主权与信任:网络时代的供应链安全
2024-4-24 16:13:11 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

美国国家安全局(NSA)的一种秘密信号情报(SIGINT)收集技术。

NSA的工作人员会拦截运往目标国家的计算机网络设备,在设备中安装信标植入物,然后重新包装发往目标。当植入物与NSA的秘密基础设施取得联系时,NSA就能进一步渗透目标网络。

这类涉及干扰供应链的行动是TAO部门最有成效的行动之一,因为它们在全球各地难对付的目标网络中预置了接入点。

主要内容:

1."主权"和"信任"是供应链安全的两个核心主题。各国都在重新审视其技术供应链,并谋求在关键领域获得自主可控的能力,以维护国家主权。而西方国家对其所依赖的技术供应链能否完全信任也表示担忧。

2.随着数字化转型的深入和云计算的普及,网络空间日益成为国家博弈的新战场,供应链安全问题凸显。

3.从芯片、软件到云服务,各环节的漏洞都可能被作为攻击的跳板,并可能在关键时刻被战略对手用作武器,威胁一国的关键基础设施。

4.XZ NOBUS后门和NSA

今天,我们将讨论一个重大的网络安全主题:供应链信任,以及它如何体现为一个主权问题。中国和俄罗斯正在尽最大努力将美国技术从他们的供应链中剔除,无论是硬件、软件、云服务,还是其他任何东西。至少对于政府和军事系统,他们将重建这些供应链,完全利用他们能够100%监控和控制的组件。

与此同时,美国政府面临着不同的供应链挑战。美国的供应链大部分位于本土,剩下一小部分来自盟友国家,因此不太可能被对手们用作武器。但美国政府对供应链的可见性和控制力,却不如对手们最终能够实现的程度。

那么,这对西方意味着什么?对中国和俄罗斯又意味着什么?Alex Stamos和Chris Krebs与我一起展开了讨论。让我们先从Chris Krebs回答我的第一个问题开始。他是否认为,无论是自由主义还是非自由主义阵营的政府,如今在谈到供应链安全和可信度时,都开始有点慌了?

Chris Krebs:

我同意,但可能还需要进一步区分供应链攻击的类型。因为针对微软的XZ入侵,俄罗斯对微软的渗透,我觉得是不太一样的攻击手法。尤其是俄罗斯对外情报局(SVR)实施的攻击,他们进入了微软的系统窃取机密。

克里斯,这正是我要说的。因为那其实并不算是狭义上的供应链攻击,但肯定属于一个供应链安全问题,对吗?我们是不是应该把这些事情联系起来看?

是的,我同意。这让我想起了一些事情。当我还在政府部门工作的时候,我和情报界有过交流,了解到一些情报。坏人们一直在关注这几年数字化转型的变化。情报界也在密切关注他们。尤其是在新冠疫情期间,云计算呈现大规模快速增长。中国人、俄罗斯人和其他人,都在观察大家转向云计算的过程。这让我想起了那句著名的Willie Sutton式回答——"Willie,你为什么抢银行?""因为钱都在那里啊。"同样的道理,为什么他们要攻击微软、GCP、AWS?因为数据和系统访问权限都在那里。

所以它几乎就是一个跳板,通往更广阔的目标,但需要攻击的目标数量反而更少了。再加上云服务和本地部署在法律框架上的差异,NSA无法获取Azure系统的某个实例,把它放在实验室进行剖析,从而为微软提供红队测试支持。对Exchange邮件系统倒是可以随时这么做。只是具体情况不太一样。所以在这个全新的现代IT架构下,坏人占尽了优势。

Alex,你有什么看法?

是的,我同意。这确实关乎数据的所在。尤其是谈到微软的时候,它遭受的这两次入侵完全不同,对吧?如果你能在Azure AD中站稳脚跟,那基本上整个世界500强都任你予取予求了。就像你们在播客中讨论过的,微软在许多云服务领域可谓垄断,尤其是企业身份管理,部分原因是他们是唯一一家能与本地AD并行工作的云身份提供商。我们服务过的绝大多数公司,以及我们处理过的事件响应,都在以Azure AD混合模式运行,同时拥有本地和云端的Active Directory。

问题是,与其说这样更安全,不如说它反而综合了本地和云产品的各种(安全)缺陷。通过它们的"负能量"结合在一起。

对,就是这样。你可以在云端对那些无法强化安全性的终端,使用Mimikatz和密码喷洒攻击。坏人很早就发现了这一点。当我们观察勒索软件的活动时,其中很大一部分就是在利用微软混合架构的特定弱点。

但你知道,普通的俄罗斯勒索软件团伙,是没有能力渗透到微软内部的。而俄罗斯对外情报局(SVR)显然有这个本事。另一个值得注意的地方是微软云产品,尤其是Entra(原Azure AD)的复杂性。从我们目前掌握的信息来看——遗憾的是我们并不了解太多细节,因为微软没有非常透明——这次攻击似乎是利用了一些常见的错误配置。Entra实在是太复杂了,连微软自己都搞不清楚该如何保护它。

对于那些懂行的坏人来说,如果你能从攻击者的视角去思考这些产品,全身心投入其中,即便是最有准备的防御者,你也比他们占优势。我是说,我接受你们俩说的关于云计算的一切。但我觉得这里有一个小问题,那就是单独的本地部署,本身也存在供应链问题。我们最近在节目中讨论了中国如何逐步摆脱对英特尔(Intel)和AMD的依赖。至少在政府系统中,他们要摆脱对美国技术的依赖,比如Windows等。他们大概会转而使用自己的Linux发行版。

有趣的是,他们刚宣布这个消息,我们就看到了XZ的事件。所以我想说的是,无论是本地部署还是上云,在平台信任方面都存在更广泛的问题。我们讨论技术"巴尔干化"(Balkanization)已经有20年了,对吧?但感觉现在到了一个临界点,人们开始说:"哦,好吧,我们真的需要严肃对待这件事了。"

对中国和俄罗斯而言,他们的立场是我们再也不能信任和使用任何西方技术了。而在美国这边,我们有自己的供应链问题,因为我们无法控制微软等公司如何分配资金。你明白我的意思吗?感觉我们正处在某种……

你会期望,我是说,我对CSRB(网络安全审查委员会)的报告还是有所期待的。首先,这正是CSRB应该存在的理由,对吧?就是为了提供这样的报告。它最终给了我们这些同样成为目标的业内人士所需的细节,让我们能够保护自己。

但它也是政府目前最强有力的讲坛了。既然没有更好的选择,我想,如果你是内政部或商务部,想要托管自己的邮件系统,本地部署仍然是一场灾难。就像你说的,我不是在告诉大家放弃云计算。我只是觉得遗憾,尤其是在非常高端的领域,上云已经不再是一个自动化的决定了。以前非常简单,告诉大家直接迁移到Office 365就行。自己维护Exchange服务器简直是疯了。

当然,这我同意。我想说的是,克里斯,中国人不信任云服务,但我们应该信任吗?中国人之所以不信任,是因为美国《外国情报监视法》(FISA)第702条款,对吧?尽管我们有了《云法案》(CLOUD Act),本应保护海外数据免受某些美国索取请求的影响。但实际上该法案只适用于英国、欧盟、其他"五眼联盟"等美国的盟友。对于中国来说,《云法案》并没有任何意义。

所以我觉得,如果你是一个外国人,你所在的国家与美国不是盟友关系,那么对美国云服务提供商心存戒备是完全合理的。我认为欧盟的情况有一些合理的抱怨,但也有点不切实际。因为抱怨美国情报机构的那些欧盟人,第一,欧盟自己的情报法规比美国还要糟糕得多。

但你看,中国不只是担心702条款。如果只是这样,他们就不会连英特尔和AMD芯片都一起拿掉,也不会拿掉本地部署的Windows系统。所以我想说的是,他们肯定对使用西方技术有一些安全顾虑。而我的观点是,也许我们也需要分享这些顾虑,只不过理由不同罢了,对吧?

没错,理由不同。我的意思是,你更关注的是后门问题,对吧?对,没错。雷德蒙德(微软总部所在地)和其他地方的安全控制,可能达不到我们应有的安全级别。

是的。但我认为,这与中国的疑虑不同。据我所知,中国并不担心美国国家安全局(NSA)会与微软串通,主动利用漏洞。

是的,我没看到任何证据。中国想在半导体领域实现自主,并非因为美国半导体都装了后门,而是因为他们认为这是21世纪的一个关键竞争领域。拜登政府的出口管制举措,已经向中国证明,美国要切断他们获得某些他们认为至关重要的国家竞争力的东西是多么容易。

我没有看到任何证据表明,他们真的认为AMD芯片里藏着后门。而且我认为,美国政府如果真的尝试这么做,那将是非常疯狂的。首先,在这些公司里,需要知晓此事的人数会非常庞大。要在一个有数千人参与研发的CPU中植入这样的东西是非常困难的。

但是创建……XZ后门的妙处在于,你以前在美国后门中看到的,比如双EC随机数发生器(dual EC DRBG),它们都是nobody but us型后门,对吧?它们在密码学上进行了特殊设计。而我没有在芯片中看到这种复杂程度的东西。当然,芯片一直都存在漏洞。比如英特尔处理器的勘误表(errata)非常长。

克里斯,我同意你在硬件方面的观点。但我想对你刚才说的一点提出质疑,就是认为NSA会与微软串通,向海外客户推送某种访问手段。这在当前看来是不可想象的。但我认为,如果到2028年,中美在台湾海峡爆发战争,类似的约定俗成就可能被抛诸脑后了。

你是不是提前看了谁的书?不管这种情况是否会发生,我真的不这么认为,至少根据我以前的一些谈话。但是你知道,这类准则往往会被打破。不过,美国每一家大型软件公司,都和他们的总法律顾问、总裁、首席法务官进行过这种内部讨论。所以这不是一个令人不舒服的话题,只是一个比较敏感的话题。

但更重要的是,科技已成为新的战场。无论你身处世界何处,身陷何种冲突,网络攻击、信息战等现在都是军事学说的关键组成部分。这种状况永远不会消失。这就是我们和我们孩子所面临的生活。我们正处在《神经漫游者》(Neuromancer)所描绘的时空里。

那么问题就在于,克里斯,这也是我为什么这么想进行这次讨论,随着人们意识到这一点,接下来会发生什么?因为这些东西我们早就知道了,对吧?在座的各位,对此已经了解很长时间了。正如我们已经讨论过的,各国政府正在觉醒,对吧?而且不仅仅是西方国家,全球各国政府都意识到,出于多方面原因,他们对外国技术的依赖正在威胁自己的主权。

这可能仅仅是因为他们需要确保获得某些关键的硬件能力。也可能是出于对云服务或本地软件的安全顾虑,开源、专有并不重要。但当你开始尝试为此寻找出路,找到一个安全的解决方案时,我也想破了头都想不出那会是什么样子。所以我才会好奇事态将如何发展。

我认为这需要重新调整我们的期望和基准。即便是勒索软件或网络犯罪,我们也必须接受一定程度的环境安全活动和犯罪。就像现实世界一样,犯罪无处不在。所以你要安装门锁和安防系统。总有一些事情是我们无法阻止的。全世界所有执法资源加起来,也不足以应对未来的局面。我们只能阻止大的事件,设法遏制住它们。间谍活动,现实世界里的间谍活动仍在发生。从古至今一直如此。所以最近SVR窃取机密的事,你可以说这不算什么,但事实就是如此。我们对此也只能……正如你常说的,你不必把它"双手奉上",但就是那样。我们将不得不接受其中一些事情。

关键是要侦测到它们,控制住影响范围。这就是当你回顾没国对微软的渗透时——我知道最近发生了太多事,有点混乱。我自己都有点糊涂了。我在想,哪一次是偷取密钥证书的?是SVR干的还是NSA?这事还真让人困惑。我都怀疑没国人和俄罗斯人自己是不是也搞不清楚了。

他们就那样你来我往,互相补充,在微软的网络里玩得不亦乐乎。我想SolarWinds(微软被入侵事件)也发生过类似的事。所以说到签名密钥被盗,有趣的是这事最初是如何被发现的,而且发现得相当快,对吧?

国务院建立了网络基线,大幅削减了管理员权限和账号数量,他们有一个很好的预警管理系统,在上面进行分析,然后他们发现:"咦,那个账号以前从没这样登录过。"他们向微软报告了这个情况。微软说:"我们也不知道这是怎么回事。"

这其实是一个内部工具,对吧?

是一个内部开发的检测机制实际发现了这个问题。它叫什么来着,Yellow Bus?

对,我也记不清它的名字了。但对那些可能正在收听的国务院的人来说,干得漂亮!从多方面来说都非常出色。但如果你对联邦民用政府有所了解,就会知道国务院在过去十多年里一直在努力防范坏人入侵,却始终无法将其拒之门外。这次的表现说明国务院的安全态势有了显著改善。所以对国务院来说,这简直是一次精彩的出色表现,各方面都值得为他们鼓掌喝彩。

我在Facebook工作的时候就见识过这种情况。在那个时期,国务院员工会在Facebook上主动添加一些自称是实习生的人,说自己在咖啡厅见过对方。结果发现那其实是伊朗伊斯兰革命卫队的社会工程师,他们会在对方的国务院电脑上植入恶意软件,因为那些人会在上班时查看Instagram。

所以没错,国务院这次的表现是一个巨大的进步。但正如克里斯所说,关键在于无论是云端还是你引入的开源软件,你必须确保至少有机会发现被利用的情况。这就是这两起入侵的区别所在。至少如果OpenSSH被攻陷,攻击者之后还需要采取一些步骤才能达到目的,对吧?他们会在机器上弹一个Shell,查看文件,接触一些东西。如果他们不在正确的机器上,可能还需要横向移动。令人担心的是,微软的这次事件,如果作为客户你对内部发生的一切活动都完全看不见,那你就无法控制局面。

我认为,一方面大家都应该像国务院那样,利用现有的API构建类似的系统。但另一方面,我们也要要求云服务供应商,提供一定程度的内部运作透明度,尽管这可能会让他们感到不舒服。

我想说的是,国务院使用了G5日志记录,对吧?那种非常昂贵的高级日志。如果他们没有这个,就无法发现这次入侵。这也许是应该提供给其他民用机构的东西。我相信微软终于在这方面做出了一些让步。我想他们现在为政府部门解决了这个问题,但企业用户仍然没有。

但这又回到了我的LinkedIn帖子里提到的问题。我刚说"LinkedIn帖子"这个词的时候,一下子感觉自己老了好几岁。谢谢你读了我的LinkedIn帖子。一下子感觉苍老了不少。但我最大的不满是,微软不能把安全事件当作促销产品的机会。如果你要提供一款关键任务的云安全产品,那么人们为了保护自己、监测入侵所需的东西,就必须包含在基础产品里。把它变成一个分级销售的事情,我认为这是完全不道德的。你不能说除非付费购买G5许可,否则无法访问那些能检查中国人是否在读你邮件的API。

我也觉得,你刚才谈到XZ的事情,说即使OpenSSH有后门,如果你的工作做得好,最终还是会发现的。这没错。而且我认为,每个人在运作自己的安全计划时,都必须假设0day漏洞是存在的。对吧?所以无论是有意植入的后门,还是别的什么,你都必须做好攻击者可能会莫名其妙出现在某台机器上,而你又不清楚原因。你要怎么应对?对吧?这就是为什么你必须做好横向移动检测,关注账号的异常活动等等。

所以我的感觉是,XZ这件事虽然很吸引人,这是个很棒的故事。作为记者,我津津乐道,我们也重点报道了它。但从某种程度上说,这类事情被过度炒作了,因为我们必须时刻假设此类事情是存在的。它之所以不算被过度炒作,是因为如果它真的进入了Ubuntu、Debian、Fedora、Red Hat Linux等主流发行版,就像它本来可能做到的那样……我觉得想悄无声息地利用这个漏洞还是比较难的,因为你肯定会生成Shell之类的东西。

对。但我是说,Shellshock 漏洞进入了所有主流Linux发行版。Heartbleed 漏洞也是如此。你明白我的意思吧?当然,它们当时也是重大新闻。但我想说的是,不管是有意还是无意,这都无关紧要,对吧?

没错,但OpenSSH已经很久没有出现过容易被利用的远程代码执行漏洞了。如果这次的漏洞得以利用,那将是难以置信的12小时,对吧?坏人有可能会非常隐蔽地使用它。比如你已经渗透进了一家公司内网,只把它用于横向移动,只在你明确知道对方没有EDR(终端检测和响应)、没有日志的情况下使用。

或者你将拥有人生中最不可思议的12小时,因为互联网上每一个开放22号端口的机器都任你摆布。我认为这两种可能性都存在,具体取决于归咎于谁头上。它甚至可能被当作第三次世界大战或类似场合的首选武器,被偷偷藏起来。比如作为我们扰乱大规模基础设施的开场行动。

你刚才说了一个有意思的词,"第三次世界大战",对吧?克里斯,你之前说过,我们必须接受没有绝对的安全,间谍活动会继续,网络犯罪也会继续。关键是要控制它们的规模,对吧?我感觉情况已经变了,人们开始更加担心那种世界大战级别的灾难性场景。这也是驱动各国在主权和技术问题上日益关注的原因。这可不是我们以前经历过的。

我们在大概十年前就看到了这种情况。当时澳大利亚,我记得是率先禁止华为的国家之一。他们说,我们不希望自己的电信网络受制于华为。人们认为这背后的担忧是后门和监控之类的事情,并以此作为报道主题。但澳大利亚政府更担心的是,如果爆发敌对冲突,华为可能会直接瘫痪我们的整个LTE或5G网络。在那之后的岁月里,澳中两国之间出现了一些矛盾。虽然还没到那个地步,但现在回想起来,这似乎是一个明智的决定。

我想说的是,如今的一些主权问题已经不再局限于,哦,由于这些供应链问题,我们很容易受到间谍活动的侵害。而是,如果一场热战爆发——因为世界确实感觉变得更加危险了——那会怎样?

是的,我是说,这也是我在2018年和2019年在政府部门就华为和5G问题提出的论点。当时的主流说法,特别是在"五眼联盟"盟友中,是担心有人会窃听我们的通话。这也是你从各国政府那里听到的大量言论。而我却说,不不不,听着,我是说,这就是你加密通信的原因。你应该担心的是,当你需要通信的时候,网络是否还能正常工作。如果他们控制了控制平面,让网络瘫痪,你就完蛋了。你失去了通信线路。

所以我同意你的看法。你看,现在不只是我们在播客里聊天。美俄两国目前的博弈也是如此。去年曝光的所有"台风"行动,担心的就是对环境的准备。他们不仅渗透军事目标,比如基地、电信设施、港口等,还渗透了亚特兰大、达拉斯、芝加哥等地的普通民用关键基础设施。因为他们——这也是我之前提到的信息战方面——他们的军事学说依赖于技术攻击引发社会恐慌。他们想钻进我们的大脑,想削弱我们随后发动战争的能力。

所以这与"网络珍珠港"或"网络911"无关,而是关乎千刀万剐。就是砰砰砰,一刀一刀地凌迟。我担心的是,第一,俄在布置他们明知只能用一段时间的后门。所以令我担忧的是,俄内部可能有人认为,他们的任务就是在72小时内随时准备就绪。他们需要在未来六个月内利用这些工具,否则就前功尽弃。到时候肯定会有人说,我要让圣地亚哥断电,而且他们已经为此做了一些准备工作。

我是说,克里斯刚才提到,在Entra ID模型下,全世界基本上都在使用同一个目录服务,俄把这个目录完全"蒸发"掉的可能性非常小,对吧?所以你谈论的是那些隐蔽的"纸屑"攻击。我们又回到了老问题,就是尽我们所能控制局面。我不知道。如果他们能够让微软的基础设施大面积瘫痪,经济影响会相当严重。

是的,我认为即便微软最近饱受批评,你也很难将整个Azure AD完全"核平",这的确不太可能。但我敢说,你肯定能制造相当大的破坏。如果美国大公司90%的员工无法登录,我们从未从经济角度测试过这种情况,但可能不会太妙。每天早上大家都收不到邮件,那简直就是一个"临时公共假期",除了安全团队要加班加点。

是啊,没错。我跟主要的云服务供应商聊过这个问题,已经聊了大概10年。当你真正,我不是说随便问问,而是真的花大量时间追问他们,要他们设想一个可能导致灾难性中断的场景。他们真的想不出来,尤其是长时间的中断,想不出一个他们认为可信的场景。所以我觉得,这印证了你(Alex)的观点,主要云供应商的生存能力和恢复能力其实还不错。问题是,对吧,我们作为社会,对云服务供应商的期望是什么?我们能接受什么程度的中断?从商业角度看,停几天或许还行。但现实世界里呢?不行,这根本不能接受。如果系统开始瘫痪,信息空间就会被大量谣言和胡说八道填满,坏人会趁火打劫。

我还认为,如果有人故意瘫痪一家云服务供应商,而且他们知道自己在做什么,恢复时间肯定不止几天。我们在Facebook模拟过这种情况。我们经常测试中断。那里的基础设施团队非常厉害,他们会做一些事情,比如切断整个数据中心的电源,看看会发生什么。所以整个全球数据中心会被关闭,以确保其他一切都能适应。

我们模拟过这样一种情况:如果不是数据中心意外宕机,而是有人有能力向数百万台生产主机发送指令,执行rm -rf /* 会怎样?问题是,对于超大规模的云供应商、谷歌、Facebook、微软等公司来说,启动一个数据中心的方法是从另一个数据中心复制数据,对吧?

是的,我是说,你谈论这个问题的整个过程,我都在回想。我记不清具体是谁最早指出这一点的了。可能是丹·格尔(Dan Geer),他几年前就说过,如果这些大型云供应商中的一家倒下,他们掌握的数据量之大,我们根本没有足够的网络带宽将其转移到其他供应商那里,而其他供应商也没有能力扩容承接。我相信大家都记得新冠疫情刚开始、各地实施封锁的时候,Teams服务开始出现故障,因为Azure根本没有足够的容量来扩展。

而且我认为这就是问题所在。让整个超大规模云供应商完全瘫痪确实有难度。但如果几个地区出现故障,然后连锁反应波及其余地区,性能就会显著下降,以至于事情开始出问题,正如你所说,超时中断。

没错,但这种风险有多大?等一下,这正是我们讨论的核心。你认为政府对此了解多少,克里斯?

啊,这个问题问得好。我觉得在某些领域可能了解更多,比如NSA(国家安全局)可能很清楚。白宫,可能就不太清楚了。我认为这可能仅限于几个地方。其一是五角大楼的一些部门,情报界的一些部门,联邦通信委员会(FCC)的一些部门,还有我们的好朋友CISA(网络安全和基础设施安全局)。但除此之外,我现在可以肯定地告诉你,美国经济的复杂性远远超出了美国政府真正理解的能力。在新冠疫情期间我们已经看到了这一点。很多细小的环节都出了问题。我们在Change Healthcare公司身上也看到了,对吧?这一出谁都没料到。总有一些系统性的重要基础设施,我们并不完全了解它们是如何融入大局的。这正是我们当初成立国家风险管理中心(National Risk Management Center)的目的,就是要弄清楚那些国家关键功能到底是什么。

所以我认为我们已经定义了这些功能,但真正的分析是,好吧,我们知道哪些东西很重要,但我们知道是谁在提供它们吗?这是一个巨大的信息鸿沟和认知鸿沟。

我想这又回到了我们讨论的整个前提,也就是说,现在中国和俄罗斯转而依赖自己的技术,与西方技术划清界限。美国处于一个幸运的位置,因为它掌控着大部分供应链。美国自己的大部分供应链要么在本土,要么来自盟友国家。但我想说的是,拥有供应链并不足以确保其安全。你拥有它,并不意味着你就能信任它。

它是不是国有企业?

哦,我知道,我知道。我说的是微软之类的公司。但关键是,它们不是国有企业。如果我们生活在颠倒的世界,微软是中国的一家公司,那他们肯定会严加管控。这就引出了我们接下来要讨论的内容。

当SolarWinds遭遇俄罗斯对外情报局(SVR)的网络攻击时,它付出了惨痛的代价。他们永远无法将自己的品牌与这起事件剥离开来。他们就像在大街上戴着写有"我很可耻"的三明治板游街示众。微软也发生过类似的事情,但似乎并没有受到什么影响。我是说,除了CSRB的报告,这似乎是朝着正确方向迈出的一步。但这又回到了整个关于主权和供应链的讨论。美国拥有自己的供应链,但似乎无法真正对其施加强有力的影响。中国没有,但正努力建立一个他们能够控制的供应链。所以在我看来,围绕这些概念,正在发生一些有趣的事情。

你知道,我们现在的讨论非常自然地集中在安全方面。从更高的角度来看,世界上最有价值的10家公司中,有8家是美国公司,其中6家是科技公司。所以我们在某些方面做得还是不错的。

至于你提到的影响力问题,我认为政府在选择正确的市场干预措施、监管措施、新的立法方面仍然举步维艰。我是说,我们连一部联邦隐私法都没有。我经常谈到这个问题。亚历克斯(Alex)也一直在谈这个问题。

不过,目前正在酝酿一部最低限度的隐私法。所以这算是一个进步。在过去的10届国会中,每一届都提出过某种隐私法案。所以我已经见怪不怪了。

在某个时刻,零售商和银行就会介入并展开争论,我们拭目以待吧。因为大家都忘了,隐私法不仅适用于科技公司。在美国,还有大量传统企业,比如零售商,尤其是金融服务公司,它们收集了大量用户数据,到目前为止一直能够隐藏在幕后。

是的。所以这完全是另一个播客的话题了。

与此同时,你还有AI(人工智能)以及半打左右的AI法案在酝酿,老实说,我不确定它们能走多远。但是,回到你提出的观点。我认为联邦政府在财政权力方面必须做得更多。

至少在这届政府,以及上届政府,都出台了第800条款(Section 800),说我们不会购买华为产品,不会购买所有其他有中国背景的产品。还动用了《约束性行动指令》(Binding Operational Directive)来屏蔽和剔除卡巴斯基(Kaspersky)的产品。对了,商务部最近宣布,他们终于要在国内商业领域也禁止卡巴斯基了。

我今天早上刚看到这个消息。对,就像一个全国范围的卡巴斯基禁令。我确认了三遍。感觉像是穿越回几年前一样。我觉得影响国内制造业基地,无论是技术还是软件,更有可能通过五角大楼的采购力量来实现。但我们已经确定,微软在这类组织使用的技术上几乎处于垄断地位。市面上根本没有Excel的替代品。没有任何紧密集成的商务套件能够将身份管理与本地系统和云端套件、Teams等工具结合在一起。这一切都很完美,对吧?

所以当谈到政府采购力量的论点时,我持怀疑态度。是的。好吧,我的意思是,你会希望政府通过联邦采购条例(FAR)或国防联邦采购条例(DFAR),能够不断提高要求水平。现在,我们都知道这些要求在很大程度上受特殊利益集团、说客和顾问等的影响。往往是那些手头最阔绰的人才有能力左右这个过程。但我们会看到改进。我的希望是,如果这些情况真的发生,如果采购确实需要更高的绩效,我不认为这些软件公司会分化。他们不会为联邦政府的销售或SKU(最小存货单位)提供不同的代码库。这是我的希望。对商业客户也一样。

你这么说,但我最近与美国国防工业基地的一位人士交谈过,谈到了一大堆需求,涉及国防工业基地(DIB)公司在更高安全级别上交换非机密信息。微软有一整套产品能够满足这些合规要求,价格大约是普通Azure的10倍,因为它是一种专用产品,不对所有人开放。所以在这一点上,我可能没有你那么乐观。

那是一种不同的情况。但你提出了一个很好的观点。这需要更高的成本。无论我们在这里做什么,当我们提高这个水平时,成本都会被计入其中。这将是公司的顺应方式。因为他们会说,好吧,如果我们要在产品安全上花更多钱,网络安全就必须成为合同中的一笔可接受成本。所以无论结果如何,都会有一个价格标签。

亚历克斯,你对此有什么看法?我想回到你的问题上,我认为这归根结底是,政府内部有人了解这里存在的脆弱性吗?我不确定,因为我认为云供应商的脆弱性,尤其是基于他们拥有的员工数量与机器数量之间令人难以置信的操作杠杆。这种操作杠杆比任何政府机构都要好10到100倍。即使你有最顶尖的SVR团队,也无法摧毁五角大楼,因为那里的一切都是异构的,对吧?就像你有AS400服务器,旁边是Windows 2008机器,再旁边是Linux服务器。而云供应商则是完全同构的。这就是为什么你可以拥有10万比1的DevOps工程师或系统管理员与系统的比例。

所以我认为,这是我们面临的挑战之一,人们之所以喜欢云计算,是因为它具有成本效益。但成本效益也正是你会遇到美国东部一区全面中断,或者当你不会听到其他公司谈论这种情况的原因。通常,大型财富500强公司是整个公司,它不会整体瘫痪。因为一切都是相互隔离的。而谷歌的一切都连接到相同的系统和代码上。

所以我确实担心,我们作为一个社会从云计算中获得的运营杠杆固然美妙,但坏人也已经意识到它的存在。


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247485577&idx=1&sn=d0e9e602ffe4d4bb62401585122488f5&chksm=fb04cbe1cc7342f729c2112bde38e66b9221503ab574bb714d4b88ce99dd055b0d6c5776bc97&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh