美國家網絡總監：在網絡領域，集體防御是最好的進攻

美國國家網絡主管克里斯·英格利斯表示，應對重大網絡攻擊，唯有認真建設防御，讓防御成為新的進攻。這樣的話，惡意黑客必須先擊敗整個集體防御體系，才能擊敗我們中的任意一個。

前情回顧· 美國網絡安全關鍵人

• RSAC 2022現場：美國家網絡總監稱網絡防御重保已成為新常態
• RSAC 2022現場：美國家情報總監稱網絡安全越來越難了

安全內參消息，日前在DEF CON黑客大會上與調查記者金姆·澤特（Kim Zetter）的對話節目中，美國白宮國家網絡主管克里斯·英格利斯表示，網絡安全的前進方向將是 防御， 明確的角色與責任，以及 對彈性和穩健性的投入。

集體防御成為新的進攻

根據英格利斯的介紹，近年來網絡攻擊演進可以分為“三個波次”。

第一波攻擊者“專注于將數據和系統置于風險中”。第二波攻擊者“同樣令數據和系統陷入風險，但隨后會將事態升級到關鍵功能風險”。第三波則指向安全信心，比如針對科洛尼爾管道運輸公司的攻擊。

英格利斯表示，“這些事件帶給我們的最大教訓，就是惡意黑客會將數百萬人的安全信心毀于一旦。他們雖然只贏了一次，卻相當于贏了無數次。而一位受害者的失敗，則在心理層面蔓延成了無數人的失敗。我們必須想辦法扭轉局面。”

英格利斯認為，問題的答案就是 專注于防御，特別是集體防御。

在他看來，“唯一可行的解決方案就是 認真建設防御，讓防御成為新的進攻。這樣的話，惡意黑客必須先擊敗整個集體防御體系，才能擊敗我們中的任意一個。這需要對彈性和穩健性進行前期投入，這種投入不僅要體現在數據和系統上，更要體現在角色和責任上。只有這樣，我們才能捍衛協作關系和安全信心，確保系統中的每個人都理解自己在防御布局中扮演的角色，讓每個人都能參與到這場命運攸關的安全對抗當中。”

英格利斯指出，烏克蘭的網絡防御體系，就很好地體現出了充分籌備、協作以及對供應商方案彈性/穩健性的信任等集體防御要素。

明確角色與職責，

推動供應鏈安全可靠

記者澤特提到，目前人們似乎對未來的攻擊形態“缺乏預期，或者說足夠的想象力”。當說起科洛尼爾管道運輸公司、SolarWinds等震驚全球的重大攻擊事件，特別是相應的主動預防或緩解思路，英格利斯認為 個人和組織都需要首先明確自己的角色和職責。

在他看來，“我們其實并不知道是誰在負責為數字基礎設施 提供必要的彈性和穩健性。是誰本身不是重點，重點在于意識到如果沒有這層保障，個人活動、商業活動等就無法正常進行。”

除了關注防御之外，英格利斯還強調對問題開展縱向和橫向調協，同時關注相應的資本支出。他同時指出， 在整個供應鏈中明確劃分責任同樣意義重大。

英格利斯認為，“我們需要達成一項共識，對于供應鏈的任何參與方，如果他們只是隨意使用，并未對系統自身的彈性和穩健性做過任何投入，那就應該禁止其觸及我們的系統。我們需要 把這份安全責任和義務分攤給各提供商、供應商、集成商，由他們投入必要資金，強化系統的內在彈性與穩健性。”

他還補充了這項措施的重要意義，“如此一來， 運行在網絡鏈末端的人們就不會被困在一個無法防御的系統當中，不必在自己根本無力對抗的惡意黑客面前絕望地嘗試保護自己。”

英格利斯還討論了在各類關鍵基礎設施中使用國外成品組件的問題，例如半導體元件。他敦促各方“對依賴外國生產的關鍵基礎設施，建立起正確而清醒的成本認知。”但他也承認，這類項目無法在短時間內“拆除和更換”，畢竟美國也需要時間把很多已經離岸的產業重新引流回國內。其中的典型例子就是新近頒布的《2022年芯片與科學法案》。該法案希望將半導體生產帶回美國，幫助美國擺脫對外國制造芯片的全面依賴。

英格利斯最后總結道，這項工作的達成不可能只靠聯邦政府的一、兩個部門。這是一個整體性問題，必須匹配整體性的解決流程。

參考資料：nextgov.com