今年7月份以協(xié)助政府監(jiān)視公民而聞名的黑客團(tuán)隊(duì)Hacking Team被黑，400GB資料外泄；8月份烏云爆料在這400GB資料中發(fā)現(xiàn)我國一直是網(wǎng)絡(luò)攻擊的受害者，一些亞洲地區(qū)國家對我國進(jìn)行了網(wǎng)絡(luò)攻擊竊密；詐騙短信、手機(jī)病毒、隱私竊取等智能手機(jī)屢報(bào)安全事件……

大到國家，小到個(gè)人時(shí)時(shí)刻刻面臨著網(wǎng)絡(luò)信息安全的威脅，網(wǎng)絡(luò)也成為可怕的軍事武器之一，而且讓人毫無防范的遭受攻擊。

正在臺北參加趨勢科技CLOUDSEC 2015的前美國中央情報(bào)局CTO Bob Flores在接受網(wǎng)易科技等媒體訪談時(shí)分享了目前網(wǎng)絡(luò)信息安全的現(xiàn)狀，案例以及應(yīng)對之道。Bob Flores認(rèn)為，網(wǎng)絡(luò)安全意識教育是目前階段最難推進(jìn)也是最重要的一個(gè)步驟，面對不可預(yù)期的黑客新型態(tài)的攻擊，必須要建立信息安全應(yīng)變小組，及時(shí)應(yīng)對“必然”會到來的網(wǎng)絡(luò)威脅。

獨(dú)家揭秘美國OPM泄露事件

“即使現(xiàn)在最領(lǐng)先的反病毒廠商也不得不承認(rèn)，傳統(tǒng)反病毒軟件已死。”在美國中央情報(bào)局工作了31年的Bob Flores直言。

對于目前的網(wǎng)絡(luò)威脅現(xiàn)狀，他給出了一組數(shù)據(jù)：2014年在對1000個(gè)組織取證追蹤中發(fā)現(xiàn)有84%的組織受到了惡意軟件的入侵，而造成這些惡意軟件入侵的原因就是組織者缺乏安全意識，而且感染率在每年增加。

而且，黑客攻破速度越來越快，潛伏時(shí)間越來越長。根據(jù)趨勢科技2015年APT分析調(diào)查，平均一起攻擊事件的潛伏期可高達(dá)559天，被鎖定的政府（或企業(yè)）表面上安然無恙，但已經(jīng)在不可預(yù)期的情況下被黑客竊取了重要信息。

趨勢科技臺灣暨香港區(qū)總經(jīng)理洪偉淦透露，現(xiàn)在目標(biāo)式攻擊已經(jīng)全面啟動，目標(biāo)不再局限于政府和大型企業(yè)，中小企業(yè)也成為目標(biāo)式攻擊的對象。“攻擊已經(jīng)不可避免，而且無法防御。”洪偉淦提道。

因此，即使最領(lǐng)先的反病毒廠商也不得不承認(rèn)，傳統(tǒng)反病毒軟件已死。在對信息安全專業(yè)人士的一份調(diào)查中顯示，85%的專業(yè)人士都不相信，殺毒軟件可以阻止針對特定目標(biāo)的攻擊，比如高級持續(xù)性威脅（APT）和網(wǎng)絡(luò)釣魚以及多態(tài)攻擊和零日漏洞攻擊。

無法防御并不意味著就要不作為。Bob Flores認(rèn)為在網(wǎng)絡(luò)安全防護(hù)工作推進(jìn)過程中，安全意識教育最為重要，很多數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊事件都是由于企業(yè)或員工個(gè)人沒有安全意識造成的。

比如美國史上最大規(guī)模的信息外泄事件——美國人事管理局遭受最大規(guī)模網(wǎng)絡(luò)攻擊，被盜信息從400萬一直漲到1400萬、1800萬再到2150萬，比預(yù)估的數(shù)量多了6倍多，成為美國史上最大規(guī)模的信息外泄事件。美國聯(lián)邦人事管理局局長阿奎萊拉為此還辭職下臺。

對此，Bob Flores表示，聯(lián)邦人事管理局資料外泄一案說明了政府以及企業(yè)對數(shù)據(jù)保護(hù)的意識不足，并向媒體揭秘了造成此次重大事件背后的5大原因：首先是缺乏多重認(rèn)證，數(shù)據(jù)信息的保護(hù)只是基于數(shù)字簽名，讓黑客分子可以輕而易舉進(jìn)入；其次，雖然有入侵檢測系統(tǒng)，但是沒有預(yù)防攻擊措施；第三，一些敏感的數(shù)據(jù)信息并沒有加密；第四，員工可以遠(yuǎn)程登陸數(shù)據(jù)庫，而且沒有任何監(jiān)視行為；第五，合作伙伴沒有安全保護(hù)措施，黑客最終是通過承包商用戶的憑證侵入的。

如何防范不可預(yù)期安全威脅？

“這件入侵事件其實(shí)在2年前已經(jīng)發(fā)生，可是到最近才被發(fā)現(xiàn)。” Bob Flores透露。

這類針對特定攻擊對象設(shè)計(jì)一套專屬的攻擊策略，以長期、緩慢、逐漸滲透埋伏等伎倆，躲避安全軟件偵測，并竊取重要信息資產(chǎn)的攻擊就是所謂的APT攻擊。APT攻擊是不可能被避免的。

“攻擊者有非常明確的目標(biāo)，他們會想盡各種辦法達(dá)到他們的目標(biāo)，永遠(yuǎn)不會停下來。因此，一個(gè)運(yùn)作良好的組織一定要有足夠的資金和技術(shù)來做檢測。” Bob Flores表示。

在Bob Flores看來，構(gòu)建一個(gè)完整的網(wǎng)絡(luò)信息安全藍(lán)圖需要意識、策略和具體行動缺一不可。首先，企業(yè)或政府內(nèi)部由上而下，不只專業(yè)技術(shù)人員都應(yīng)該有黑客防范意識，而且有具備對安全攻擊的動員能力。只有全員及時(shí)發(fā)現(xiàn)，及時(shí)通報(bào)才能有效打擊安全漏洞。

其次，建立安全防護(hù)策略，通過安全風(fēng)險(xiǎn)評估來檢視目前的安全策略。

“每個(gè)公司都應(yīng)該建立一個(gè)良好的事件應(yīng)變處理小組，除了小組的技術(shù)人員之外，還有跟人資、法務(wù)、公關(guān)相互配合。” Bob Flores補(bǔ)充道。

但是對于中小企業(yè)來說，建立事件應(yīng)變小組會成為“不可承受之重”，Bob Flores建議可以先將此服務(wù)外包，隨時(shí)檢測是否能夠及時(shí)處理，如果外包無法滿足需求，這時(shí)，公司就需要建立自己的應(yīng)變小組。

對此，網(wǎng)絡(luò)安全公司也是表示建立事件應(yīng)變處理小組是應(yīng)對APT的當(dāng)務(wù)之急。

政府應(yīng)該扮演何種角色？

另外，Bob Flores認(rèn)為政府與企業(yè)應(yīng)當(dāng)投入適當(dāng)資源，部署網(wǎng)絡(luò)安全防護(hù)。但同時(shí)，Bob也強(qiáng)調(diào)網(wǎng)絡(luò)安全防護(hù)不能只依靠政府，因?yàn)橛袝r(shí)候政府動作會比較慢一些。應(yīng)該由市場競爭決定。有些國家比如美國會在政策、法規(guī)上進(jìn)行規(guī)定管理；但有些國家比如德國則交給中間商來做。

據(jù)透露，臺灣地區(qū)的政府在信息安全防護(hù)方面，會成立相關(guān)工作組，同時(shí)制定網(wǎng)絡(luò)安全發(fā)展方案、白皮書、確定網(wǎng)絡(luò)信息安全責(zé)任等級；并會定期進(jìn)行業(yè)務(wù)演練與考察，提升防護(hù)能力。據(jù)悉，臺灣正在草擬信息安全管理法，通過立法落實(shí)信息安全政策和構(gòu)建信息安全環(huán)境。

對此，臺灣黑客團(tuán)隊(duì)HITCON CTF領(lǐng)隊(duì)李倫銓認(rèn)為應(yīng)該盡快培養(yǎng)更多高級信息安全人才，給予這些人才更好的資源環(huán)境是解決之本。這時(shí)候，企業(yè)就應(yīng)該承擔(dān)更多的責(zé)任，扮演更重要的角色，而不是政府。

“企業(yè)可以建立漏洞回報(bào)機(jī)制或獎勵制度，鼓勵白帽子黑客幫助企業(yè)檢測漏洞，而不讓人才流失到黑色產(chǎn)業(yè)鏈中。” 李倫銓表示。