雷神强调其在网络安全中的作用 - 网安 - 专业的网络安全产业、社区、知识平台

公司官员周三在与记者的网络研讨会上讨论了广泛的问题，包括人才短缺、量子计算和实施零信任。

图片：jetcityimage/Adobe Stock

雷神公司官员在周三的网络研讨会上罕见地介绍了他们对量子计算、发展网络劳动力以及零信任的采用和推进的看法。

雷神情报与空间公司人力资源高级总监梅丽莎罗德斯表示，尽管雷神公司是一家备受瞩目的国防承包商，但在大辞职期间，雷神公司在招聘网络安全专业人员方面面临着与其他公司相同的挑战。

“我们所做的工作主要是在机密领域，这使得谈论我们所做的工作非常困难，”罗德斯说。这需要想出一些创造性的方法来让人们意识到他们正在寻找网络安全人才。

一种策略是赞助全国大学生网络防御竞赛，这有助于公司雇佣很多人。Rhodes 说，今年早些时候，该部门还投资开发和执行了一个试点项目，即 RI&S Offensive Labs，以将来自相邻背景的工程师重组到进攻性和防御性网络任务领域。

该计划课程侧重于漏洞研究、二进制逆向工程和计算机网络操作。

“今年迄今为止，已有 23 名工程师完成了该计划，目标是到 2022 年达到 50 名，”她说。“当他们完成这个计划时，他们就被视为任务准备就绪。”

RI&S 网络保护解决方案高级主管 Jon Check 补充说，从事网络安全工作不需要大学学位。查克说，由于人手短缺，不能排除任何人口。该公司将多样性和包容性作为优先事项，并开始提供奖学金以吸引更多人对网络领域感兴趣。

他说，看电影“对网络安全的整个污名”暗示你必须是数学高手或“计算机天才”才能做到这一点，并强调许多加入雷神公司的人可能有刑事司法背景或金融——或曾从事反恐任务。

“他们通过了我们的内部培训，并已成为我们网络安全人员的一部分，”Check 说。“因此，我们希望真正确保每个人都明白他们可以转型并真正发展自己的职业生涯，而不会被网络安全吓倒。”

演讲者还花时间讨论了如何实施零信任，遵循拜登政府的行政命令，要求政府实体实施零信任架构。

然而，这“不是一项微不足道的任务，”雷神公司首席工程研究员 Torsten Staab 博士说。

“零信任实施需要仔细规划，因为它涉及部署许多需要协同工作才能有效的技术，”Staab 说。“对于许多组织，尤其是大型组织而言，ZT 之旅将需要数年时间，并且需要不断完善。”

他说，公司必须管理用户访问、身份和传感器，以及设置对家庭网络的适当访问。零信任不仅包括网络身份部分，还包括驻留在移动设备和云中的数据本身。

“有很多访问机会，”斯塔布说。“零信任不能只关注网络。这里的信息是每个人都必须保持防御。”

但是，除非您拥有不仅部署零信任基础设施而且配置工具、维护、升级和停用工具的熟练人才，否则这将限制组织这样做的能力，Check 指出。

与此同时，组织可以通过实施“容易实现的成果”（例如“相对容易部署”的多因素身份验证）来显着改善其安全状况，Staab 说。

演讲者还讨论了为量子计算和 Q-Day 做准备，在这一天，量子计算机将强大到足以破解当今的非对称加密方案，例如 RSA、Diffi-Helman、椭圆曲线密码学和 DSA。

“这些算法被用于世界各地的所有部门和行业，而不仅仅是美国，”Staab 观察到。“因此，每个人的通信和数据安全都将面临风险。”

例如，网上购物或网上银行交易将不再安全。

他指出，“对国家安全也有非常重要的安全影响，因为一旦 Q-Day 到来，对手就可以解密敏感和机密信息”。

量子计算机已经在药物发现、物流和运输路线优化以及模拟大规模网络安全攻击模拟等领域显示出巨大的潜力。

“虽然许多传统的网络防御技能和角色仍然与后量子世界相关并可转移，但击败量子攻击的工具将有所不同，从加密算法开始，延伸到量子机器学习等领域，”斯塔布说。

利用量子计算机需要能够开发量子算法——现有软件和经典编译器或解释器不能用于在量子计算机上运行应用程序。Staab 说，某些国家已经在推行“现在收集，以后解密”的策略。

本月早些时候，NIST 宣布了第一组四种能够抵御量子计算机网络攻击的后量子算法。

“随着这些新算法被 NIST 标准化，世界各地的组织应该尽快开始替换现有的、量子易受攻击的加密算法，”Staab 说。“这将有助于对抗我们的对手已经采用的‘现在收集，以后解密’策略。”

Check 补充说，现在是开始为 Q-Day 做准备的时候了。

他说，重要的是要有“那些应急计划，比如当你遇到网络漏洞时……同样的准备工作需要开始”，以确保公司具有弹性并能够应对量子攻击。