拉斯维加斯-克里斯·克雷布斯,政府网络安全和基础设施安全局(CISA)的创始主管,来到了拉斯维加斯黑帽他脑子里有三个问题:
“为什么现在这么糟糕?”
“你说情况会变得更糟是什么意思?
“我们该怎么办呢?”
克雷布斯试图回答这些问题,他说,在过去的18个月里,他多次从政府领导人那里听到这些问题,他在周三上午黑帽大会开幕的主题演讲中回答了这些问题。他对这三个问题的简短回答是:“这不是没有希望的。”
文章的较长版本始于克雷布斯揭示他在美国信息安全方法中看到的系统性问题。在技术层面,克雷布斯表示,我们已经解决了公司将安全视为成本中心和刹车的现有问题,并将其与越来越多的关键企业服务迁移到各种云供应商相结合。
“你无法看到云的背板上发生了什么,”他说。
克雷布斯还批评美国过于关注复杂的民族国家攻击者,而不是解决不那么令人兴奋的问题ransomware或者用他的话说,这是“政府和行业最大的集体垮台”。
克雷布斯说:“我们有点迷恋先进的持续威胁。“与此同时,网络犯罪分子一直在吃我们的午餐。”
他说,政府机构需要从要求公司遵守网络安全检查清单升级到根据结果进行评估。他们需要简化沟通渠道。“私营机构仍然很难知道该与谁合作。”
中国钢铁工业协会于2018年成立,旨在实现这种简化。克雷布斯从那时起一直领导着国土安全部的一个分支机构特朗普总统于2020年11月解雇了他确认2020年大选安全举行。
克雷布斯在美国的“信息安全”方法中看到的问题延伸到了应该这样做的小学教授基础知识但不要。他指出,尽管他的五个孩子都在他所说的良好的学校系统里,“但他们没有机会体验编程。”
克雷布斯表示,他对短期内的情况感到悲观,因为企业还没有完全消化网络风险,而攻击者还没有感受到足够的痛苦。我们不断扩大我们的集体攻击面,把更多的设备放在网上:“我们都有一种病态的需求,把东西连接到互联网上。”
但是,克雷布斯对长期发展持乐观态度,他认为,“随着时间的推移,我们的劳动力将越来越多地以技术为本。”
他指出了最近加强政府与行业合作的举措(例如,上个月的举措)“数码人才与教育高峰会”(在新窗口打开)在白宫)和攻击者的金融基础设施(本周财政部的行动是制裁加密货币混合公司Tornado Cash帮助朝鲜洗钱)。
他敦促商界领袖将网络安全作为董事会的优先事项,并为未来做更长远的规划,他提到了中国大陆入侵台湾的潜在风险。他建议:“如果你想在台湾划分你的网络,你现在就得开始了。”
至于政府,克雷布都赞同现有的措施利用其采购能力推动安全升级并建议有必要进行更广泛的改革。“我认为现在是时候重新思考政府与技术互动的方式了,”他说,尽管他没有详细说明。
片刻之后,克雷布斯承认“我也不太相信本届国会能完成这项工作”,他向在场的研究人员和开发人员提出了他的结案建议。这让主题演讲听起来有点像自助研讨会,克雷布斯敦促与会者将他们的工作建立在道德原则的基础上,找到并坚持支持他们的人。这句话获得了最多的掌声:“人生苦短,不要为混蛋工作。所以不要。”