前情回顾·微软安全霸主地位背后
安全内参7月20日消息,2019年,黑客发动了美国历史上最大规模的网络安全攻击,最终渗透进入多家政府机构和大量私营企业。白宫后来将此次攻击称为SolarWinds黑客攻击,归咎于俄罗斯联邦对外情报局。当美国官员匆忙应对这一间谍行动时,他们意识到缺少关键信息——用户计算机活动的日志文件。
这一功能允许用户检测、调查网络中的可疑活动。但是,只有微软365高级计划提供该功能,一些政府机构使用的基本版并不包括。其他机构也没有留存足够长时间的日志数据。如果日志记录更广泛地部署,美国官员可能会更早地发现入侵,并更好地进行事后调查。
在这一背景下,拜登总统提名Chris Inglis担任美国首位国家网络总监。Chris Inglis早年是计算机科学家,后在国家安全局工作。他和白宫团队成员起草《国家网络安全战略》时,一直在思考SolarWinds黑客攻击。这起软件供应链攻击涉及范围广,究其源头,是很多知名客户使用了受损软件。谈到SolarWinds攻击,Chris Inglis说:“供应链中的每个环节都以为,安全措施已经在工厂里建立并在整个供应链中持续存在,但我们现在知道并非如此。”
类SolarWinds事件再现,微软又一次跌倒
本月,这一问题再次浮出水面。在针对美国政府和其他组织微软云邮箱的高级网络攻击中,一些受害者无法检测到入侵,因为他们持有的是微软基础许可证,而非包含日志记录功能的高级许可证。黑客利用微软云服务漏洞侵入全球约二十多个组织,其中包括美国国务院。
Chris Inglis认为,这些事件反映出一大趋势:计算机用户发现自己在对抗网络攻击方面承担了不成比例的重担。作为回应,新的《国家网络安全战略》提议将更多的责任转移到软件制造商身上。黑客发动最新网络攻击之后,拜登政府官员于上周呼吁微软向所有用户提供日志记录等安全功能。
微软表示正在就此问题与政府展开沟通。在事件发酵多天后,微软公司安全、合规副总裁Vasu Jakkal在7月19日发表博客称,将为所有微软客户默认提供更广泛的云安全日志访问权限,不需要额外付费。具体而言,Microsoft Purview Audit标准版将新增30多种类型的日志数据,默认留存期限也从90天增加至180天。这次更新将在今年9月起正式可用。
美国网络安全与基础设施安全局局长Jen Easterly发表声明:“虽然这一举措需要时间落实,但这确实是朝着正确方向迈出的一步,有助于更多公司采用‘设计安全’原则。”
虽然拜登于3月宣布的《国家网络安全战略》并不具有约束力,但它代表了美国政府的重要改变。新战略提出要推进立法,要求技术公司对不安全产品造成的数据丢失和损害负责。今年早些时候,Chris Inglis辞去了国家安全总监的职务。最近,他接受了外媒ProPublica采访,谈及新版《国家网络安全战略》和拜登政府如何推动技术提供商为保护用户免受网络攻击做更多努力。以下是经过编辑的对话节选。
对话:Chris Inglis谈网络安全监管
拜登政府正在讨论对网络安全进行监管。具体落实时会是什么情况?
Chris Inglis:目前的网络空间监管主要关注的是运营者,而不是云服务或主要软件的设计者。政府需要与私营部门协商,了解这些系统中的关键问题。我们可以利用已有的监管机构,不管是商务部、联邦通信委员会(FCC)还是财政部。当某些事情关系到生命或安全时,就必须确切指明哪些事物不可随意选择。我们在药物和治疗方面做到了这一点,我们在交通系统方面也做到了这一点。现在,我们需要在网络空间也这样做。
我想起了一本你肯定熟悉的书,Cliff Stoll写的《杜鹃蛋》。书中讲述了1980年代针对美国政府和军事计算机系统的大规模入侵。最终,线索指向了受苏联情报机构克格勃雇佣的西德黑客。所以,网络安全并不是新问题。为什么在以前的谈话中从未涉及监管呢?
Chris Inglis:我认为这个问题确实提出过,但有受到两大因素的阻碍。首先,我们一直认为安全是由技术人员、创新者来负责的。他们总是认为会在有时间的时候来解决这个问题。但是,他们总是在忙于追求新的创新。所以他们从来没有解决这个问题。我们从未回头来实质性地构建一些最初就不存在的东西。其次,我们担心过多的监管会抑制创新,导致无法让技术发挥全部效益。我们仍然需要考虑这一点。但事实证明,创新不是免费午餐。我就不指名道姓了,但只要你是一个优秀的商业人士,就会希望避免任何不必要的成本。所以,你总是会指出监管具有负面影响。
在讨论中,您提到了通过设计让产品变得安全,即安全应该内置在数字产品中。这也是《国家网络安全战略》的重点。有哪些例子可以体现设计安全呢?
Chris Inglis:简单来说就是,软件或硬件系统在合理可预见的条件下是否满足安全要求?我们在汽车领域做到了这一点。我们有气囊,有安全带,有防抱死刹车系统。那么,在一开始应该有哪些基本的网络安全功能呢?应该有多因素认证或一些合理的等效措施。还应该有一定程度的分割,保证有东西进入你的系统,就不会迅速传播。还需要简单的方法来修补漏洞。关键是供应商要保证“我们会承担安全责任。”而不是说“让买家自负。我卖你基本版。如果你想要安全功能,我就向你提供额外的套餐。”这种说法很荒谬。
这听起来就像是SolarWinds攻击之后针对微软许可证展开的辩论。政府方面表示缺乏日志记录这个关键的安全功能。
Chris Inglis:没错。如果你面临特殊的安全状态,比如身处暗网,或者在当地警察或外交团队几乎无法行使司法权力的地方经营业务,就要做好付更多费用的心理准备。但是,如果你只是普通消费者,安全功能应该从一开始就内置在产品里。
一直以来,我们似乎都是站在企业的角度来看待问题。我不禁要想这个问题会怎样发展。2021年初,微软总裁Brad Smith在国会作证时,众议员Jim Langevin询问他关于日志记录收费的问题。Brad Smith回答:“我们是一家营利性公司。我们做的一切都是为了得到回报。”
Chris Inglis:福特和特斯拉也是这样。其实问题很简单——利润何时胜过安全?答案是,两者是可以合理协调的。你不能只顾其一,不顾其二。企业要维持下去,就必须讲利润。但他们不能使用明知对客户福利、健康和安全有害的技术。这样根本不符合这个社会的运作方式。我认为那些推出对客户有害的产品的公司,日后会通过自我觉醒或市场力量(改进安全措施),否则将被强制要求这样做。我们应该支持企业。但是,如果企业将自己的利益置于服务对象的利益之上,就会进入终将失败的循环,开启逐底竞争。现在,企业的需要将自身利益与他们服务的消费者的利益保持一致。
参考资料:https://www.propublica.org/article/cybersecurity-expert-software-regulation-amid-hacks
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。