对话前美国网络防御局局长 - 国家安全视角下的威胁情报、CISO如何跟高管沟通

克里斯·克雷布斯（Chris Krebs）以前担任网络安全与基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA，即美国人口中的网络防御局）局长，现在是Krebs Stamos集团合伙人兼SentinelOne顾问。下文是在Mandiant（谷歌云）主办的mWISE 2023大会上，CyberWire媒体对克里斯的采访记录（为了便于理解，对话经过轻微编辑）。

CyberWire：我知道您一直强调技术系统已经成为企业风险管理和商业战略中不可或缺的一部分。那么，请问安全主管和团队尤其需要做些什么，以平衡技术系统、安全风险和商业目标之间的关系？

克里斯·克雷布斯：这个问题提得好，我有两个直接的想法。第一，我们需要安全团队和负责人来确保他们进行战略性的思考，而不是过于关注每天的新技术或产品采购，这些新东西可能会分散他们的注意力，而不是解决真正的安全问题。这是为了确保公司能够更好地理解和管理更广泛的风险，而不仅仅是应对短期的挑战。我认为，关键是要从全面分析和理解企业面临的威胁模型做起。我们确实看到，许多企业陷入勒索软件的困境，这无疑很重要，也可能是任何企业面临的最大威胁。但与此同时，越来越多的组织正符合对手的战术计划。最近微软披露的闪电风暴和红色风暴行动就表明，外国正在积极准备冲突。他们会在开战前先取得信息优势。其中就包括打击关键基础设施，削弱支持军事和民生的能力。所以，我认为各企业需要退一步思考，自己如何适应对手的计划。从安全角度来说，我需要做些什么来提升安全能力？与此同时，和政府加强合作也很关键，要确保掌握可能面临的威胁。这非常正确，这也是需要着手的地方。但具体要如何实施，其实很复杂。可以从建立威胁模型开始，对现有安全计划进行差距分析，然后制定执行路线图。仅靠CISO或安全团队很难在现实时间框架内有效推进这些举措。这确实需要高层管理参与，加上一个能够用商业风险语言进行沟通的团队。这涉及企业声誉、股东利益、运营稳定性，最后还关系到国家安全。所以我认为，关键是要用管理层和董事会能理解的方式传达安全风险。我们安全界有自己的专业术语，对一些外行人来说就像天书一样。那么，如何将这些转化为可操作的业务目标和语言？同时，如果没有管理层和董事会的全力支持，我从未见过哪个CISO能独立成功。即使你是谷歌的菲尔·维纳布尔斯，没有主管支持也会很难做事。所以，获得决策层支持对CISO很关键。然后，我再次强调，要保持战略视野。不要被采购和新技术迷惑。这是场马拉松，不是短跑。最后，也要意识到合作很重要。要通过行业协会了解同行动态。

CyberWire：您提到从威胁模型出发是制定安全战略的起点。我们在网络威胁情报（CTI）领域确实非常擅长追踪和归因各种网络攻击活动，利用MITRE ATT&CK框架对各种威胁行为者进行了归类。但归因到具体人时就比较困难了。那么，对一线的网络防御者来说，知道攻击者来自俄罗斯、伊朗还是朝鲜重要吗？ 

克里斯·克雷布斯：从战略考量，我认为知道还是很重要的。确实很难，我们在许多方面正在获得更好的信息洞察力，但与此同时，对手也在进步。所以你开始看到一些故意制造混淆，模仿其他组织的迹象，这会让人对真实归因产生误解。但我还是认为，理解对手的目标和动机很关键。您说得对，我们在归因方面和了解具体TTP上取得了进步，这有助于应对日常防御工作。但是从长远来看，在未来三四年的地缘政治发展趋势下，您必须更深入地理解对手的总体目标、可能的行动方向、正在准备的事情，以及自己如何适应对方计划。这其中的考量已经超出了国防工业和金融业，还涉及物流、旅游等领域，影响我们在冲突中的兵力调动。这依赖民用后备航空队，也就是利用民航资源进行部队空运。所以现在商业航空公司也成为外国力量调整的直接目标之一。

CyberWire：嗯，考虑到这一点，您认为企业是否应该制定一个共同的网络安全情报需求清单？

克里斯·克雷布斯：是否共同取决于行业。它取决于企业所在的行业和子行业，也取决于其供应链依赖关系。是否有行业共同的网络风险登记本，我认为是肯定的。但是如何向风险登记本提供信息，以及根据威胁模型整合分析，在这个过程中需要对不同行业和子行业进行定制。

CyberWire：好的，我们来换个话题。自您离开CISA后，该机构一直被视为美国政府吸引和留住网络安全人才的主力军。请问，根据您的经历和现在的观察，政府部门最需要哪些网络安全技能？

克里斯·克雷布斯：这个问题提得好，我认为最近几年一个真正的转折点，特别是在CISA，是培养将安全风险转化为业务语言的能力，这一点与私营部门的需求实际上没有太大区别。如何向不仅了解技术的安全防御者，也需要考虑预算和政策的管理者传达风险，这是我们在我任内特别强调的能力。我举个例子，2020年1月，美军空袭击毙伊朗革命卫队总司令苏莱曼尼时，我们不仅向一线安全人员提供了一些关于伊朗网络威胁及代理组织常见TTP的战术信息提示，还提供了面向管理层的版本，解释这对私营企业意味着什么，以及他们过去在受刺激时会攻击银行和关键基础设施的先例，他们如何在本地区和战略层面发动网络攻击。我们在传达为什么某事件与商业目标相关方面，而不仅停留在技术层面，需要加强能力建设。我认为这需要能用商业术语进行交流的人才。另外，我也看到CISA继续强化实地力量非常重要。就在前些时Jen Easterly宣布了设立各州网络安全协调员，我了解他们正在招聘面试中。我认为这样可以提供针对各地区的专人选举支持和网络安全建议很好，否则从华盛顿统一部署很难适应各地的实际情况。

CyberWire：您提出了很好的观点，我们网络安全界过于强调寻找“全能天才”，实际上应该关注团队建设和培养。我们不应该只找那些少数天赋异禀的人，而是应该加强培训平时的网络安全从业人员。

克里斯·克雷布斯：我同意您的看法。我认为最近出台的一些政府招聘计划，比如网络人才管理体系，相比仅按行政职级招聘，可以吸引更多有技术背景的人才加入，而不限于传统的文凭门槛。我们知道，信息安全领域有很多大学辍学的自学高手，如果机械地按等级体系招聘，这些人才就无法进入体制。所以这方面的改革很关键。当然，政府招聘也存在其他挑战，过程冗长，官僚气很重，安全审查也是一个难点。所以我们还需要继续努力，不要对岗位要求过度设限。在我任职的阿斯彭研究所网络安全小组，我们也提出了一些建议，比如不要对求职条件设置过高门槛。我也支持在政府和企业部门之间建立人才流动机制，让CISA招募一些有企业经验的人员，这对CISA了解实际的网络运维需要非常关键,有助于制定更贴近实际的政策建议，而不只是停留在纸面规划层面。

参考资料：

https://thecyberwire.com/podcasts/special-edition/54/notes