拜登邀科技巨頭投身“國家整體”網絡安全工作

美國總統拜登邀請蘋果CEO蒂姆·庫克、微軟CEO薩提亞·納德拉、亞馬遜總裁兼CEO安迪·賈西共聚白宮，商討私營產業如何幫助對抗勒索軟件和軟件供應鏈攻擊。

據彭博社報道，這場即將到來的會談重點關注美國面對關鍵基礎設施重大網絡攻擊的恢復能力。拜登此前曾與俄羅斯總統普京鄭重其事地談過基礎設施網絡攻擊問題。 

今年7月，拜登表示，如果美國要參與“真正的熱戰”，那可能是為了反擊重大網絡攻擊。新冠肺炎疫情期間，美國政府機構和關鍵基礎設施提供商面對大量勒索軟件和網絡間諜攻擊，包括SolarWinds軟件供應鏈后門事件，還有Colonial Pipeline、Kaseya和肉類企業JBS遭遇的勒索軟件攻擊。

據彭博社的消息，庫克、納德拉和賈西計劃在24日參加此次會議。 

谷歌、IBM、Southern Co和摩根大通的CEO也被邀請參會，討論銀行業、能源與供水設施行業的基礎設施企業如何改善網絡安全和與政府協作。 

響應拜登5月份的網絡安全行政令，微軟、AWS、思科、FireEye和IBM目前正參與政府主導的工作，支持美國關鍵基礎設施。 

白宮會面之后，谷歌和微軟承諾投資上百億美元專用于網絡安全，蘋果、亞馬遜和IBM也貢獻了自己的網絡安全承諾。

8月25日，美國總統拜登在白宮舉行了網絡安全會議，如愿拿到主流科技公司在國家網絡安全工作方面的承諾，推動科技巨頭大筆投資改善美國面對網絡攻擊的恢復能力。例如，微軟和谷歌就各自承諾拿出上百億美元網絡安全專用投資。 

這次會議源自近期一系列重大網絡安全事件，包括Colonial Pipeline勒索軟件攻擊（致美國東南部油氣供應中斷）、SolarWinds軟件供應鏈攻擊和針對微軟Exchange服務器的大規模黑客行動。

在聲明中，美國政府稱，解決網絡安全威脅需要“整個國家共同努力”。為此： 

● 微軟宣布將在未來五年里投資200億美元，用于推動“設計網絡安全”和交付先進的安全解決方案。該公司還宣布將立即提供1.5億美元的技術服務，幫助美國聯邦、各州和地方政府提升其安全水平。

● 谷歌承諾在未來五年里投資100億美元，用于擴展零信任計劃，幫助保護軟件供應鏈安全和增強開源安全。該公司還表示，將幫助10萬美國人拿到行業認可的數字技能證書。

● 蘋果公司將設立新的計劃，讓技術供應鏈更加安全。作為這項工作的一部分，該公司計劃與其供應商合作，推廣多因素身份驗證，推動安全培訓、漏洞修復、事件日志和網絡安全事件響應。

● IBM聲稱將在未來三年里培訓15萬人掌握網絡安全技能，并將與20多所傳統黑人高校合作，成立網絡安全領導力中心。

● 亞馬遜宣稱將為AWS賬戶持有者提供免費多因素身份驗證設備。該公司還計劃向公眾免費開放其當前為員工提供的安全意識培訓。 

網絡保險提供商和教育機構也向美國政府承諾改善國家安全狀況。 

今年早些時候，拜登政府還啟動了一項為期100天的計劃，旨在改善整個電力行業的網絡安全。8月25日，美國政府宣布該計劃已提升了150多家電力設施的網絡安全狀況，現在正向天然氣管道擴展。 

此外，白宮還表示，美國國家標準與技術研究院（NIST）將擬制新的框架，用以改善技術供應鏈的安全性與完整性。NIST將與微軟、谷歌和IBM等合作伙伴協同推進此項工作。   

歐洲網絡安全團隊也憂慮軟件供應鏈攻擊的興起，因為驗證第三方代碼實在太難了，無論是開源代碼還是專有軟件。

SolarWinds攻擊造成微軟、多家頂級美國網絡安全公司和數家政府機構數據泄露，凸顯了美國關鍵基礎設施承受的網絡安全風險。

其他威脅來自常用企業軟件，比如微軟Exchange服務器，傳言有中國黑客在微軟推出補丁前利用這款服務器的漏洞。