数字安全的未来挑战

关键要点

在拉斯维加斯举办的黑帽大会上，前网络安全和基础设施安全局（CISA）主任克里斯·克雷布斯表示，数字安全面临的威胁将持续恶化，直到政府和私营部门能够围绕新的共同防御社会模型进行根本性重组。克雷布斯在会中强调，过去18个月与全球各国政府和企业的对话，凸显了网络安全现状的严峻现实。

克雷布斯表示：“我们操作在一个更大的生态系统中，企业侧重于生产力的提升和降低摩擦，他们往往认为安全会拖慢速度。”随着越来越多不安全的产品被整合进日常应用，管理风险的复杂性也随之增加。

正如SCMedia报道的，当前软件不安全的状态对网络安全行业构成了生存危机。虽然供应商在保护组织免受黑客攻击方面花费了数十亿美元，但如SolarWinds、Microsoft和Kaseya等主要供应商的软件中存在的零日漏洞，直接为对手提供了绕过这些投资的攻击路径。

克雷布斯认为，政府与行业之间需要重大的重组，以应对这一互联互通和相互依赖的现实时代。他引用了1939年富兰克林·罗斯福总统通过的重组法案，指出这是现代化政府运作的一个参考。

他提议创建一个新的美国数字机构，负责处理CISA、国家标准与技术研究院、国家电信与信息管理局、能源部以及联邦通信委员会等机构的部分职责，重点关注网络安全、数字隐私与信任安全问题。

另外，进一步加强现有机构如CISA的独立性，使其不受国土安全部的限制，能够更有效地执行其使命也是一种选择。

克雷布斯支持国会认真考虑网络空间委员会的建议，即建立专门的网络安全委员会，以实现更有效的监管并消除部门间的竞争，进而适应新的数字现实。尽管这些方案的可行性不一，但他指出，当前模型无法跟上威胁的步伐，确实需要重新思考。

在过去一年中，CISA和其他机构采取了更加积极的举措来规范行业的网络安全，但克雷布斯也承认，政府的监管往往集中于表面合规，而没有解决根本问题。

尽管近几年通过建立CISA和国家网络主任办公室等实体努力管理政府的防御性网络安全，但许多企业仍不清楚在发生安全漏洞后应联系哪个机构。

克雷布斯特别提到，美国政府对勒索软件对关键基础设施和社会功能构成的国家安全威胁反应迟缓，使得这一问题的恶化更加明显。

牢记“恶意行为者在获取胜利，直到我们施加有意义的后果并对其进行制裁，他们将继续如此”，克雷布斯的观点明确表达了对未来网络安全局势的担忧和需要采取行动的紧迫性。