据华尔街日报报道,自去年12月,美国发现多个政府机构的计算机系统被大规模入侵后,现任和前任官员表示,黑客已经进入了网络防御系统,必须采取办法保护网络安全。
当地时间星期四,在由网络教育学院(Cyber Education Institute,LLC)比灵顿网络安全部门(Billington Cybersecurity)举办的线上活动中,国防部代理首席信息官约翰·谢尔曼(John Sherman)说:“我们必须采取新的战术,进行新的防御,因为在这里,他们已经多次闯过防御系统了。”
约翰说,公共和私营部门应该更广泛地采用零信任模式,即建立内部防御系统,不断验证一个设备、用户或程序是否应该能够按要求行事。相比之下,传统网络安全防御更为被动,它只试图阻止黑客进入网络。
网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)、国家安全局(National Security Agency)和联邦调查局(Federal Bureau of Investigation)对黑客利用美国科技公司SolarWinds Corp.和微软软件漏洞入侵的事件进行分析,发现他们往往能够获得广泛的系统访问权。在许多情况下,黑客建立“后门”和管理员账户,不受约束地在网络中行动。
自本世纪初以来,零信任的概念一直以各种形式存在。然而,网络安全公司Ericom Software Ltd.的首席策略官蔡斯•坎宁安(Chase Cunningham)说,对其内容的误解阻碍了使用。
他说,例如,零信任模式并没有废除防火墙和其他被业界称为边界的防御工具。相反,它增加了一个防御层。
他表示:“真正了解零信任的人不会说要放弃边界。但现实是,你的网络边界可能已经被破坏了,特别是当你在远程操作时。”
约翰说,国防部正在努力建立零信任模式。尽管空军部长办公室(the Office of the Secretary of the Air Force)的首席信息安全官万达·琼斯·希思(Wanda Jones-Heath)称,将零信任落实到位需要时间去研究,其他人则警告说,网络安全供应商经常将他们的产品标记为零信任,但这是一种误导。
卡内基梅隆大学软件工程学院(Carnegie Mellon University’s Software Engineering Institute)计算机应急准备小组主任、奥巴马政府前首席信息安全官格雷戈里·图希尔(Gregory Touhill)说:“零信任不是一种技术,它不是买来的东西,而是一种战略。我们这个行界有太多的人,以往的产品不够好,却试图以零信任供应商的身份标榜自己,销售同样的东西,真的。”
在比灵顿的活动中,美国首席信息官克里斯·德鲁沙(Chris DeRusha)主张使用零信任模式,同时强调公共和私营部门之间信息共享与加强防御的重要性。
他说,网络安全公司FireEye Inc.发现的攻击SolarWinds得到的反应,激发了非同寻常的合作。
联邦调查局最终确定了一份约有100家公司和9个联邦机构的名单,这些公司和机构是此次攻击的受害者。从发现黑客攻击开始,调查人员和官员们就怀疑俄罗斯是幕后黑手。美国政府于4月15日正式指责该国,并就网络攻击和其他事项发布了新的制裁。俄罗斯否认了这些指控。
克里斯说,企业和政府官员之间的联合调查,对重建网络安全的速度有直接影响,应该继续下去。
他表示:“我考虑的是,我们如何加快速度,如何在公私兼备的合作关系中前进。”