Nemertes Research公司的CEO， Johna Till Johnson认为企业们需要重新思考他们的网络安全架构。因为基于网络边界架构已经不起作用了，而专业的网络犯罪经济正在兴起，并且受到黑客攻击所带来的后果也更严重。在本期问答中，Johnson解释了这一转变涉及的各个方面，包括可以使安全团队工作更便捷的技术，创建新的预算模型，改变组织架构以应对更高级别的网络威胁。

你认为现在就需要新一代的安全架构。为什么是现在?

Johna Till Johnson：有几个原因。第一基于网络边界的架构已经失效。我的意思是，在过去的15年或20年内，有一个非常安全的方式来构建安全基础设施，在很大程度上依赖于内部互联网与外部互联网的概念。因此，在90年代，有了防火墙概念，同时以最原始的形式，引入了安全Web网关。

原理就是你可以保护你的基础设施不受攻击，只要将防火墙设立在内外互联网之间的边界上。假设攻击来自于外部，内部是安全的；如果你是网络军团的话，这是相当正确的假设。你认为你的团队和外部威胁互相作战。但是，你没有考虑两件事。一个是内部威胁，来自于内部的破坏，第二，(我认为这更重要)是外界入侵的能力，破坏防火墙，进入网络内部，造成各种破坏。

基于网络边界的架构，也没有考虑到大规模向云和移动化的转移，这就将网络资产置于边界之外。所有这些原因，基于网络边界的架构已经不起作用了，必须考虑无边界的架构。

另一大因素，外部黑客能够感染电脑，侵入内部网络：这就是专业的网络犯罪经济的兴起，这听起来也许不太现实，但本质上意味着在经济中，每位玩家都可以在他或她的领域拥有专长，而从历史对比来看，这类专业化的经济发展规模更大。原始的狩猎/采集经济，所有劳动过程都由个人完成，经济规模无法超越部落范围。你可以有很多的小部落，但本质上你只能支撑部落范围内的人。

人类经济快速发展，分工劳动逐渐兴起：有人推磨、有人种地、有人打猎、有人编织等等。实际上在网络犯罪经济中也是如此，有些人精通创建僵尸网络，有些人精通洗钱，还有些人精通漏洞探测，而这些事情也可以进行交易和出售。所以你花一笔钱，就可以打造一个僵尸网络，找出一系列漏洞，发现一系列攻击目标，寻找你可以攻击的信息列表，实现黑客攻击。这一切只需要你购买这些预制的模块。这让网络犯罪更危险。

最后，之所以要重新考虑架构，是因为受到攻击的后果日益严重。我们不仅看到，因为黑客攻击，CEO辞职，董事会下台，我们也看到，法律法规也逐渐实施，并且，如果外界认为公司存在漏洞，却没有采取措施，公司本身也会面对巨大压力。所以在过去的10年，15年内，一直都认为如果你设置了防火墙，和安全Web网关，你就能够防止恶意软件。你已经做了你所能做的一切，如果攻击发生，只能说明黑客太厉害了。

而现在不再是这样。你必须对任何漏洞负责，如果你是一个企业高层，你也许不得不承担网络攻击的后果。这也给企业带来很大的压力，必须重新思考他们的安全性。总结起来，原因就是，无网络边界架构的失效；专业的网络犯罪经济的兴起；以及受到攻击后，对于个人职业生涯的影响，以及法律法规的角度考虑。

除了专业的网络犯罪经济以外，你会发现会有专业人员开发这些模块，而脑力劳动和某些犯罪行为之间成负相关。例如，洗钱显然是违法行为，但是并不需要高智商人员就能完成；一直以来，都有洗钱行为。

发现某些漏洞，并进行黑客攻击是非常危险的，但不一定违法，而且事实上，要视其为违法也是非常危险的。不仅仅是专业化分工，还有风险的分布，会带来可以随意雇佣网络恐怖团队，进行攻击的可能性，随着国家之间相互对抗，我们仿佛进入了科幻小说的世界。

在这一切变好之前，会先变得更糟，因为涉及的利益很高。金钱利益很大。显然，黑客愿意承担更高的风险，因为有更大的金钱利益，同时也值得花时间和精力培养这样的技能。

所以，这比大多数人想象的还要严重。每个人都仍然停留在过去，认为，“哦，黑客都是那些住在父母客厅里的十几岁的孩子。”他们不是。我不会指名道姓，但我知道，在有些国家，会大规模的训练和付钱给那些能够善于发现漏洞的人，有相当于一个制造工厂的面积，大楼里的房间内都是聪明的年轻人，操作计算机，寻找漏洞，不断的扫描，因为涉及的利益很高。

你刚才说，“在这一切变好之前，会先变得更糟。”这说明，一切还是会变好的。

Johnson：我们建议实施新一代安全架构的一个原因，就是我们正处于重大改革的边缘，几乎所有和软件有关的一切都会涉及到自动化。因此，有很多过去都是通过手工完成的工作，将会用更自动化的方式实现，这对于机械制造工厂也会带来类似的影响。

我观察到使用起重机自动化进行装卸集装箱的船舶作业。整件过程是由一个在控制塔里的员工，操作计算机程序，确定这些巨型集装箱装卸的地点和时间，然后起重机会将它们抬起和移动。不再是成千上万的码头工人做这些了。

在软件世界里，同样的事情也即将发生，这就意味着当你开始建立这个无边界的架构时，你可以自动化很多以前是手动的防御措施，改善它的可扩展性，最高程度上提高它的坚固性。这并不意味着你就一定是安全的，因为任何你能够访问的，黑客也可以。但是至少，会使攻击更困难。

CISO和CIO们能做些什么，才能构建新一代的安全架构呢？

Johnson：有一系列的事项，并不是针对首席信息安全官个人的——而是更广泛地应用于整个IT部门，但我必须强调预算的重要性，而CISO真正需要做的是重新配置预算，不是基于IT预算的一个固定百分比，而是基于风险所带来的影响。十年前，类似我们和Gartner这样的研究和分析公司会探讨IT预算中应该分配在安全性上的比例。也许我们会建议8%，他们会建议4%，最后你决定分配6%。我们遇到很多客户，他们会问， “嗯，Gartner向我们建议的预算是这个数额。你认为我们应该花费多少？”

事实是，这是错误的模型。如果你在安全性上的预算是整个IT预算的一个固定百分比，这样思考就不全面。你需要考虑的是，如果公司的客户信息被黑客攻击，根据风险评估，作为公司的损失有多少：包括，客户损失、利润损失，由声誉带来的市值损失？ 假设这个数值对于一个大企业而言， 大约是1亿美元。那么，发生这种情况的几率是多少？无论几率是多少，那就是你必须花费的，用于防止这种风险发生的预算。你会发现的是，如果你的预算是为了避免 1亿美元或10亿美元的风险，预算以非常大的数量级开始增加，这和以往考虑IT预算的方式非常不同，我们也不要忘记，过去10年内，在大多数企业内，IT预算在不断缩减。因此，我必须强调重新评估预算配置模型的重要性。这不仅仅是你说，“CEO先生或女士，我可以有更多的钱吗？”这更像是，“我们需要重新评估安全性。”

同样，你真的应该重新审视你的组织架构。在很多企业内，CISO向CIO汇报，而CIO向CFO汇报。这完全不合理。CIO应该和CISO平级，而且我认为他们都不应该向CFO汇报。

除了汇报架构以外，CISO应该与企业风险管理团队建立一个强有力的，良好的关系，你应该在你的企业内有一个稳固的风险管理团队。 如果你的企业规模太小，不足以同时负担风险管理团队和CISO，你至少应该有一个人兼顾这两者，虽然很难找到这样的人员，但并非不可能，因为你可以寻找一位擅长风险评估的人员，在网络安全方面加以培训，然后他或她聘用适当数量的优秀的安全架构师，这样就能保护企业的安全性。如果你只是聘用一位优秀的安全人员，让他或她成为CISO，你就不会获得整体风险保护，更重要的是，无法整合入公司的风险保护战略和风险降低战略。所以，重新考虑组织架构是关键。

我还认为，未来的五到七年，你应该有一个团队，专门关注新兴的安全技术。

这一领域会有很多投资。会出现很多新兴技术，会有很多初创公司；任何人都很难一直处于技术的顶端，但你必须进行投资。(应该选择和我们这样的企业合作，因为我们善于这一领域。) 我认为，这一领域对于很多企业而言，都是全新的，因为直到三年前，安全技术才开始发展。

总结起来就是，重新审视基础设施架构，重新审视预算模式，提出倡议，以确保你关注新兴技术和重新审视你的组织架构。

IT部门还需要解决哪些与安全有关的问题？

Johnson：我不认为会有现成的云安全解决方案，无论是针对应用安全，或物联网的安全。我认为有很多很有趣的，新兴的技术，有一些供应商声称他们已经解决了主要的问题，也许他们中的一些的确做到了，但是这些都是针对终端用户企业的领域……还没有在安全性方面投入足够的资金和技术。

另外，随着企业快速引入DevOps概念，软件开发有了新模式，需要更可靠、更少的错误，而且比以前开发的速度要更快。有些人会认为“DevOps并没有真正的安全组件。”实际上，事实证明，如果你正确实施DevOps，你的软件也会更安全，但也会面临一些挑战，因为DevOps模型的概念之一就是，在每个项目中，涉及的人员和团队规模很小，而他们都有专业技能。而在这一小规模团队中，无法包含足够的安全运营人员，因此这一团队的可扩展性将是一个挑战。我认为，将SecOps引入DevOps概念中，是另一个未解决的问题。