米歇尔·汉森(Michelle Hansen)博士是马里兰大学全球校区的教授,教授网络安全和数字取证的研究生课程。她在诺瓦东南大学获得计算机信息系统和网络安全博士学位。她对隐写术(在另一个文件中隐藏文件、消息、图像或视频)的研究促成了一种“隐写”工具的开发,该工具与互联网浏览器一起运行,以检测隐藏的威胁。在加入UMGC之前,她是一名独立的网络安全顾问,为中小型企业进行风险分析、渗透和脆弱性测试以及全面的安全评估。在UMGC期间,她在修订课程、获得项目认证以及网络安全项目获得国家安全局学术卓越中心的殊荣方面发挥了关键作用。
瓦洛丽·金(Valorie King)博士是马里兰大学教授及全球校区网络安全管理和政策的项目主席。她获得了信息技术硕士学位和UMGC研究生院的首席信息官证书,还获得了IT组织和管理的博士学位。她拥有30多年的执行级 IT 顾问、策略师、项目经理和软件/系统工程师的经验,其中5年是作为高级 IT 政策分析师在国防部度过的。她还是IEEE专业技术协会的高级成员,拥有CISSP、CISA、CISM、PMP和PSEM认证。
2009年,奥巴马总统称网络安全是美国面临的最重要的挑战之一。十年后,这是一个明显而现实的危险。亚特兰大、巴尔的摩和新奥尔良的政府办公室都遭到了重大网络攻击。据网络安全公司诺顿(Norton)称,仅在2019年就有40亿条记录被打破。
世界比以往任何时候都更加紧密相连,但技术发展的速度超过了我们保护它们的能力。这就是美国劳工统计局(Bureau of Labor Statistics)预测,2018年至2028年间,网络安全从业人员(信息安全分析师)的就业市场将在全国范围内增长 32% 的原因之一,这一增速是所有行业全国平均水平的6倍以上。但是,未来的网络安全专业人员将面临哪些威胁,他们需要哪些技能来应对这些威胁?
哪些技术容易受到网络攻击?
马里兰大学全球校区(UMGC)网络安全和数字取证教授米歇尔·汉森说:“随着技术的进步,网络安全威胁和攻击有了大规模的发展。”“随着每一种新设备和新兴电信技术的发展,都会出现新的可利用漏洞。”
无论何时推出一款新的智能手机,新的硬件和平台都会随之而来,网络攻击的时机已经成熟。随着物联网进入主流,最无害的家电可能成为一个弱点,特别是当制造商可能以降低成本的名义削减安全功能时,连接在一起的设备链的强度仅与其最弱的环节相同。廉价的消费级无人机可能是基于乐趣和便利性而销售的,但网络安全专业人士知道,它还可以代表发起分布式拒绝服务(DDoS)攻击、提出高级持久威胁(APT)以及部署勒索软件的能力,这些都可能损害公共和私营部门。
汉森博士说:“今天的网络安全专业人员需要将组织所采用的技术纳入他们的安全基础设施中。”“云存储、移动设备、远程办公和虚拟化现在是许多商业模式的一部分,因此需要在任何安全计划中予以考虑。各组织必须采用综合安全解决方案,以弥补防御方面的所有漏洞,并积极发起进攻性方法,以减轻网络攻击。”
网络安全专业人员生活在一个预防、检测和应对的警觉周期中,这个周期加快了。网络攻击比以往任何时候都更加复杂,不仅损害个人数据,而且损害国家基础设施,甚至网络犯罪本身也在从一个单独个体的工作演变为有组织犯罪企业的模式。UMGC网络安全管理和政策项目主席瓦洛丽·金(Valorie King)认为,网络犯罪的专业化是网络安全领域最新出现的威胁之一。
“网络犯罪已成为通信即服务或网络犯罪即服务。”金博士说,“利用软件包(用于攻击系统和网络的预写应用程序)已经过渡到平台即服务模式,攻击者可以在支持和提供攻击的计算基础设施上租用时间。这种采用服务驱动的网络攻击商业模式,使得任何人都有可能进入网络犯罪领域。”
但现在出现了一个更隐秘的威胁,一个来自网络安全行业本身的威胁。随着个人在网络安全实践方面得到更好的培训,其中一些人可能会利用他们的培训达到犯罪或恐怖目的。当如此重要的事情被放在更快、更聪明的工作上时,很少有时间被花在家庭伦理决策和道德推理上。而且,如果人们要接受培训,使用那些在网络安全从业人员的能力范围内,能够造成远远超过一支枪所能造成的损害的技术,这个问题可能需要得到更周密的解决。
网络安全专业知识与道德推理
金博士说:“考虑到道德推理对个人决定从内部对组织造成伤害或损失的影响,我们有必要更加关注那些在内部获得信息的人的道德和伦理基础。”“另一种选择是始终以零信任的模式运作,在这种模式下,对每个人和每个行动都进行监测和分析。有人需要问,这是否是我们希望生活的社会类型;或者换言之,哪一种威胁更大——信任道德和伦理不充分的人,或者在不信任网络安全从业者的行为的环境中操作?”
打击敏感信息、知识产权和危险武器的扩散一直是复杂的。网络安全工具在很多方面模仿了这些,但在某些方面,执法和防御更为复杂。目前,有人担心受过美国教育的网络安全专业人士将他们的技术卖给独裁政府,这些政府可能会不加选择地使用这种能力。
网络攻击几乎可以来自任何地方。然而, 反应的过程通常是相当一致的,与其他领域的第一反应者的过程类似。正如美国国家标准与技术研究所(NIST)所概述的,该过程可分为四个阶段:准备,检测和分析,遏制、根除和恢复,事后活动。高等教育项目,比如金博士在 UMGC 的项目,通过桌面练习、现场练习和其他形式的培训来强化这一过程,这些培训可以强化技术技能、商业技能和软技能。
金博士说:“你不能捍卫自己不理解的东西。”
需要哪些网络安全技能?
在未来五到十年内,技术技能仍将是网络安全专业人员的重要资产。今天重要的云架构和云部署策略在技术生命周期中从新兴到成熟再到遗留的过程中仍然很重要。数据科学和数据分析的重要性将继续上升。但随着新的商业模式的出现并与技术创新相结合,也将需要商业技能和软技能。
金博士说:“保护一个商业企业需要你了解这个企业是如何运作的。”“随着新的商业模式的出现,网络安全专业人员需要意识到这些模式,并学习如何在这些之前未知的模式下运营业务。”
网络安全的未来并不是单一的,一个人不能专长于一切。Java和Python的核心技能提供了一个良好的开端,研究生教育建立在广泛的基础之上,但是不同的雇主和专业认证将分裂为不同的领域。
“你是否出于保护和服务的愿望而寻求这份职业?”金博士在采访中谈到,“或者,你是想通过经济上的奖励和福利来谋求这份工作,让自己和家人过上更好的生活吗?或者,你是被别的目标或欲望所驱使?这些问题没有正确的答案,但了解你的动机将帮助你找到适合自己的组织。把你的研究重点放在组织所需要和重视的技能和知识类型上,这些组织的文化与你自己和职业的目标相一致。”
选自《信息安全与通信保密》2020年第六期
记者:马特·兹布罗格(此访谈内容由编辑部翻译整理)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
