前情回顾·美国网络安全关键人
安全内参消息,日前在DEF CON黑客大会上与调查记者金姆·泽特(Kim Zetter)的对话节目中,美国白宫国家网络主管克里斯·英格利斯表示,网络安全的前进方向将是防御,明确的角色与责任,以及对弹性和稳健性的投入。
集体防御成为新的进攻
根据英格利斯的介绍,近年来网络攻击演进可以分为“三个波次”。
第一波攻击者“专注于将数据和系统置于风险中”。第二波攻击者“同样令数据和系统陷入风险,但随后会将事态升级到关键功能风险”。第三波则指向安全信心,比如针对科洛尼尔管道运输公司的攻击。
英格利斯表示,“这些事件带给我们的最大教训,就是恶意黑客会将数百万人的安全信心毁于一旦。他们虽然只赢了一次,却相当于赢了无数次。而一位受害者的失败,则在心理层面蔓延成了无数人的失败。我们必须想办法扭转局面。”
英格利斯认为,问题的答案就是专注于防御,特别是集体防御。
在他看来,“唯一可行的解决方案就是认真建设防御,让防御成为新的进攻。这样的话,恶意黑客必须先击败整个集体防御体系,才能击败我们中的任意一个。这需要对弹性和稳健性进行前期投入,这种投入不仅要体现在数据和系统上,更要体现在角色和责任上。只有这样,我们才能捍卫协作关系和安全信心,确保系统中的每个人都理解自己在防御布局中扮演的角色,让每个人都能参与到这场命运攸关的安全对抗当中。”
英格利斯指出,乌克兰的网络防御体系,就很好地体现出了充分筹备、协作以及对供应商方案弹性/稳健性的信任等集体防御要素。
明确角色与职责,推动供应链安全可靠
记者泽特提到,目前人们似乎对未来的攻击形态“缺乏预期,或者说足够的想象力”。当说起科洛尼尔管道运输公司、SolarWinds等震惊全球的重大攻击事件,特别是相应的主动预防或缓解思路,英格利斯认为个人和组织都需要首先明确自己的角色和职责。
在他看来,“我们其实并不知道是谁在负责为数字基础设施提供必要的弹性和稳健性。是谁本身不是重点,重点在于意识到如果没有这层保障,个人活动、商业活动等就无法正常进行。”
除了关注防御之外,英格利斯还强调对问题开展纵向和横向调协,同时关注相应的资本支出。他同时指出,在整个供应链中明确划分责任同样意义重大。
英格利斯认为,“我们需要达成一项共识,对于供应链的任何参与方,如果他们只是随意使用,并未对系统自身的弹性和稳健性做过任何投入,那就应该禁止其触及我们的系统。我们需要把这份安全责任和义务分摊给各提供商、供应商、集成商,由他们投入必要资金,强化系统的内在弹性与稳健性。”
他还补充了这项措施的重要意义,“如此一来,运行在网络链末端的人们就不会被困在一个无法防御的系统当中,不必在自己根本无力对抗的恶意黑客面前绝望地尝试保护自己。”
英格利斯还讨论了在各类关键基础设施中使用国外成品组件的问题,例如半导体元件。他敦促各方“对依赖外国生产的关键基础设施,建立起正确而清醒的成本认知。”但他也承认,这类项目无法在短时间内“拆除和更换”,毕竟美国也需要时间把很多已经离岸的产业重新引流回国内。其中的典型例子就是新近颁布的《2022年芯片与科学法案》。该法案希望将半导体生产带回美国,帮助美国摆脱对外国制造芯片的全面依赖。
英格利斯最后总结道,这项工作的达成不可能只靠联邦政府的一、两个部门。这是一个整体性问题,必须匹配整体性的解决流程。
参考资料:https://www.nextgov.com/cybersecurity/2022/08/white-house-cyber-director-defense-new-offense-cyber/375822/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。