五角大楼计划雇用另外4,000个网络安全专业人员,用于国防和罪行,将改善具有合适技能的人的就业和薪酬前景。
在这一点上,大多数网络安全专家都同意。然而,他们不太相信这将显著改善美国的安全,避免灾难性的网络攻击。
[技术技能在低需求]
计划,泄露上个星期华盛顿邮报》在正式宣布之前,将在接下来的几年内扩大五角大楼的网络安全部队500%,从900%到4,900名军事和文职人员。
应国防部的Cyber命令的要求,它也将扩大力量从很大程度地防御到冒犯的焦点 - 网络安全专家之间具有高度争议的举措。
翻译防御秘书莱昂·帕内塔和家园安全秘书珍妮特·纳普拉诺已经警告过好几次最近几个月从敌对国家的“网络珍珠港”或“网络9/11”越来越多的威胁。
“唯一的问题是,我们是否会采取像这样的必要步骤,提前转移袭击的影响,还是……曾与五角大楼合作制定网络安全战略的前国防部副部长威廉·j·林恩三世(William J. Lynn III)告诉《华盛顿邮报》邮政。
Cigital的首席技术官加里·麦格劳(Gary McGraw)一直强烈反对在网络安全冲突中采取攻击行动,他说,招聘和其目的都不令人意外。“网络司令部不是新成立的,我们知道他们是在进攻。你觉得呢?Stuxnet是他指的是被用来攻击伊朗核设施的电脑蠕虫病毒。人们普遍认为,这种病毒是由美国和以色列政府发起的。
“这只是为了增加人手,”他说。
该报告称,五角大楼计划专注于拥有新员工在美国提供三大漏洞。“国家任务力量”保护电脑系统,保护电网,电厂和其他基础设施认为对国家和经济安全关键的基础设施;“战斗特派团”帮助国外指挥官计划和执行攻击或其他攻击性运营;和网络保护部队“来强化国防部的网络。”
应用控制解决方案的管理合伙人Joe Weiss说,所有这些目标都令人钦佩,但如果没有正确的技能组合,无论雇佣多少人或花多少钱,都可能无法提高安全性。
(参见:美国挥舞先发制人的网络攻击军刀]
“我是工程师,所以我知道该怎么做工业控制系统(ICS)工作。不幸的是,许多IT人员并不这样认为。“考虑到ICS技术的现状,可能会有一个网络珍珠港,但我们可能不知道。控制系统的网络取证极少。”
魏斯补充说:“如果一个植物关闭或吹起,你就无法隐藏,但是你可能会或可能不知道网络是否与之有任何关系。”
他认为,部分问题在于IT安全行业专注于恶意攻击。在300起工业控制系统事故中,已经有4起造成人员死亡,4座核电站被完全关闭,4次“与网络相关的电力中断”,以及“一家水务公司将超级基金站点的水泵入饮用水系统”。
“但他们无意中,所以他们都没有围着他们的”网络“一词,”他说。“即使某些东西是无意的,它是真实的,它显示出可能产生重大后果的漏洞。”
“我们需要控制系统和网络专家的人,或者至少愿意共同努力,那些人不够,”他说。
Paul de Souza是网络安全论坛倡议的网络战部门的创始人主任,他同意那些拥有正确技能组合的人供不应求。他说:“在美国,主要的问题是要找到有充分实践经验的网络行动专业人员。”
一直在多年来一直在Mantra提供“建立安全”的加里麦克劳说这是一个旧的问题。
“我们需要的是安全工程——建立更难被攻击的系统,”麦格劳说。“我们可以雇佣大量的系统管理员——我们需要其中一些人来配置网络和构建防火墙——但我们也需要软件安全专业人士,他们将构建更好的系统。”
McGraw、Weiss和其他一些人说,如果美国发动攻击,将会带来更多的麻烦,因为网络攻击者仍然很容易掩盖他们的踪迹,或使其看起来像是来自无辜的一方或国家。麦格劳说:“如果你知道你要对付的是谁,比如伊朗,进攻是没问题的。”“但如果你不确定是谁,那就有问题了。你要当心假的。”
尽管美国官员坚称,他们更清楚谁发动了袭击,从哪里发动,麦格劳和其他人并不相信。麦格劳说,如果攻击针对的是错误的组织或国家,“它发生得太快了,你不能说‘哦’。”
韦斯警告说,这可能会产生反作用。他说:“国际上大约有20家这些(工业控制)系统的供应商,这些系统在一些对美国不太友好的国家使用。”“他们做了他们的设计做得很好,这是可靠和安全的运行多年。但是,安全并不是他们设计的一部分。如果你开始让它们成为公平的目标,我们就会有很多麻烦——不仅仅是在这里,而是在整个世界。”
这个故事,“五角大楼招聘狂欢不会保证更多安全性”最初是发表的CSO 。