信息來(lái)源:Freebuf
白宮國(guó)家安全委員會(huì)(National Security Council)的高級(jí)官員,國(guó)家安全副顧問(wèn)Anne Neuberger在RSA大會(huì)第二天,闡述了拜登政府針對(duì)加強(qiáng)美國(guó)國(guó)家網(wǎng)絡(luò)安全現(xiàn)代化的一些做法。
紐伯格首先描述了日益危險(xiǎn)的網(wǎng)絡(luò)威脅現(xiàn)狀,她指出拜登在剛上任的100天內(nèi),就不得不處理兩起大規(guī)模網(wǎng)絡(luò)安全事件——SolarWinds攻擊事件和微軟Exchange攻擊事件。
“政府和企業(yè)正受到來(lái)自各路網(wǎng)絡(luò)犯罪分子的持續(xù)、復(fù)雜和飽含惡意的攻擊。
“今天,網(wǎng)絡(luò)安全比過(guò)去任何時(shí)候都更有必要被納入國(guó)家安全的一部分?!?
紐伯格表示,在目前的環(huán)境中,應(yīng)當(dāng)將思維方式從應(yīng)急響應(yīng)轉(zhuǎn)變?yōu)轭A(yù)防。她認(rèn)為雖然攻擊事件必然會(huì)發(fā)生,我們需為它做好準(zhǔn)備,但我們不能讓等待攻擊的發(fā)生成為運(yùn)作的現(xiàn)狀。
基于此觀點(diǎn),紐伯格列出了當(dāng)前拜登政府為加強(qiáng)國(guó)家網(wǎng)絡(luò)安全而關(guān)注的三個(gè)領(lǐng)域。
網(wǎng)絡(luò)防御現(xiàn)代化
從SolarWinds攻擊事件中可以發(fā)現(xiàn),“一些最基本的網(wǎng)絡(luò)安全措施并沒(méi)有在聯(lián)邦機(jī)構(gòu)中進(jìn)行系統(tǒng)地推廣?!边@些措施包括:多因素認(rèn)證、加密和端點(diǎn)檢測(cè)。
除了政府強(qiáng)制去執(zhí)行這些基本的安全防護(hù)外,紐伯格表示,政府還在采取一些措施以確保它從供應(yīng)商那里購(gòu)買(mǎi)的軟件的安全性是合格的,因?yàn)檎?gòu)買(mǎi)的產(chǎn)品“通常帶有缺陷和漏洞”。
目前,這些供應(yīng)商所采取的措施要么就是在事后打補(bǔ)丁,要么就直接忽略那些他們認(rèn)為不嚴(yán)重的漏洞。
但紐伯格認(rèn)為,這些補(bǔ)救措施是不妥當(dāng)?shù)?,這是在故意引入未知的、潛在的風(fēng)險(xiǎn),會(huì)被對(duì)手和犯罪分子所利用。
為了解決這個(gè)問(wèn)題,紐伯格表示,政府的首要任務(wù)就是要確保其購(gòu)買(mǎi)的軟件從一開(kāi)始就安全地構(gòu)建,為此“可能要求供應(yīng)商在有一個(gè)安全的開(kāi)發(fā)環(huán)境中構(gòu)建軟件”。她還補(bǔ)充到,這種方式應(yīng)當(dāng)帶來(lái)更多的連鎖反應(yīng),比如加強(qiáng)政府之外的學(xué)校和小企業(yè)的軟件安全。
除此之外,政府還要清楚哪些軟件是安全開(kāi)發(fā)的,哪些是不安全的,因?yàn)槟壳翱蛻羰遣豢赡茏龀鲞@種評(píng)估的。
她還強(qiáng)調(diào),政府目前正在制定一項(xiàng)試點(diǎn)計(jì)劃,以保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施中所依賴(lài)的技術(shù)。這一計(jì)劃“將推動(dòng)私營(yíng)部門(mén)高效安裝新技術(shù),以提供及時(shí)的可見(jiàn)性、檢測(cè)、響應(yīng)和阻斷能力?!倍?,這還只是確保關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)安全性的第一步而已。
在國(guó)際網(wǎng)絡(luò)空間重新發(fā)揮更積極的作用
紐伯格強(qiáng)調(diào),美國(guó)需要加強(qiáng)其全球伙伴關(guān)系,“以對(duì)抗那些利用技術(shù)破壞國(guó)家和全球安全的對(duì)手”。針對(duì)這方面她強(qiáng)調(diào)了一些舉措,比如四方安全對(duì)話會(huì)議(QUAD),其目的是“應(yīng)對(duì)網(wǎng)絡(luò)威脅并追究惡意行為者的責(zé)任”。
她透露,政府的首批全球網(wǎng)絡(luò)安全倡議之一將是“努力合作打擊勒索軟件”,因?yàn)檫@種勒索軟件變得越來(lái)越普遍。她指出,“對(duì)世界各國(guó)來(lái)說(shuō)都是一種國(guó)家安全威脅,因?yàn)樗梢詳_亂學(xué)校、醫(yī)院、政府和企業(yè)所提供的服務(wù)。而且,還會(huì)產(chǎn)生巨大的經(jīng)濟(jì)成本”。
紐伯格補(bǔ)充說(shuō),勒索軟件的危險(xiǎn)在于其攻擊者往往能夠通過(guò)針對(duì)已知的弱點(diǎn),如終端和軟件漏洞進(jìn)行攻擊。
此外,不能忽視的是,勒索軟件團(tuán)伙的技術(shù)越來(lái)越復(fù)雜,如使用無(wú)文件惡意軟件;運(yùn)作模式越來(lái)越成熟,如雙重勒索計(jì)劃的增長(zhǎng)。紐伯格認(rèn)為“想要應(yīng)對(duì)勒索軟件,國(guó)際合作將至關(guān)重要。因?yàn)槔账鬈浖姆缸镎咄强鐕?guó)犯罪分子,他們利用全球基礎(chǔ)設(shè)施和洗錢(qián)網(wǎng)絡(luò)來(lái)進(jìn)行犯罪?!?
為美國(guó)未來(lái)的網(wǎng)絡(luò)安全態(tài)勢(shì)做準(zhǔn)備
除了上述技術(shù)推進(jìn)和基礎(chǔ)設(shè)施保護(hù),拜登政府的另一個(gè)優(yōu)先事項(xiàng)是 “投資和促進(jìn)明日創(chuàng)新”。因此,政府的“美國(guó)就業(yè)計(jì)劃”中有一項(xiàng)建議,即投資1800億美元用于研發(fā)新興技術(shù)。這涵蓋了人工智能、量子計(jì)算和微電子等領(lǐng)域。
紐伯格說(shuō),這項(xiàng)投資對(duì)于加強(qiáng)美國(guó)的網(wǎng)絡(luò)防御至關(guān)重要。她特別強(qiáng)調(diào)了量子計(jì)算在這方面的未來(lái)重要性。雖然這項(xiàng)技術(shù) “有望徹底改變某些無(wú)法解決的計(jì)算問(wèn)題”,但它也將 "從根本上擾亂網(wǎng)絡(luò)安全及其賴(lài)以生存的技術(shù)平臺(tái)?!?
這是因?yàn)榱孔佑?jì)算為攻擊者提供了破壞IT系統(tǒng)的新載體,對(duì)某些加密方法有潛在的 "破壞性 "影響,如等距加密,它是“我們經(jīng)濟(jì)和國(guó)家通信安全的基礎(chǔ)”。
因此,“美國(guó)就業(yè)計(jì)劃”反映了政府對(duì)加速美國(guó)在量子計(jì)算和更廣泛的量子信息科學(xué)方面的領(lǐng)導(dǎo)地位的承諾,這將有助于“保護(hù)國(guó)家免受這些技術(shù)被敵人所使用”。
紐伯格在演講結(jié)束時(shí)表示:
“加強(qiáng)國(guó)家網(wǎng)絡(luò)安全,保障美國(guó)的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和廣泛地更新美國(guó)的優(yōu)勢(shì),是拜登政府對(duì)國(guó)家安全戰(zhàn)略承諾的根本?!?