全员参与:构建全社会协同的网络安全防护体系

本文探讨了软件供应链攻击的严峻形势及应对策略,强调通过SBOM、跨组织协作和全社会参与提升网络安全防护能力,涉及Log4j漏洞、AI安全威胁及政府与企业协同机制。

全员参与:构建全社会协同的网络安全防护体系

6月9日上午,我驾车与家人穿过金门大桥前往旧金山。孩子们分享了关于这座现代工程奇迹的一些事实:每天约有10万辆车通过桥面,桥体重达15万吨,由250对钢缆悬挂。我们注意到,单根钢缆无法承受如此巨大的重量,但当数百根钢缆协同工作时,它们的综合强度足以支撑桥梁及其负载,并能应对交通流量波动和风暴、地震等高压力事件。

正如金门大桥的钢缆一样,网络安全社区无法独自承担重担,但通过“全员参与”的协作方式,我们能够应对最严峻的挑战。

当天下午,在RSA Conference 2022上,我主持了一场小组讨论,嘉宾包括微软的Aanchal Gupta(@nchlgpt)、英特尔的Tom Garrison(@tommgarrison)和NSA的Diane Janosek博士(@dm_janosek)。我们讨论了如何克服保密文化,建立透明、可信的跨组织协作,以及在鼓励负责任披露的同时避免反弹的挑战。

供应链攻击:行业最大风险之一

Aanchal指出,软件供应链攻击是行业最大的风险之一,也是优先处理的事项。“尽管这不是新风险,但我们对第三方和开源软件的依赖呈指数级增长,更多供应链问题只是时间问题。Log4j和Nobelium只是冰山一角。”

她解释供应链攻击持续上升的两个主要原因:

  1. 对第三方软件的依赖增加,威胁行为者更容易找到薄弱点。攻击者可能说服内部人员或利用未修补漏洞将恶意负载注入供应链。
  2. 某些软件无处不在,“就像厨房里的盐”。如果盐被污染,处理问题将极为困难。Log4j因其广泛使用而成为挑战。

数字DNA:系统可追溯性与透明度

Tom进一步阐述供应链如何演变为具有“数字DNA”的平台,强调系统、可追溯性和透明度的重要性。“我们希望揭开设备(无论是PC、服务器还是IoT设备)组件的秘密面纱。这是信任的基础,使客户能够对其平台做出明智决策。”他提到维护健康系统需关注补丁管理:如何长期管理系统?是否及时更新?是否有定期更新流程?这是迈向透明度的第一步。

对抗性AI的威胁

Diane强调了对抗性AI相关威胁的战略重要性。“AI具有卓越的机器学习用途,帮助处理海量数据集,但整个推断取决于数据的完整性。如果对手篡改数据,识别我们使用某些模型进行关键安全决策等,我们的模型将不正确。”理解人类生成攻击与AI攻击表面的区别,提高了我们必须应对的复杂性和精密性水平。

软件物料清单(SBOM):协作的基础

Aanchal讨论了组织如何通过SBOM促进协作以提升安全水平。将SBOM视为“配方”:

  1. 了解配方的成分:是否有组织中所有软件的清单?如果没有,需要创建。
  2. 理解成分来源及控制措施:确保其生产和交付的可靠性。
  3. 信任但验证:定期测试成分以确保完整性。

为缓解部分风险,美国政府今年早些时候发布了行政命令(EO)。EO是政府识别问题并与私营部门合作定义解决方案的开始。这是一项多年努力,将深刻改变向美国政府(全球最大技术买家之一)销售软件的要求。通过帮助塑造EO,我们将提高攻击美国政府和整体软件的难度。

作为最大的企业软件提供商,我们有责任提供领导力和帮助,例如通过SBOM标注每个软件的依赖关系。我们积极参与帮助塑造EO的基础。

内部与外部研究者的协作

Tom讨论了与外部和内部研究者协作的重要性。“要深入理解产品和HW/SW解决方案栈,需要与道德黑客合作,并通过安全投资推动更深入的研究,确保学习不仅修复遗留和历史问题,还确保长期安全以塑造未来产品和技术。”

透明与负责任披露的文化转变

小组讨论了在保密文化中透明和负责任披露的矛盾需求。小组成员和观众都充满激情地谈论了这一话题。始终存在如何在对漏洞保密直到所有合作伙伴都有缓解或修复措施的同时,确保利益相关者充分知情的紧张关系。这不仅关乎道德上做正确的事,及时共享信息也对业务有益。我们正处于一个转折点,清晰度和认识正在推动有意协作,将漏洞披露到修补作为优先事项,并期待在此取得可衡量的进展。

小组一致认为,我们不应因系统泄露而惩罚和排斥分享者。需要将文化从指责转向社区支持。当我们支持组织坦诚分享经验时,我们将获得更好的洞察,并有助于早期识别供应链问题。由于担心报复,人们不愿分享细节。通过分享知识,帮助他们成为更好的供应商和服务提供商。他们的泄露不再只是他们的问题;我们都在其中。

与执法部门合作:追究网络罪犯责任

最后,对话转向与执法部门合作以确保网络罪犯被追究责任。Diane举了一个很好的例子:“考虑美国的关键基础设施部门(如能源、交通等)。80%由私营部门运营,20%由政府运营。因此,即使政府对其20%(国防和电信)获得A级评价,如果所有其他部门失败,对国家来说也不够好。我们需要建立精细平衡,能够在政府和私营部门之间执行信号情报任务和网络安全任务,以获得全面保护,同时保护宪法。”这是全社会方法的关键点;我们必须继续与所有部门(私营和政府)合作,以确保全面保护隐私和安全。

回想金门大桥,单个钢吊架不仅支撑直接下方的车辆。每个吊架对支撑整个桥梁和行驶其上的每辆车都至关重要,无论车辆在桥梁的哪个位置。同样,对于网络安全行业的我们、客户和产品,当我们协同工作时,我们为所有人创建了更强大、更有弹性的基础。

观看小组讨论: 链接
收听小组讨论: 链接
阅读Tom Garrison的博客: 链接

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次