美国国土安全部前网络安全负责人克里斯托弗·克雷布斯 (Christopher Krebs) 在本周由研究公司 Gartner 主办的IT 研讨会上对这个问题一笑置之:
“你更愿意被解雇,面对面还是通过 Twitter?”
克雷布斯因不同意 2020 年大选后选举舞弊的说法而被唐纳德特朗普解雇。
然而,他确实多次提到美国政府的选举保护努力是一个相对成功的故事。克雷布斯作为国土安全部网络安全和基础设施安全局的负责人参与了这项工作,这是一个公私合作伙伴关系。
“这是一个拥有明确目标和明确时间表的例子,当然每个人都朝着保护民主的同一方向努力,”他说。许多政府机构都参与其中,包括“在东欧前沿部署”的美国网络司令部成员,他们发现了选举颠覆活动的早期预警信号,并帮助取消了这些活动。
更广泛地说,克雷布斯讨论了美国政府在改善政府本身和私营部门的网络安全方面可以发挥的作用。网络安全已成为各行各业 IT 决策者最头疼的挑战之一。这些高管正在寻求建立复杂的数据基础设施,但这些都是不良行为者的持续攻击,这种趋势在大流行期间变得更糟。
“钱包的力量”和网络安全标准
克雷布斯说,拜登政府目前正在做的最好的事情之一就是利用“钱包的力量”或它的采购力量来推动更高的安全标准。他说,政府 5 月份发布的安全和网络设备标准应该会为每个人带来更高质量的产品,因为政府是一个大客户。
联邦政府还通过国防高级研究计划局 (DARPA) 等机构推动网络安全研发。但这些努力不应该只针对国防机构,克雷布斯说。“如果你看看中国,当他们投资科技行业时,他们这样做是出于地缘经济原因。”他说,半导体的自给自足是政府应该“投入更多、更多”的领域之一。
作为执法者,政府可以通过其许多机构影响更好的网络安全实践,包括证券交易委员会和监管银行、能源和其他行业的监管机构。根据最近在勒索软件方面的经验,他预计合规性要求将会收紧,但希望它们不仅仅是“清单练习”。
克雷布斯说,政府也可以成为私营企业的顾问,并指出他的前机构最近发布了不良做法指南,以帮助组织了解不该做什么,例如未能修补 VPN 软件。“我们之所以能走到今天,是因为安装基础非常脆弱,”他说,这意味着网络和安全产品的部署通常会出现严重的配置错误。
关于最近勒索软件攻击的严重性的一件好事,比如在殖民地管道上破坏了美国东部燃料运输的那次攻击,是他们向商界领袖展示了他们的业务可以被严重破坏的程度,并有可能被国会拖走解释他们是如何被破坏的。“这将唤醒大多数高管,”克雷布斯说,并且应该让网络安全领导者更容易争辩说他们需要更多资源。
处于安全黑客的中心
Krebs 出现在与 Gartner 顶级分析师 Neil MacDonald 进行的视频会议的主题采访中。麦克唐纳挑战克雷布斯为政府的一项干预辩护,司法部决定让 FBI 有效地侵入企业网络并主动修补他们的 Exchange 服务器,以防止政府称被多个黑客组织利用的 web shell 漏洞。
“据我所知,这是一次非常成功的行动,没有附带损害,”克雷布斯说,并澄清说“附带损害”是指受影响的公司系统不会崩溃。尽管监管机构担心政府会滥用这种权力,但克雷布斯表示,迄今为止,其申请一直“非常有针对性和离散性”。
Krebs 还简要评论了 Solarwinds,这家网络管理公司去年发现自己处于安全黑客的中心,影响了其许多政府和私营部门客户。Krebs 随后通过Krebs Stamos Group与该公司合作,Krebs Stamos Group是他与前 Facebook 高管 Alex Stamos 创建的咨询公司。克雷布斯说,黑客能够将自己插入软件供应链的方式表明所有组织都面临着大量的第三方风险。
克雷布斯引用威利·萨顿 (Willie Sutton) 关于他为何抢劫银行的台词说:“他们为什么要追捕软件公司?因为那是访问的地方。”
在Gartner研讨会/ ITxpo开始10月18日和运行至周四,10月21日。
