F5 全球情报主管 Dan Woods – 问答
F5 全球情报主管丹·伍兹 (Dan Woods) 曾在地方、州和联邦执法和情报机构工作 20 多年,包括在联邦调查局担任特工调查网络恐怖主义;在中央情报局担任技术运营官,专门从事网络行动。 我们采访了他,了解他迄今为止的职业生涯、他在 F5 的工作以及需要关注的网络安全趋势。
在 FBI 工作感觉如何?
在联邦调查局,我调查了各种与网络有关的犯罪。 这些不一定是网络犯罪,而是任何以某种方式涉及计算机或互联网的犯罪。 例如,我曾与美国国家失踪与受虐儿童中心(NCMEC)合作调查儿童色情制品;我曾帮助分析与 2001 年美国炭疽病袭击(代号为 Amerithrax)相关的数字证据;我曾调查过通常由互联网犯罪投诉中心(IC3)转交的在线欺诈案件;我曾调查过恐怖分子灌输和筹款网站;我还曾调查过美国政府计算机遭到入侵的事件。 我每天的日程都取决于如何推进我目前正在进行的调查,或者我所支持的另一名特工的调查。 有些日子,我会一直在工作区查看银行对账单、计算机日志/图像或电话记录。 或者我在现场执行搜查令或进行采访或监视;或者我在接受培训、参加会议或与检察官会面。 作为一名 FBI 特工,我真正享受的一件事是,每天都是不同的,带来新的挑战。
您还曾担任中央情报局的技术运营官。 您在那里做什么工作?
我从技术服务办公室(OTS)开始工作。 这要求我走遍世界各地,教我们的人力情报 (HUMINT) 来源如何使用通信系统。 我很喜欢这个职位,但它并不严格意义上属于网络职位,因此我寻找中央情报局的其他机会。
我的下一个角色是我梦寐以求的工作——我被分配到秘密信息技术办公室 (CITO) 计算机网络利用和攻击部门 (CNEAD),该部门后来成为信息运营中心 (IOC) 的一部分,而信息运营中心是今天的数字信息局 (DDI) 的一部分。 在这个职位上,我走遍了世界各地,帮助案件官员(那些招募和处理人力情报来源的人)。 这包括利用 HUMINT 来源来访问他们具有一定访问权限的计算机和其他信息系统。 例如,如果一名案件官员 (CO) 在高价值目标的互联网服务提供商处招募了一名管理员,那么 CO 和我就会与他们会面并询问有关 ISP 环境的问题。 这可能需要在几个月内召开多次会议,在此期间,我们将为看门人提供特殊工具,并为操作的每个阶段提供培训,最终为中央情报局提供对 ISP 系统的远程访问。 这个职位还让我完成了成为 CO 所需的培训。 这使我能够更有效地支持 CO。
在这些组织工作时您学到的最重要的教训是什么?
大多数人对我在中央情报局和联邦调查局的经历很感兴趣,他们问了很多有关这些组织的问题。 然而,我所担任过的最有趣、最能改变我人生的职位是 20 世纪 90 年代早期的巡警。 我驾驶一辆有标记的巡逻车在亚利桑那州凤凰城大都会区巡逻,并响应与家庭暴力、入室盗窃、伪造、身份盗窃、枪击、凶杀、帮派暴力、犯罪破坏、非法毒品、儿童或弱势成人失踪、车辆被盗、交通事故等有关的电话。 多年来,这使我采访(或询问)了各行各业的数千人。 这些互动让我懂得了同情心、同理心、教育的价值,最重要的是有效沟通的重要性。
近年来网络恐怖主义如何演变? 最常用的工具是什么来对抗它?
正如我们所料,网络犯罪分子多年来变得越来越老练,但这还只是达到克服新对策所需的程度。 例如,当组织开始使用浏览器指纹识别来防止未经授权的登录时,不法分子开发了类似Genesis Marketplace 的平台,该平台不仅出售用户名和密码,还出售受害者机器中用于生成浏览器指纹的许多相同属性。 当组织开始使用基于短信的 2FA 时,攻击者开始使用 OTP 机器人。 攻击者只有被迫进化才会进化。 打击网络恐怖主义所使用的工具与打击其他类型的网络犯罪所使用的工具相同。 我们需要阻止不良行为者未授权访问系统,无论他们的目的是什么。
您认为各国和各组织是否已做好打击网络恐怖主义的准备,或者他们还有很长的路要走?
各国和各组织尚未做好应有的准备。 原因因州和组织而异,但一些常见原因包括: 1) 缺乏合作,有时甚至是对抗关系,直接或间接地,需要共同努力帮助组织检测和防止攻击的人们之间;2) 合并、收购或其他事件导致组织改变或快速整合完全不同的系统;3) 人员流动导致机构知识的流失;4) 恶意内部人员;5) 缺乏经过适当培训和资金充足的安全团队。 很多时候,国家和组织试图自己内部解决所有挑战,但更好的选择是将某些职能外包给第三方。 例如客户身份和访问权限管理、安全设备和系统的监控和管理、收集和分析行为生物特征、识别和预防恶意机器人。 这些都是可以而且应该外包的领域。
打击网络恐怖主义的主要错误是什么?
这又取决于参与战斗的人,但如果我必须指出一个主要错误,我会说是缺乏合作,有时甚至是对抗关系,在直接或间接需要合作帮助组织检测和防止攻击的人们之间。 这可能是安全团队和网络运营团队之间的摩擦、安全团队和业务部门之间缺乏协调,甚至是组织与组织所在州或多个州之间的目标冲突。 主要的错误不是技术问题,而是人为错误:以牺牲其他领地为代价来发展或保护一个领地、囤积预算、沟通不畅、政策和程序过时、以及整体缺乏领导力。
近日,欧洲防务基金(EDF)拨款6700万欧元用于提升其网络安全能力,并开发打击网络和信息战的工具。 这些就足够了吗?还是需要进一步投资?
远远不够。 这个问题永远无法解决,但若想渐近地找到解决方案,其成本将高达数十亿美元。 我上面描述的人类问题也需要得到解决。
描述您作为 F5 全球情报主管的职责。
我与数据科学家、工程师和分析师合作,检查每天流经 F5 网络的数十亿笔交易。 这些交易与世界各地的人们每天在网上进行的活动有关。 当我们分析与这些交易相关的客户端信号时,我们发现了恶意攻击的证据、他们使用的攻击基础设施、新的攻击工具和新的货币化方案,我们通过定期威胁简报与客户分享这些信息。 我们还利用这些发现作为反馈回路,不断提高 F5 安全产品套件的功效。
您认为未来几年的网络安全趋势是什么?
组织必须展望未来并为下一次威胁做好计划。 然而,组织往往花费更多的时间和精力去推测接下来会发生什么,而不是解决当前面临的实际问题。 例如,撞库攻击仍然有效。 这指的是恶意行为者购买或获取在一个或多个组织中有效的数百万甚至数十亿个用户名/密码对,然后以编程方式尝试攻击其他组织的登录应用。 由于消费者有重复使用用户名和密码的习惯,这些攻击最终会危及 0.1% 到 3.0% 的账户。 只要这些攻击继续有效,攻击者就不会有任何进化的动力。
此外,随着组织开始更广泛地使用 2FA,攻击者将继续寻找方法来击败它,例如 SS7 入侵、电信公司内部人员、移动设备恶意软件、社会工程、OTP 机器人、端口输出和 SIM 卡交换。 展望未来,组织不应部署会增加用户摩擦的安全对策,而应更多地依赖客户端信号来帮助验证用户身份。 这些包括行为生物识别,以及来自设备、用户代理和网络的信号。 综合起来,这些信号可以提高安全性,而不会增加用户摩擦。
_______
请参阅 Dan Woods 的最新博客文章以了解更多内容。