保护措施。以过去25年为序幕——展望未来25年——我们需要问：“我们走在正确的轨道上吗?”

　　鉴于社会对连接一切事物的贪得无厌和病态的需求，我们并不是为成功而准备的。我们正在为坏人提供更多的攻击面，并且总是在我们知道会导致不良安全结果的业务决策之后进行清理。与此同时，我们无法控制的因素——即全球市场现实和不断变化的地缘政治动态——破坏了精心策划的商业计划和国家战略。过去几年的地缘政治混乱和专制的根深蒂固可能看起来像这十年末的太平日子。

　　当今的网络安全

　　Chris分享了当今的风险趋势以及它们对未来网络防御者的意义，并在此过程中建议需要转变思维方式和行动以提供更好的结果，同时认识到我们将始终在竞争激烈的信息环境中运营。

　　网络安全专业人员有机会，甚至可能有义务成为将人们聚集在一起解决问题的“桥梁建设者”。Chris和他的团队在过去18个月中一直在进行定性和定量研究，以了解企业和政府正在努力实现的目标以及他们的担忧和挑战。

　　克里斯解决了他在下面提出的三个主要问题。

　　为什么现在这么糟糕?

　　客户和业内其他人希望将讨论转向它会变得更好的讨论。然而，克里斯相信在好转之前情况会变得更糟。

　　造成这种情况的四个原因是技术、不良行为者、政府和人民。

　　技术：软件仍然容易受到攻击，因为上市速度的好处继续超过安全性的好处。安全被视为减缓开发、采用和使用的摩擦。

　　随着我们将更多不安全的产品集成到用例中，我们使衡量风险变得更加复杂。云就是一个很好的例子，因为它提供了更高的灵活性、弹性、更低的透明度和更多的复杂性，越来越多的产品被添加到云平台之上。我们继续看到SaaS机会和解决方案的爆炸式增长。

　　领导力已经变得非常高效——正如人们所想的那样，“如果我不能做好，我们就会把它外包给其他人来做好。”这增加了复杂性，同时降低了透明度和知识。

　　网络犯罪分子明白，更复杂和更多的SaaS解决方案提供了更多机会来提取价值、以加密货币获得报酬并将其保护在安全的避风港中。每个企业和政府都必须扩大对威胁行为者的看法，将网络犯罪分子包括在内。如果您在互联网上，那么您就处于黑客的竞争环境中。

　　运送产品的公司是运送目标，如果您的托管服务，您就是目标。就像Willie Sutton瞄准银行一样，网络犯罪分子瞄准软件供应商，因为这就是机会所在。

　　政府一直在努力平衡营销干预与允许创新发展的愿望。应用程序的市场干预应用不均衡，我们没有得到我们想要的结果。当政府进行监管时，它做得不好——使用清单而不是积极的以结果为导向的战略和策略。

　　与政府合作很困难，这样做的价值主张并不像它需要的那样清晰。国会也需要解决这个问题——加强对政府机构和部门的监督。

　　领导不领导。很少有CEO将网络风险理解为业务风险。我们需要改变安全产品的价值平衡。

　　最后，我们没有像其他国家那样以技术为导向的课程。可悲的是，高中和大学毕业生都没有准备好思考和应对这些挑战。

　　你是什​​么意思它会变得更糟？

　　事情在好转之前会变得更糟。将会有更多的东西连接到互联网。更多的东西正在收集和生成数据——汽车、家庭、身体上、身体上。我们正在产生大量的数据和数字废气。一切都变得更加复杂，而不是更少。

　　网络安全是一个成熟的行业，生产解决问题的产品。它只是没有按照我们需要的速度这样做。在我们能够对不良行为者施加有意义的后果之前，它将继续存在。网络犯罪分子可以使用仅在几年前才可供民族国家使用的工具。

　　中国、俄罗斯、伊朗和朝鲜(以及每个国家)等国家行为者都将网络视为内部和外部间谍活动的必要领域。在不久的将来会有新的事件发生，就像我们看到的WannaCry、BadRabbit和俄罗斯削减乌克兰的电力一样。

　　积极的一面是，随着领导者越来越年轻，他们也越来越聪明。劳动力正变得越来越具有技术本土化、精明和敏锐的洞察力。

　　总体而言，就安全性而言，克里斯近期看跌，长期看涨。

　　我们如何做出改变以改善?

　　在技​​术方面，企业必须有一套价值观原则，如何践行价值观，以及红线是什么。当战争罪行的画面出现在电视上时，你不能继续支持俄罗斯的战争机器。你必须有原则。如果您是互联网结构的核心，那么您就是国家安全的一部分。你必须认真对待安全。这适用于所有大公司和每家科技公司。

　　以不同的方式思考威胁模型。开发解决问题的产品。核心产品和解决方案必须解决持续存在的难题。它可能会影响您的安全服务业务的底线，但您需要一个长期的解决方案。

　　领导人必须立即围绕台湾正在发生的事情制定两到三年的计划。

　　它如何影响我和我的IT运营?它将在中国和台湾之间达到顶点。为了管理风险，您必须通过物理分离台湾的IT网络和供应链，开始​​为“昨天”即将到来的现实做计划。

　　政府如何塑造未来?

　　根据克里斯的说法，政府有四个主要角色：消费者、执法者、捍卫者和推动者。

　　联邦政府是大多数科技公司的最大客户。它具有令人难以置信的购买力。联邦政府需要利用其购买力在解决方案和商业实践的安全性方面设置更高的标准。如果安全最佳实践没有到位并没有被遵循，那么低价不应成为决定因素。

　　联邦政府应该负责根据结果而不是清单来执行法规。他们需要更好地了解与他们有业务往来的每家公司的安全状况。DOJ和FBI需要主动追捕对手和网络犯罪分子，以对从公司榨取价值的网络犯罪分子施加成本。

　　作为打击网络犯罪分子的捍卫者，联邦网络指挥部可以继续向前推进，以了解州行为者在做什么以及他们的目标是什么，因为他们允许州和地方选举官员了解选举安全——无论他们是否选择使用提供的信息。

　　作为网络安全的推动者，联邦政府应继续投资和建设CISA。让公司更容易与政府合作并在这样做时获得价值。Chris建议在网络安全方面让CISA成为政府的大门。

　　将信息交到防御者手中。数字环境发生了很大变化。政府需要以不同的方式与技术互动，并且需要对其进行重组，使其变得更智能、更高效。

　　我们能做些什么来改善这种情况?

　　Chris说，这取决于Black Hat社区中的人们做出必要的改变——他们必须“引领变革”。网络安全必须是非政治性的。我们需要坦率、坦诚和透明地了解正在发生的事情，以赢得与我们合作的人的信任。

　　有300万个开放的网络安全工作岗位。我们并没有缩小对网络安全专业人员的需求差距。我们需要将网络安全的职业发展为有趣、有利可图和长期的。网络安全不会在我们有生之年消失，它本身就很有趣。我们的国家安全取决于网络安全——这是一项重要的工作。

　　离别的思念

　　我们都生活在数字环境中。我们每个人都需要问自己：“您通过什么因素来过上有意义的线上和线下生活?”

　　原则：什么对你很重要，你代表什么?

　　人员：找到您的人员和您的支持网络，并互相帮助。

　　生活太短，不能为混蛋工作：为你找到合适的地方。

　　生命太短暂，不能吃坏食物：找到工作之外给你带来意义和快乐的东西。

　　不要阅读评论：向您的员工寻求建设性的反馈

　　帮助某人：当你这样做时，你会感觉更好。