今年7月份以協助政府監視公民而聞名的黑客團隊Hacking Team被黑，400GB資料外泄;8月份烏雲爆料在這400GB資料中發現我國一直是網絡攻擊的受害者，一些亞洲地區國家對我國進行了網絡攻擊竊密;詐騙短信、手機病毒、隱私竊取等智能手機屢報安全事件……

　　大到國家，小到個人時時刻刻面臨著網絡信息安全的威脅，網絡也成為可怕的軍事武器之一，而且讓人毫無防范的遭受攻擊。

　　正在台北參加趨勢科技CLOUDSEC 2015的前美國中央情報局CTO Bob Flores在接受網易科技等媒體訪談時分享了目前網絡信息安全的現狀，案例以及應對之道。Bob Flores認為，網絡安全意識教育是目前階段最難推進也是最重要的一個步驟，面對不可預期的黑客新型態的攻擊，必須要建立信息安全應變小組，及時應對“必然”會到來的網絡威脅。

　　獨家揭秘美國OPM泄露事件

　　“即使現在最領先的反病毒廠商也不得不承認，傳統反病毒軟件已死。”在美國中央情報局工作了31年的Bob Flores直言。

　　對於目前的網絡威脅現狀，他給出了一組數據：2014年在對1000個組織取證追蹤中發現有84%的組織受到了惡意軟件的入侵，而造成這些惡意軟件入侵的原因就是組織者缺乏安全意識，而且感染率在每年增加。

　　而且，黑客攻破速度越來越快，潛伏時間越來越長。根據趨勢科技2015年APT分析調查，平均一起攻擊事件的潛伏期可高達559天，被鎖定的政府(或企業)表面上安然無恙，但已經在不可預期的情況下被黑客竊取了重要信息。

　　趨勢科技台灣暨香港區總經理洪偉淦透露，現在目標式攻擊已經全面啟動，目標不再局限於政府和大型企業，中小企業也成為目標式攻擊的對象。“攻擊已經不可避免，而且無法防禦。”洪偉淦提道。

　　因此，即使最領先的反病毒廠商也不得不承認，傳統反病毒軟件已死。在對信息安全專業人士的一份調查中顯示，85%的專業人士都不相信，殺毒軟件可以阻止針對特定目標的攻擊，比如高級持續性威脅(APT)和網絡釣魚以及多態攻擊和零日漏洞攻擊。

　　無法防禦並不意味著就要不作為。Bob Flores認為在網絡安全防護工作推進過程中，安全意識教育最為重要，很多數據泄露或網絡攻擊事件都是由於企業或員工個人沒有安全意識造成的。

　　比如美國史上最大規模的信息外泄事件——美國人事管理局遭受最大規模網絡攻擊，被盜信息從400萬一直漲到1400萬、1800萬再到2150萬，比預估的數量多了6倍多，成為美國史上最大規模的信息外泄事件。美國聯邦人事管理局局長阿奎萊拉為此還辭職下台。

　　對此，Bob Flores表示，聯邦人事管理局資料外泄一案說明了政府以及企業對數據保護的意識不足，並向媒體揭秘了造成此次重大事件背後的5大原因：首先是缺乏多重認證，數據信息的保護只是基於數字簽名，讓黑客分子可以輕而易舉進入;其次，雖然有入侵檢測系統，但是沒有預防攻擊措施;第三，一些敏感的數據信息並沒有加密;第四，員工可以遠程登陸數據庫，而且沒有任何監視行為;第五，合作夥伴沒有安全保護措施，黑客最終是通過承包商用戶的憑證侵入的。

　　如何防范不可預期安全威脅?

　　“這件入侵事件其實在2年前已經發生，可是到最近才被發現。” Bob Flores透露。

　　這類針對特定攻擊對象設計一套專屬的攻擊策略，以長期、緩慢、逐漸滲透埋伏等伎倆，躲避安全軟件偵測，並竊取重要信息資產的攻擊就是所謂的APT攻擊。APT攻擊是不可能被避免的。

　　“攻擊者有非常明確的目標，他們會想盡各種辦法達到他們的目標，永遠不會停下來。因此，一個運作良好的組織一定要有足夠的資金和技術來做檢測。” Bob Flores表示。

　　在Bob Flores看來，構建一個完整的網絡信息安全藍圖需要意識、策略和具體行動缺一不可。首先，企業或政府內部由上而下，不只專業技術人員都應該有黑客防范意識，而且有具備對安全攻擊的動員能力。只有全員及時發現，及時通報才能有效打擊安全漏洞。

　　其次，建立安全防護策略，通過安全風險評估來檢視目前的安全策略。

　　“每個公司都應該建立一個良好的事件應變處理小組，除了小組的技術人員之外，還有跟人資、法務、公關相互配合。” Bob Flores補充道。

　　但是對於中小企業來說，建立事件應變小組會成為“不可承受之重”，Bob Flores建議可以先將此服務外包，隨時檢測是否能夠及時處理，如果外包無法滿足需求，這時，公司就需要建立自己的應變小組。

　　對此，網絡安全公司也是表示建立事件應變處理小組是應對APT的當務之急。

　　政府應該扮演何種角色?

　　另外，Bob Flores認為政府與企業應當投入適當資源，部署網絡安全防護。但同時，Bob也強調網絡安全防護不能只依靠政府，因為有時候政府動作會比較慢一些。應該由市場競爭決定。有些國家比如美國會在政策、法規上進行規定管理;但有些國家比如德國則交給中間商來做。

　　據透露，台灣地區的政府在信息安全防護方面，會成立相關工作組，同時制定網絡安全發展方案、白皮書、確定網絡信息安全責任等級;並會定期進行業務演練與考察，提升防護能力。據悉，台灣正在草擬信息安全管理法，通過立法落實信息安全政策和構建信息安全環境。

　　對此，台灣黑客團隊HITCON CTF領隊李倫銓認為應該盡快培養更多高級信息安全人才，給予這些人才更好的資源環境是解決之本。這時候，企業就應該承擔更多的責任，扮演更重要的角色，而不是政府。

　　“企業可以建立漏洞回報機制或獎勵制度，鼓勵白帽子黑客幫助企業檢測漏洞，而不讓人才流失到黑色產業鏈中。” 李倫銓表示。