拜登邀科技巨头投身“国家整体”网络安全工作
美国总统拜登邀请苹果CEO蒂姆·库克、微软CEO萨提亚·纳德拉、亚马逊总裁兼CEO安迪·贾西共聚白宫,商讨私营产业如何帮助对抗勒索软件和软件供应链攻击。
据彭博社报道,这场即将到来的会谈重点关注美国面对关键基础设施重大网络攻击的恢复能力。拜登此前曾与俄罗斯总统普京郑重其事地谈过基础设施网络攻击问题。
今年7月,拜登表示,如果美国要参与“真正的热战”,那可能是为了反击重大网络攻击。新冠肺炎疫情期间,美国政府机构和关键基础设施提供商面对大量勒索软件和网络间谍攻击,包括SolarWinds软件供应链后门事件,还有Colonial Pipeline、Kaseya和肉类企业JBS遭遇的勒索软件攻击。
据彭博社的消息,库克、纳德拉和贾西计划在24日参加此次会议。
谷歌、IBM、Southern Co和摩根大通的CEO也被邀请参会,讨论银行业、能源与供水设施行业的基础设施企业如何改善网络安全和与政府协作。
响应拜登5月份的网络安全行政令,微软、AWS、思科、FireEye和IBM目前正参与政府主导的工作,支持美国关键基础设施。
白宫会面之后,谷歌和微软承诺投资上百亿美元专用于网络安全,苹果、亚马逊和IBM也贡献了自己的网络安全承诺。
8月25日,美国总统拜登在白宫举行了网络安全会议,如愿拿到主流科技公司在国家网络安全工作方面的承诺,推动科技巨头大笔投资改善美国面对网络攻击的恢复能力。例如,微软和谷歌就各自承诺拿出上百亿美元网络安全专用投资。
这次会议源自近期一系列重大网络安全事件,包括Colonial Pipeline勒索软件攻击(致美国东南部油气供应中断)、SolarWinds软件供应链攻击和针对微软Exchange服务器的大规模黑客行动。
在声明中,美国政府称,解决网络安全威胁需要“整个国家共同努力”。为此:
● 微软宣布将在未来五年里投资200亿美元,用于推动“设计网络安全”和交付先进的安全解决方案。该公司还宣布将立即提供1.5亿美元的技术服务,帮助美国联邦、各州和地方政府提升其安全水平。
● 谷歌承诺在未来五年里投资100亿美元,用于扩展零信任计划,帮助保护软件供应链安全和增强开源安全。该公司还表示,将帮助10万美国人拿到行业认可的数字技能证书。
● 苹果公司将设立新的计划,让技术供应链更加安全。作为这项工作的一部分,该公司计划与其供应商合作,推广多因素身份验证,推动安全培训、漏洞修复、事件日志和网络安全事件响应。
● IBM声称将在未来三年里培训15万人掌握网络安全技能,并将与20多所传统黑人高校合作,成立网络安全领导力中心。
● 亚马逊宣称将为AWS账户持有者提供免费多因素身份验证设备。该公司还计划向公众免费开放其当前为员工提供的安全意识培训。
网络保险提供商和教育机构也向美国政府承诺改善国家安全状况。
今年早些时候,拜登政府还启动了一项为期100天的计划,旨在改善整个电力行业的网络安全。8月25日,美国政府宣布该计划已提升了150多家电力设施的网络安全状况,现在正向天然气管道扩展。
此外,白宫还表示,美国国家标准与技术研究院(NIST)将拟制新的框架,用以改善技术供应链的安全性与完整性。NIST将与微软、谷歌和IBM等合作伙伴协同推进此项工作。
欧洲网络安全团队也忧虑软件供应链攻击的兴起,因为验证第三方代码实在太难了,无论是开源代码还是专有软件。
SolarWinds攻击造成微软、多家顶级美国网络安全公司和数家政府机构数据泄露,凸显了美国关键基础设施承受的网络安全风险。
其他威胁来自常用企业软件,比如微软Exchange服务器,传言有中国黑客在微软推出补丁前利用这款服务器的漏洞。
参考阅读