信息來(lái)源:Freebuf
白宮國(guó)家安全委員會(huì)(National Security Council)的高級(jí)官員,國(guó)家安全副顧問(wèn)Anne Neuberger在RSA大會(huì)第二天,闡述了拜登政府針對(duì)加強(qiáng)美國(guó)國(guó)家網(wǎng)絡(luò)安全現(xiàn)代化的一些做法��。
紐伯格首先描述了日益危險(xiǎn)的網(wǎng)絡(luò)威脅現(xiàn)狀�����,她指出拜登在剛上任的100天內(nèi)����,就不得不處理兩起大規(guī)模網(wǎng)絡(luò)安全事件——SolarWinds攻擊事件和微軟Exchange攻擊事件。
“政府和企業(yè)正受到來(lái)自各路網(wǎng)絡(luò)犯罪分子的持續(xù)����、復(fù)雜和飽含惡意的攻擊。
“今天���,網(wǎng)絡(luò)安全比過(guò)去任何時(shí)候都更有必要被納入國(guó)家安全的一部分��?���!?
紐伯格表示��,在目前的環(huán)境中,應(yīng)當(dāng)將思維方式從應(yīng)急響應(yīng)轉(zhuǎn)變?yōu)轭A(yù)防����。她認(rèn)為雖然攻擊事件必然會(huì)發(fā)生,我們需為它做好準(zhǔn)備�����,但我們不能讓等待攻擊的發(fā)生成為運(yùn)作的現(xiàn)狀�����。
基于此觀點(diǎn)�����,紐伯格列出了當(dāng)前拜登政府為加強(qiáng)國(guó)家網(wǎng)絡(luò)安全而關(guān)注的三個(gè)領(lǐng)域���。
網(wǎng)絡(luò)防御現(xiàn)代化
從SolarWinds攻擊事件中可以發(fā)現(xiàn)����,“一些最基本的網(wǎng)絡(luò)安全措施并沒(méi)有在聯(lián)邦機(jī)構(gòu)中進(jìn)行系統(tǒng)地推廣����?���!边@些措施包括:多因素認(rèn)證��、加密和端點(diǎn)檢測(cè)��。
除了政府強(qiáng)制去執(zhí)行這些基本的安全防護(hù)外�����,紐伯格表示���,政府還在采取一些措施以確保它從供應(yīng)商那里購(gòu)買的軟件的安全性是合格的,因?yàn)檎?gòu)買的產(chǎn)品“通常帶有缺陷和漏洞”���。
目前��,這些供應(yīng)商所采取的措施要么就是在事后打補(bǔ)丁���,要么就直接忽略那些他們認(rèn)為不嚴(yán)重的漏洞。
但紐伯格認(rèn)為��,這些補(bǔ)救措施是不妥當(dāng)?shù)?����,這是在故意引入未知的、潛在的風(fēng)險(xiǎn)���,會(huì)被對(duì)手和犯罪分子所利用�����。
為了解決這個(gè)問(wèn)題�����,紐伯格表示���,政府的首要任務(wù)就是要確保其購(gòu)買的軟件從一開(kāi)始就安全地構(gòu)建,為此“可能要求供應(yīng)商在有一個(gè)安全的開(kāi)發(fā)環(huán)境中構(gòu)建軟件”�����。她還補(bǔ)充到����,這種方式應(yīng)當(dāng)帶來(lái)更多的連鎖反應(yīng),比如加強(qiáng)政府之外的學(xué)校和小企業(yè)的軟件安全�����。
除此之外,政府還要清楚哪些軟件是安全開(kāi)發(fā)的���,哪些是不安全的����,因?yàn)槟壳翱蛻羰遣豢赡茏龀鲞@種評(píng)估的��。
她還強(qiáng)調(diào)�����,政府目前正在制定一項(xiàng)試點(diǎn)計(jì)劃��,以保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施中所依賴的技術(shù)��。這一計(jì)劃“將推動(dòng)私營(yíng)部門高效安裝新技術(shù)��,以提供及時(shí)的可見(jiàn)性�����、檢測(cè)����、響應(yīng)和阻斷能力?����!倍?����,這還只是確保關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)安全性的第一步而已����。
在國(guó)際網(wǎng)絡(luò)空間重新發(fā)揮更積極的作用
紐伯格強(qiáng)調(diào),美國(guó)需要加強(qiáng)其全球伙伴關(guān)系���,“以對(duì)抗那些利用技術(shù)破壞國(guó)家和全球安全的對(duì)手”����。針對(duì)這方面她強(qiáng)調(diào)了一些舉措��,比如四方安全對(duì)話會(huì)議(QUAD)���,其目的是“應(yīng)對(duì)網(wǎng)絡(luò)威脅并追究惡意行為者的責(zé)任”��。
她透露��,政府的首批全球網(wǎng)絡(luò)安全倡議之一將是“努力合作打擊勒索軟件”���,因?yàn)檫@種勒索軟件變得越來(lái)越普遍����。她指出���,“對(duì)世界各國(guó)來(lái)說(shuō)都是一種國(guó)家安全威脅,因?yàn)樗梢詳_亂學(xué)校����、醫(yī)院、政府和企業(yè)所提供的服務(wù)��。而且����,還會(huì)產(chǎn)生巨大的經(jīng)濟(jì)成本”。
紐伯格補(bǔ)充說(shuō)����,勒索軟件的危險(xiǎn)在于其攻擊者往往能夠通過(guò)針對(duì)已知的弱點(diǎn)�����,如終端和軟件漏洞進(jìn)行攻擊�����。
此外�����,不能忽視的是����,勒索軟件團(tuán)伙的技術(shù)越來(lái)越復(fù)雜���,如使用無(wú)文件惡意軟件��;運(yùn)作模式越來(lái)越成熟���,如雙重勒索計(jì)劃的增長(zhǎng)。紐伯格認(rèn)為“想要應(yīng)對(duì)勒索軟件���,國(guó)際合作將至關(guān)重要���。因?yàn)槔账鬈浖姆缸镎咄强鐕?guó)犯罪分子���,他們利用全球基礎(chǔ)設(shè)施和洗錢網(wǎng)絡(luò)來(lái)進(jìn)行犯罪?��!?
為美國(guó)未來(lái)的網(wǎng)絡(luò)安全態(tài)勢(shì)做準(zhǔn)備
除了上述技術(shù)推進(jìn)和基礎(chǔ)設(shè)施保護(hù)�����,拜登政府的另一個(gè)優(yōu)先事項(xiàng)是 “投資和促進(jìn)明日創(chuàng)新”��。因此��,政府的“美國(guó)就業(yè)計(jì)劃”中有一項(xiàng)建議,即投資1800億美元用于研發(fā)新興技術(shù)��。這涵蓋了人工智能��、量子計(jì)算和微電子等領(lǐng)域��。
紐伯格說(shuō)����,這項(xiàng)投資對(duì)于加強(qiáng)美國(guó)的網(wǎng)絡(luò)防御至關(guān)重要��。她特別強(qiáng)調(diào)了量子計(jì)算在這方面的未來(lái)重要性����。雖然這項(xiàng)技術(shù) “有望徹底改變某些無(wú)法解決的計(jì)算問(wèn)題”���,但它也將 "從根本上擾亂網(wǎng)絡(luò)安全及其賴以生存的技術(shù)平臺(tái)���。”
這是因?yàn)榱孔佑?jì)算為攻擊者提供了破壞IT系統(tǒng)的新載體�����,對(duì)某些加密方法有潛在的 "破壞性 "影響����,如等距加密,它是“我們經(jīng)濟(jì)和國(guó)家通信安全的基礎(chǔ)”���。
因此����,“美國(guó)就業(yè)計(jì)劃”反映了政府對(duì)加速美國(guó)在量子計(jì)算和更廣泛的量子信息科學(xué)方面的領(lǐng)導(dǎo)地位的承諾,這將有助于“保護(hù)國(guó)家免受這些技術(shù)被敵人所使用”��。
紐伯格在演講結(jié)束時(shí)表示:
“加強(qiáng)國(guó)家網(wǎng)絡(luò)安全���,保障美國(guó)的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和廣泛地更新美國(guó)的優(yōu)勢(shì)�����,是拜登政府對(duì)國(guó)家安全戰(zhàn)略承諾的根本����?��!?
