Vishal Salvi的网络安全远景

尤利娅·德·巴里:欢迎来到知识学院播客，CyberBites Edition。在今天的播客中，我们将讨论我们在网络安全曲线上所处的位置。我们将介绍网络威胁的历史、CISO多年来角色的演变，并向您展示我们对网络安全的长远看法。我是Infosys知识研究所的网络安全主管和播客制作人Yulia De Bari。亚搏电脑登录今天，我和Vishal Salvi在一起。Vishal是Infosys的高级副总裁、首席信息安全官和网络安全业务主管。2020年12月，一家大型IT公司遭到黑客攻击。SolarWinds的入侵数月未被发现，并可能暴露了包括美国军方和白宫在内的政府最高层的数据。这提醒我们，即使是网络安全行业的顶级人士也可能受到威胁。

Vishal Salvi:讽刺的是，一家顶级的网络安全咨询公司受到了影响，不得不公开一个非常大的网络安全漏洞。黑客们做的第一件事是，他们发现了太阳风网络安全架构或控制系统中的漏洞。他们利用这个弱点进入他们的系统。一旦他们进入他们的系统，他们就可以访问他们的CI/CD管道，这是为他们的软件开发的核心。一旦他们进入了这个领域，他们就可以在他们的软件中编译一个错误代码或者一个后门，这个软件叫做猎户座。它变成了一个更新。所以它被编译了，代码是用黑客安装在Orion软件上的错误代码编译的，没有任何错误。在那之后，SolarWinds Orion大约有33,000个客户，18,000个客户下载了更新，成功地将后门安装到18,000个组织或18,000个实例上。

Vishal Salvi:显然，如果SolarWinds有一个良好的网络安全姿态，他们就可以阻止这一切。因为有人破坏您的CI/CD管道，并将错误代码编译到您的软件的正式发布版本中，这是极其罕见的事件。您将不得不绕过并理解编译的所有内容。在我看来，这是这个问题的根本原因。

Vishal Salvi:我认为这一课对每个软件开发组织，或每个软件产品开发组织来说都是非常重要的一课，那就是代码的完整性必须是100%。我预计会有更多的标准，这些标准将确保我们在未来对代码的完整性有更多的保证。特别是，如果我们开始看到未来发生更多这样的袭击，那么这个政权将是一个非常重要的方面。

尤利娅·德·巴里:最近的这次袭击非常复杂。为了开发应对频繁而复杂的网络攻击的最佳做法，公司需要利用尖端技术，走在潮流的前面。在这一集里，我们将试图理解我们在曲线上的位置。

尤利娅·德·巴里:这一切都是从一个无辜的实验开始的。20世纪70年代标志着实验时代的开始。就在那时，鲍勃·托马斯创造了Creeper，这是第一个成功的自我复制程序之一，它可以在网络上传播自己，从一台计算机移动到另一台计算机。

尤利娅·德·巴里:该程序没有造成任何伤害，只是在屏幕上显示了一条信息，说:“我是爬行者。”有本事就来抓我。”为了抓住这种爬行者，雷·汤姆林森开发了一种名为“收割者”的程序来捕捉病毒。死神是开发防病毒程序的第一步。但第一个真正的反病毒程序是在20年后开发的。

Vishal Salvi:我们知道，在社会和职业生活的各个方面，总有一些对手或人为了自己的利益想要打破规范和社会规则，进行邪恶的活动。

尤利娅·德·巴里:1988年，莫里斯蠕虫的出现结束了实验时代。该程序的创建并没有恶意，但它失去了控制，造成了严重的经济损失。此外，蠕虫病毒没有删除或破坏文件。它让电脑变得非常慢，基本上无法使用。

尤利娅·德·巴里:这一事件显示出计算机是多么容易受到攻击，并迫使软件供应商认真对待其产品中的缺陷。莫里斯蠕虫病毒不仅暴露了计算机的漏洞，还激发了犯罪分子的思想。1989年，纯真时代结束了。在接下来的10年里，网络犯罪奠定了基础。罪犯们意识到，破坏计算机系统可以获利。

Vishal Salvi:这就是网络安全的演变。因此，我们开始看到恶意代码的编写，并没有太多的敌对动机。但后来，经过一段时间，我们开始看到更简单的方法，人们可以通过这些方法编写病毒或恶意软件，然后提取并开始进行金融交易或未经授权的交易。

尤利娅·德·巴里:1994年，弗拉基米尔•莱文(Vladimir Levin)骗过花旗公司的系统，将1000万美元转移到不同国家的账户。最后，莱文被抓住了，银行收回了所有的钱。那又怎样?它导致了什么?

尤利娅·德·巴里:到上世纪90年代中期，企业意识到需要设立专门的网络安全办公室，花旗银行(CitiCorp Bank)设立了一个新的c级职位，即首席信息安全官(chief information security officer)。就这样，Steve Katz成为了世界上第一个CISO。花旗遭黑客攻击后，安全问题已不仅仅是一个技术问题。这是一种商业风险。但是CISO的角色和今天一样吗?

Vishal Salvi:也许他是我们所知的第一个CISO，但我觉得这个角色直到21世纪初才开始流行起来。在此之前，它可能还没有被称为CISO，但它仍然是组织管理信息安全风险的责任。

Vishal Salvi:所以在1990年，这并不是一个定义明确的角色。我差点就进入了网络安全领域，这是偶然而非刻意的。在那段时间里，我的大多数同事都是这样。所以最初，它是it运营的一部分。它被称为It安全。然后我认为角色发生了变化。在21世纪初，它开始转变为管理和领导角色。

尤利娅·德·巴里:到2000年，互联网已经在世界范围内广泛传播。黑客开始攻击服务器和公共网站。他们很快就学会了如何利用网络漏洞，造成更大的破坏。攻击者可以感染个人电脑、窃取信息、发送垃圾邮件、创建钓鱼网页，并指挥整个网络的计算机发起DDoS攻击。

尤利娅·德·巴里:在互联网时代，在互联网上传播的已知计算机蠕虫的数量呈指数级增长。到2000年代中期，这个数字已经超过了100万。频繁的网络攻击使公司重新考虑他们的安全优先级，并认识到网络攻击是一个主要的公司问题。

尤利娅·德·巴里:2004年，全球网络安全市场价值35亿美元。2000年代中期，随着各国政府意识到数字攻击可以用于间谍目的，并造成物理破坏，网络威胁变得政治化。网络罪犯开始以州、城市和关键基础设施为目标。

尤利娅·德·巴里:这影响了国家安全，并使企业损失了数百万美元。在这个时期，第一个由国家支持的网络犯罪团伙成立了。同样显而易见的是，任何拥有足够发达的网络基础设施的国家都容易受到网络威胁。但企业为什么要关心所有这些地缘政治紧张局势呢?

Vishal Salvi:这是附带损害的问题，因为池塘里有很多鱼。当你放鱼饵的时候，你不知道哪条鱼会上钩。因此，无论何时你在互联网上放置恶意软件或威胁，尽管它可能是针对特定的组织或目标。考虑到技术和数字的本质，当您接触到威胁时，您很可能会受到影响，因为您有与他人相同的漏洞。

Vishal Salvi:所以，我认为如果你看看国家支持的先进持续趋势的运作方式，我们都知道他们更喜欢隐形模式。SolarWinds袭击也是，目的从来都不是破坏，或赎金，或任何经济利益。这都是关于收集数据，你可以从任何潜在的资产中收集数据。

Vishal Salvi:所以你要把你的网撒向不同的组织。在当今互联的数字世界中，不同国家之间总是相互依赖的。有交易、货币市场、资本市场，所有东西都是相互关联的，而且是超关联的。一个大陆或一个国家发生的事情会影响世界其他地区。

Vishal Salvi:因此，当你开始传播这些威胁和恶意软件时，即使它不是为你准备的，你成为了受害者，你总是会得到一些对敌对国家具有战略利益的信息。无论你是从国防组织收集数据，还是从政府组织收集数据，还是从国家关键资产收集数据。因此，你需要担心它，因为它是真实的。

尤利娅·德·巴里:因此，在这一时期，组织变得更加以风险为导向。ciso采用了基于风险的方法。他们必须评估总体风险，并向最高管理层报告。2010年标志着扩张时代，也被称为重大突破时代。袭击的成本越来越高，可能会破坏实体基础设施。

尤利娅·德·巴里:网络攻击可能会影响公司的声誉，导致客户流失，甚至破产。在这个时代，黑客经常发动攻击，危及智能设备。并使用了激进的社会工程策略。他们还干涉总统选举，并通过传播虚假新闻来改变公众的看法。

尤利娅·德·巴里:2011年，全球网络安全市场的价值为640亿美元。到那个时代结束时，它增长了100%。2019年，全球网络安全市场的估值为1564.5亿美元。这个时代见证了物联网等新技术的引入，向云的迁移，以及社交媒体的广泛使用。这导致了新的隐私和数据法规的产生，如GDPR和CCPA。

Vishal Salvi:网络安全的有趣之处在于它一直是一个渐进的变化。在某种程度上，这是一场猫捉老鼠的游戏。人们大规模地采用了数字技术。特别是如果你看看过去的两三年，当我们谈论云的时候，我们谈论的是数据的分散。我们讨论了将数据中心反转到云和端点的问题。

Vishal Salvi:在采用开源、采用容器、DevSecOps方面有多种趋势，在技术世界中有多种事情同时发生。对于我们Infosys来说，最基本的信息就是设计安全。因此，无论何时设计或构建新的解决方案，都要考虑安全性。

Vishal Salvi:当互联网诞生的时候，没有人真正担心互联网的安全。这就是它的设计。只有当我们开始看到这些缺陷被利用时我们才开始思考我们需要做什么。当我们现在着眼于21世纪20年代时，很多董事会都直接关注组织内部如何管理网络安全。

尤利娅·德·巴里:新技术和新法规为CISO的角色增加了另一项功能。他们不仅要评估战略安全问题和未知风险，还要知道隐私法规如何影响他们的组织，数据存储在哪里，以及如何保护数据。2020年，我们进入了网络安全成为头等大事的主流时代。网络安全现在也在董事会的议事日程上。

Vishal Salvi:这个角色的变化是，它是一个负责任的角色，为董事会提供保证。但同时，董事会本身也开始在管理和确保一个组织有适当的战略意图方面发挥重要作用，在推动管理特定组织的网络安全风险方面。50%的董事会直接负责网络安全。我认为这一比例将迅速增长，在接下来的一年到18个月里将达到100%。

Vishal Salvi:因此，作为一个结果，ciso将被期望提升他们的叙述。应该能够接触到各级领导和各级董事会。并且应该能够从根本上保证这种保证是建立在一个非常强大的网络安全计划的坚实基础上。简而言之，你需要一个能够实现目标的优秀领导者。然后，也能够有效地与董事会沟通。

尤利娅·德·巴里:ciso在各组织中发挥着至关重要的作用。自90年代中期以来，他们的角色已经从主要的IT安全管理发展到多重复杂的c级职位。他们需要了解尖端技术、法规和隐私法律，评估风险，并进行董事会对话。

尤利娅·德·巴里:今天的网络安全解决方案将防御重点放在工作场所转型、云应用、数字转型和无国界架构上。亚博比分直播根据印孚瑟斯知识研究所(I亚搏电脑登录nfosys Knowledge Institute)最近发布的TechCompass报告，5G、软件定义网络、人工智能、机器学习、区块链、大数据和开源等数字技术也在上升。

尤利娅·德·巴里:据Grand View Research称，全球网络安全市场正在快速增长，预计到2027年将达到3264亿美元。那么，我们能从历史中学到什么呢?我们会面临更多的网络攻击吗?网络安全的未来是什么?

Vishal Salvi:如果我可以把一个水晶球放在我们未来能期待什么方面，它必须从我们所处的环境来看待。我们知道，例如，我们所知道的互联网，将继续存在，因为我认为没有其他选择。

Vishal Salvi:事实上，如果你看到，互联网已经变得更加强大，更加稳定，甚至比你的公司连接模式更可靠。这就是为什么在大多数人都在家工作的时候，我们能够有效地沟通并保持高效的原因。

Vishal Salvi:与互联网的韧性,采用数字,事实上,我们总是看到一个高频的攻击发生,每年公平期望,这个问题只会继续增长,成为越来越多的主流当我们进入未来。因此，网络安全和专业人士的世界将继续存在至少二、三十年，就像我们在过去四十年中看到的那样。

Vishal Salvi:但与此同时，就目前的情况而言，这是一个问题，需要加以控制。因此，很难说入侵的数量能否减少，或者我们能否完全控制这个问题，因为要做到这一点，必须有很多事情要做。

Vishal Salvi:所以，如果你真的想解决这个问题，首先，我们需要从根本上解决我们能够连接的方式。这意味着现在，人类和电脑之间存在着一个很大的气隙。气隙是个大问题。归因非常困难，等等。这是第一点。

Vishal Salvi:第二，我们需要确保我们能够逮捕这些袭击并将其归罪于个人。在这个阶段，很难归因，也很难理解人。这是因为很难进行国际合作。追踪个体是非常困难的。即使我们追踪个体，我们有当地的国家法律，国际法，它不允许你这样做。

Vishal Salvi:最大的挑战是网络战争的竞争。与传统战争相比，利用网络来策划间谍活动和做间谍游戏是非常容易的，传统战争既昂贵又有物理和边界限制。所以这场竞赛需要停止，我们需要开始进行一些控制和平衡。

Vishal Salvi:这三件事在短期内都很难实现。但假设，如果这三个问题，以及我想到的这三个突出问题之外的许多问题都得到解决，那么未来就有希望减少袭击事件的数量。

尤利娅·德·巴里:因此，网络安全的未来取决于公司、政府和执法机构的选择。通过更好的合作和解决方案和软件代码的安全设计，我们可以保护我们的未来免受更复杂的攻击。

尤利娅·德·巴里:您正在收听的是知识学院播客的网络咬版。你可以在infosys.com/iki的播客部分查看我们的节目笔记和文本。我们希望这次讨论能帮助你做出正确的决定，保障你的未来。

尤利娅·德·巴里:如果你有兴趣了解更多关于不同网络安全时代的信息，请阅读我们的新文章《Long View Vision》。别忘了点击订阅按钮，给我们评分和评论。下次见，继续学习，继续分享。