全员集结:构建全社会协同的网络安全防御体系

本文探讨了网络安全领域面临的供应链攻击和对抗性AI威胁,强调了跨组织协作与透明化的重要性,并提出了软件物料清单(SBOM)等具体解决方案,呼吁全社会共同构建更强大的网络安全防线。

全员集结:构建全社会协同的网络安全防御体系

6月9日上午,我驾车带着家人穿过金门大桥前往旧金山。在桥上,孩子们分享了关于这座现代工程奇迹的一些事实:每天约有10万辆车辆通过桥面,桥面重量达15万吨,由250对钢缆悬挂。我们注意到,单根钢缆无法承受如此巨大的重量,但当数百根钢缆协同工作时,它们的综合强度足以支撑桥梁及其使用者的巨大负荷,并能吸收交通流量波动以及风暴和地震等高压力事件。

就像金门大桥的钢缆一样,我们网络安全社区无法独自承担重担,但通过“全员集结”的方式,我们可以应对最大的挑战。

当天下午,在RSA Conference 2022上,我有幸主持了一个小组讨论,与微软的Aanchal Gupta(@nchlgpt)、英特尔的Tom Garrison(@tommgarrison)和NSA的Diane Janosek博士(@dm_janosek)一起讨论了如何克服保密文化,建立透明和可信的跨组织协作,以及鼓励负责任披露而不担心反弹的挑战。

在本博客中,我将总结每位小组成员讨论的主题,从推动更大协作需求的威胁开始。

在讨论开始时,Aanchal强调软件供应链攻击既是行业最大的风险之一,也是优先解决的问题:“尽管这不是新风险,但我们对第三方和开源软件的依赖正在呈指数级增长,看到更多供应链问题只是时间问题。Log4j和Nobelium只是冰山一角。”

Aanchal随后解释了供应链攻击将继续上升的两个主要原因:“首先,随着我们对第三方软件的依赖增加,威胁行为者找到软点变得更具吸引力。攻击者可以轻易说服内部人员,或者找到未修补的漏洞,将恶意负载注入供应链。使其极其困难的是,某些软件无处不在,‘就像你食品储藏室里的盐’。盐几乎存在于你食品储藏室里的每一种零食中,你可以想象如果它被污染,解决问题将有多困难。Log4j之所以成为一个具有挑战性的问题,是因为它的普遍使用。”

Tom进一步阐述了供应链如何演变为具有“数字DNA”的平台,以及系统、可追溯性和透明度的重要性。“我们想要做的是揭开围绕构建设备(无论是PC、服务器还是物联网设备)所用组件的近乎保密的面纱。这些是信任的基础,使客户能够围绕其平台做出明智决策。为了维护健康的系统,重要的是要询问有关修补的问题。我如何长期管理系统?我是否明智地更新并及时应用?我是否有定期更新这些机器的流程?这是迈向透明度的第一步,也是健康的一大步。”

Diane随后强调了考虑与对抗性AI相关威胁的战略重要性。“虽然AI具有惊人的机器学习用途,帮助理解海量数据集,但整个推断取决于数据的完整性,算法才能实际工作。‘如果对手正在改变这些数据,认识到我们正在使用某些模型进行关键安全决策等,我们的模型将不正确’。理解人类生成的攻击世界与基于AI的攻击表面相比,提高了我们必须领先的复杂性和复杂性水平。”

接下来,Aanchal讨论了组织如何促进协作以提高安全性,从软件物料清单(SBOM)的概念开始。为了领先于供应链风险,将SBOM视为“食谱”是有帮助的。

首先,知道你的食谱由哪些成分组成。你是否有组织中所有软件的列表?如果没有,你需要创建一个。 接下来,了解你的成分来自哪里,以及有哪些控制措施确保它们在生产和交付给你的过程中的可靠性。 最后,信任但验证。定期测试你的成分以确保其完整性。

为了减轻部分风险,美国政府今年早些时候发布了一项行政命令(EO)。EO是美国政府识别问题并与私营部门合作定义解决方案的过程的开始。这是一项多年的努力,将深刻改变向美国政府(全球最大的技术买家之一)销售软件的要求。在我们帮助塑造EO的过程中,我们将提高攻击美国政府以及整体软件的难度。

作为最大的企业软件提供商,我们有责任提供领导力和帮助——例如SBOM——你可以在其中指出每个软件的依赖关系。我们积极参与帮助塑造EO的基础。

Tom随后讨论了与外部和内部研究人员协作的重要性。“为了深入了解产品和硬件/软件解决方案堆栈,这需要与道德黑客合作,并进行安全投资以推动更深入的研究,确保学习不仅修复遗留和历史问题,而且在我们塑造未来产品和技术时确保长期安全。”

小组随后讨论了在保密文化中透明度和负责任披露的矛盾需求。这不仅由小组成员,而且由观众成员以极大的能量和热情讨论了这一点。始终存在如何在对漏洞保持保密直到所有合作伙伴都有缓解或修复措施的同时,确保利益相关者充分知情的紧张关系。这不仅在道德上做正确的事,而且及时共享信息对业务也有好处。我们正处于一个拐点;这种清晰度和认识正在帮助推动有意协作,将漏洞披露到修补作为优先事项,我们期待在这里取得可衡量的进展。

小组一致认为,我们不应因分享系统漏洞而惩罚和排斥人们。我们需要将文化从指责转向社区支持。当我们支持组织坦诚分享他们的经验时,我们将获得更好的见解,并有助于早期识别供应链问题。正是由于担心报复,人们才不分享细节。通过分享他们的知识,帮助他们成为更好的供应商和服务提供商。他们的漏洞不再只是他们的漏洞;我们都在其中。

最后,对话转向与执法部门合作,确保网络犯罪分子被追究责任。Diane给出了这个精彩的例子:“考虑美国的关键基础设施部门(例如,能源部门、交通部门等)。80%由私营部门运营,20%由政府运营。因此,即使我作为政府在我的20%(国防和电信)中获得A级,如果所有其他部门失败,对国家来说也不够好。我们需要建立精细的平衡,能够在政府和私营部门之间执行信号情报任务和网络安全任务,以获得整体保护,同时保护宪法”。这是全社会方法的关键点;我们必须继续与所有部门——私营和政府——合作,确保我们整体保护隐私和安全。

回想金门大桥,单个钢吊架不仅仅支撑正下方的车辆。每个吊架在支撑整个桥梁和行驶在其上的每辆车方面都至关重要,无论车辆在桥上的哪个位置。同样,对于我们网络安全行业的我们以及各自的客户和产品,当我们共同努力时,我们为所有人创造了更强大、更有弹性的基础。

按需观看小组讨论:链接

按需收听小组讨论:链接

阅读Tom Garrison的“供应链安全正在演变为具有‘数字DNA’的平台”博客:链接

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次