网络安全新挑战：时代的变迁与应对措施

关键要点

• 网络犯罪分子的攻击策略正在发生变化，目标不再仅限于政府机构和企业。
• 去年美国的医疗行业数据泄露事件影响了4500万人，显示威胁的严重性。
• 政府与网络安全行业需要加强信息共享，共同提升国家网络安全水平。
• 提高公众对网络安全基础知识的理解至关重要，以应对日益复杂的攻击手法。

随着网络犯罪分子在阴影中潜行，他们的战术也在不断转变。攻击者不再只是专门针对政府机构或个别企业以窃取数据或勒索资金，而是越来越倾向于寻找机会，尽可能多地给美国公民造成伤害。

根据CriticalInsight的报告，去年美国的医疗行业出现了创纪录的数据泄露事件，影响了4500万人。其他高知名度的攻击，如SolarWinds和ColonialPipeline的安全漏洞，使数百万美国人遭遇服务中断和不便。

随着我们的对手——无论是独立行动的黑客，还是受到国家支持的犯罪团伙——行为变化，我们作为一个国家和行业，需要重新思考如何共同保护我们的数据和关键系统免受网络攻击。

行业内专家的看法

网络安全领域的顶尖专家对此表示一致同意。美国网络安全和基础设施安全局（CISA）的创始主任克里斯·克雷布斯（ChrisKrebs）本月在拉斯维加斯举行的BlackHat大会上指出，许多企业领导者未能在决策层面优先考虑网络安全，很多人甚至不知道在遭遇网络事件时应该向哪个政府机构寻求帮助。与此同时，克雷布斯表示，网络犯罪分子正在“抢走我们的午餐”。

改善防御与责任

然而，我们手中已经拥有应对这些挑战所需的工具。为了更有效地抵御网络犯罪，网络安全行业与联邦政府必须更好地信息共享，并对那些未能遵守基本网络安全标准的企业追究责任。

双方都可以采取行动改善国家网络安全。对美国政府来说，明确和集中数据泄露报告要求，并增加信息共享的激励，将更易于并鼓励私营企业披露其数据泄露及对网络犯罪的相关信息。

同时，网络安全行业通过标准化和激励参与ISAC信息共享，可以提升私营部门的安全卫生。私营部门可与联邦贸易委员会合作，扩大监管，惩罚那些在数据泄露后被发现安全措施不当的公司。

提高公众意识与知识

私营部门与公共部门还可以共同努力提高社会的网络安全基础知识。联邦政府对促进高中网络安全教育、为面向网络安全的大学生提供奖学金、推动网络安全职业培训项目提供资金和行业支持，将大大有助于填补这一行业的人才缺口。此外，为了帮助那些缺乏资源或对正确的网络安全做法不了解的企业，联邦政府可以建立类似FEMA的组织，提供指导，或创建网络援助项目，雇佣经政府培训的网络安全专家，无偿帮助私营企业。

联邦政府并不一定需要网络安全行业的同意，就能够对抗网络犯罪分子的变化战术。政府可以赋予国家网络主任办公室协调执法、军方、平民、州和地方政府各组织间所有网络行动的权力和资源，形成一个整体性方案。这将是提升全国沟通和信息共享的重大进步。

无论网络安全行业与联邦机构如何合作，我们必须强化公众对网络安全基本知识的理解。根据 ，超过80%的成功数据泄露事件涉及到身份验证信息被盗或未修补系统与软件的入侵，这两类都是相对基础的攻击手法。这意味着我们必须将重点放在“基础知识”上，提高大多数组织及其教育人员的网络安全意识。

我们需要把事情做好。尽管这些安全控制并不复杂或“吸引人”，但我们依然未能很好地执行这些相对简单的控制措施，而它们依然是组织和个人所面临的一些最大风险。购买被盗的凭证、网络钓鱼、社会工程和扫描未修补的系统与软件，这些技术在实际生活中