你能举例说明欺骗性环境的样子吗？

　　Kurtz：这不仅仅是设置一个蜜罐（honeypot），蜜罐有点像观察环境。我认为这更像是制造虚假数据，让攻击者认为他们得到了一些东西，然后陷入圈套，我认为这将有所帮助。然而，现在的情况基本是这样：当我进入一个网络时，我就是在网络中。我们要让攻击者停下来，提出这样的问题：这是一个假标志吗？我真的得到了想要的东西吗？还是我中圈套了？

　　我认为存在这样一种运行网络的方式，即你可以在你自己的网络内部运行操作来检测攻击者。企业将会与解决此类问题的政府建立有趣的关系，但现在，我并不主张这样做，不主张与政府共享所有信息。我的意思是，要像大型企业一样进行创造性的思考，我们面对着很多有趣的人，他们有着有趣的经验，我们很难判断谁是坏人。

　　所以，企业应该想清楚怎样甩开坏人。我并不主张大力回击，其实很多大型企业已经厌倦了这种回击。他们想要回击，而我不希望主张回击，实际上，在你扣动扳机进行射击前，还存在很大的思考空间。

　　这听起来有点像移动目标防御

　　Kurtz：在几年前，出现过很多关于移动目标防御的讨论。事实上，我们在这里讨论的方法超越了移动目标防御。我更喜欢回到我们能做什么。我认为，企业、政府和供应商本身面对的威胁都大于他们目前的防御水平。我们需要创建工具、可视性和技术来更好地对付威胁。当我想到移动目标防御时，它是调整姿态，其中部分还涉及创建一个环境，让坏人以为他到达目的地，但其实不然。我认为我们应该探索和创造这方面的一些功能。

　　政府能够帮助解决这个问题吗？

　　Kurtz：美国国家安全局能够看到美国外部网络外部发生的事情，这让他们见证了很多。但接下来的问题是，他们看到了什么呢？他们看到了内容或者恶意软件吗？我们知道，通过防病毒软件和各种引擎，能够帮助我们找出恶意软件。联邦政府（特别是国家安全机构）能够更好地了解全球网络正在发生的事情。国家政府机构则受到更大的挑战。我认为通过创新技术、可视性、程序和战术，我们可以让攻击者面对更为复杂的环境，而不一定要等政府来实现这一点。

　　联邦立法在短期内对网络安全有重大影响吗？

　　Kurtz：我并不是对政府失望，但我不认为在短期内我们能指望政府采取行动。我也很担心政府采取宏观的方式来行事，试图一次性解决很多问题，要知道，这不可能实现。政府如果试图通过综合法案来解决所有问题，这是行不通的。我们需要仔细研究问题的本质，以不同的方式来思考如何防御。

　　关键基础设施保护和保护关键网络的问题能够真正解决吗？

　　Kurtz：网络安全给我们这个时代带来最大的知识产权挑战，这是我们前所未见的，它是如此复杂、如此多层化。我们不断地寻找最终的‘灵丹妙药’，但这可能归结于痛苦的管理问题。最终我们将需要创建一个环境来管理这种痛苦，我们不要再用非白即黑的方式来讨论阻止攻击和抵御攻击。我必须接受我的网络存在的问题，我需要收集尽可能多的情报来帮助我快速管理这些问题。这并不像旧的FISMA环境—我每年进行一次认证，就能确保我的安全。那些日子已经一去不复返了。