网络安全问题,特别是关于俄罗斯通过网络手段干预总统选举结果的指控,长期困扰着特朗普执政团队。

近期曝光的SolarWinds供应链黑客事件再次证明,针对美国公共及私营部门的网络攻击已经达到历史最高点,而刚刚上任的拜登政府在网络安全领域还有大量改进工作要做。

01 如何看待网络战?

在调查当中,专家们普遍认为与往届美国政府相比,特朗普政府在网络攻击方面表现得特别积极。但在乔·拜登于1月20日宣誓就职之后,新政府是否有必要变更政策仍在讨论当中。

过去四年以来,美国曾先后通过网络攻击行动关闭过俄罗斯的巨魔农场与伊朗军事目标。

安全众测厂商Synack公司CEO Jay Kaplan解释道,“在拜登政府的领导下,原有网络安全政策不应改变。SolarWinds黑客事件切实证明,我们必须以更积极的态度打击我们在网络空间内的敌对方。”

他还补充道,“我们不能袖手旁观,坐视入侵、破坏与数字勒索行为的蔓延。”

AI攻击检测技术供应商Vectra安全分析负责人Chris Morales的观点却与Kaplan不同,他认为特朗普政府的好战态度显然脱胎于早已过时的冷战思维,已经不适合当今的网络威胁斗争时代。

乔·拜登将于2021年1月20日宣誓就任美国总统

Morales解释道,“对企业来说,其目标永远是「缓解风险」。但在2015年之后,特朗普政府改变了一切,彻底颠覆了联邦政府的网络安全战略态势。”

他继续说道,“从2018年起,美国政府开始采取「坚定捍卫我们的利益」这一更加激进的姿态,对冒险行动有了更大的宽容度。这项政策甚至用到了诸如「赢下」及「抢先」等表达,不禁让人想到冷战时期的语言风格。”

这一轮军事网络能力增强通过以下政策举措逐步建立:统一网络指挥,授予国防部发动网络战的权力,“向前防御”战略以及为进攻性网络战立法等等。

Morales认为,“我希望将关注重心由网络战转移到减轻风险与关注个人隐私上来。”

“尽管这看似给了美国政府一种网络威慑力,但网络层面的实际攻击方式并不需要强调这么「花架子」,最近的SolarWinds事件再次强调了这一事实。”

02 恢复举措

刚刚上任的拜登政府计划对网络问题的优先级做出重新调整。

Pixel Privacy消费者隐私负责人Chris Hauk评论称,“拜登总统将在白宫内恢复两个特朗普执政时期几乎被彻底忽略的重要职务,即国土安全顾问与网络安全顾问。”

Hauk强调,“拜登政府还可能就网络恶意行动,特别是据称干预西方国家选举活动的企图,与俄罗斯方面展开对抗。”

Synack公司的Kaplan也提到,“与特朗普不同,拜登政府将与我们的盟友保持良好关系,以同盟的形式改善网络安全水平并制定国际标准,由此建立起全球网络行为规范。”

03 弥合数字鸿沟

特朗普政府与即将上任的拜登政府也有共通之处,都希望通过高速宽带设施弥合美国偏远农村与城镇居民之间的数字鸿沟。

国家经济委员会负责人Brian Deese在CES贸易展上的研讨中提到,对于拜登政府的后新冠时代建设议程当中,“宽带”设施全面建设将成为一项核心任务

在特朗普任职初期,联邦通信委员会(FCC)曾在巨大的争议之下废除过两项重要互联网原则:宽带隐私性与网络中立性。

面向消费者的安全与技术比较服务厂商Comparitech隐私倡导者Paul Bischoff评论道,“希望拜登政府能够在任期内恢复对消费者群体的保护。”

网络中立性原则,旨在确保互联网服务供应商能够平等对待一切类型及来源的网络流量,从本质上让互联网设施成为一种实用工具。宽带隐私性则强调互联网服务供应商应保证不在未同意的情况下,收集并出售客户的浏览历史、通信记录、位置数据以及其他个人信息。

04 端到端加密

回到网络安全领域,特朗普政府此前曾攻击端到端加密机制,理由是这项技术可能破坏国家安全。

Comparitech公司的Bischoff表示,“目前还无法确定拜登对加密持何种态度,但他在奥巴马政府担任副总统期间,美国政府实际一直在组织大规模网络间谍与数据收集行动,斯诺登于2013年曝光的也正是这段往事。”

他补充道,“从以往的态度来看,拜登本人虽然对禁止端到端加密没有太大意见,但来自其他议员及选民的压力有可能促使他改变主意。”

IT巨头NTT公司首席信息安全官顾问John Petrie认为,新一届政府延续特朗普网络政策的可能性比多数人预期中更大。Petrie解释道,“特朗普政府时期制定的网络安全架构虽然削减了白宫方面的参与度,但却更多在两党之间达成了共识,因此不大可能随着权力交替而产生变化。”

“Chris Krebs遭到解雇一事虽然破坏了这种和谐局面,但回到网络安全规划本身,我认为新一届政府并不会做出太多调整。”

例如,网络安全与基础设施安全局(CISA)作为政府网络安全中心的定位仍然不会动摇。

Petrie还提到,“在资金方面,我认为预算也不太可能有所缩减。事实上,国家安全局(NSA)甚至可能进一步加大投入。”

另外,更强调自由主义倾向的拜登政府反而可能引入更多监管。

Petrie认为,“从监管角度来看,特朗普政府的大部分工作集中在全面放松管制上。而拜登政府需要重新提高监管要求。”

“在网络安全层面,这意味着通过更多审查手段限制并上报私营与公共部门的网络活动。”

即将上任的拜登·哈里斯政府,是否会给美国的网络安全政策带来方向性改变?

05 拥抱开源

在相关报道中,拜登·哈里斯政府已决定任命David Recordon作为白宫技术主管。

Vectra的Morales对此举表示赞赏,他提到“Recordon在开放标准身份验证协议与方法领域做出了卓越的贡献,这项技术也正好适合行业及联邦政府的现实诉求。”

“作为技术专家,他以往的工作表现非常出色。在上任之后,他可能会继续帮助联邦政府推动现代化举措。”

Sonatype公司副总裁兼DevOps布道师Derek Weeks则补充道,“通过任命David Recordon作为白宫技术主管,可以看出拜登-哈里斯政府正确认识到了开源软件与应用安全对于现代机构的重要意义。”

攻击检测与响应企业Cybereason公司首席安全官Sam Curry在采访中指出,目前还很难判断特朗普时代的遗留网络安全举措能否在拜登任期内得以延续。“可能直到拜登总统本人在上任后的100天内陆续发布新政策之后,我们才能获得可靠的答案。”

“拜登总统必须完成行政部门的顺利过渡。期间必将涉及大量人员与流程的衔接,因此其中很有可能还潜藏着特朗普时代留下的「暗雷」与「遗毒」。”

原文链接:

https://portswigger.net/daily-swig/incoming-biden-administration-looks-to-shake-up-us-cybersecurity-policy

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。