拜登新政:加速网络安全主流化
星期五, 一月 22, 2021
安全牛评:2021年,距离巴铁兄弟研发首个电脑病毒已经过去35年,距离第一次大规模互联网泡沫已经过去20年。从技术与情怀驱动,到经济与规模驱动,再到政治与危机驱动,互联网和网络安全已经迎来了第三次浪潮。作为后新冠时代的首位美国总统,全球数字化生态“再平衡”的关键人物,耄耋之年的拜登,会如何缓和或加剧互联网/网络安全的巴尔干化和政治化?
1月20日,拜登正式宣誓就任美国第46任总统,上任第一天就一口气签署了17项行政令,批量“销毁”特朗普的政治遗产。这不禁令人好奇,拜登会很快亮出他的网络安全“新政”吗?
根据Politico的报道,拜登团队早在2020年8月份就已经在悄悄起草网络安全计划,以加强美国对俄罗斯、中国的网络安全防御,并积极拉拢两党前任网络空间安全事务官员。
如今,成功入驻白宫的拜登对特朗普任期的网络安全政策(虽然这些政策通常被认为是无党派偏见的),会有多大程度的保留?拜登的网络安全新战略,重点是什么?会带来哪些改变?
拜登竞选活动的国家新闻秘书贾马尔·布朗去8月份曾表示:“与特朗普不同,拜登认为网络安全是我们这个时代面临的重大挑战之一。”他补充说,“拜登实施的网络安全战略将以阻止恶意网络活动和保护经济免受网络攻击为中心。”
网络安全回归主流化
来自奥巴马和布什政府的多名前官员曾预测,拜登在网络安全决策中将比特朗普扮演更直接的角色。奥巴马的一位高级网络官员说,网络安全将在拜登政府的战略中“更加整合和主流化”,而不是目前这种局外人角色。
如果把奥巴马和特朗普时期的美国政府网络安全战略归纳为:冷战思维、重攻轻守、军进民退,预算和决策权大幅向军方倾斜。那么,拜登的新战略中,私营部门显然将获得更多的预算和话语权。
早在去年7月1日,数十名美国企业巨头的网络安全高管就曾踊跃参加了拜登竞选活动的虚拟募捐活动。高盛前首席信息安全官安迪·奥兹门德(Andy Ozment)主持了这个为时一个小时的活动,嘉宾包括来自科技、能源、电信、制造业和金融服务公司的网络领导人。
人工智能攻击检测技术供应商Vectra的安全分析负责人Chris Morales与Kaplan持同样的看法,他指出特朗普政府的好战方法植根于过时的冷战思维,不适合当代网络威胁的新形势。
“2018年是特朗普政府网络安全策略调性的一个转折点,在此之前,对于企业而言,目标一直是‘减轻风险’。”Morales说道。“这是特朗普政府在2015年最后一次制定之前的联邦网络安全战略的态势。但是,2018年,新的定调变成了‘坚定地捍卫我们的利益’,这种姿态更加活跃和富有攻击性。该策略使用了诸如‘胜利’和‘优先’之类的术语,这很像冷战期间的语言风格。”他继续说道。
2018年8月,特朗普签署了一项机密指令,使军方可以更自由地进行进攻性网络行动。在奥巴马领导下,网络攻击需要总统的个人授权,但特朗普的命令将该权力下放给了军队指挥官。
特朗普强化军事网络能力的政策举措主要包括三点:统一网络指挥、赋予国防部发动网络战争的权力、“捍卫”网络战略以及进攻性网络作战的立法工作。
Morales总结说:“我们有望看到(拜登政府安全政策的重心)从网络战争转移到降低(经济)风险和个人隐私(保护)。”
事实上,持续发酵中的,被美国政府机构定性为过去十年最为严重的网络安全危机——SolarWinds供应链攻击,已经沉重打击了特朗普“重攻轻守、以攻为守”的网络安全战略,因为再强大的进攻威慑力和技术优势,也无法代替高弹性的安全防御能力,更不能遏制高度复杂的黑客攻击。正如Morales所言:“进攻性威慑力与真实的网络攻防发生方式并不一致,正如最新的SolarWinds漏洞所证明的那样(攻强并不能弥补守弱)。”
颇具讽刺意味的是,2016年在总统候选人辩论中,特朗普揪住希拉里的“邮件门”穷追猛打,但是2021年特朗普卸任之际,SolarWinds攻击的安全调查初步结果显示,由于多个政府部门邮件系统被入侵和监视,希拉里当初自作主张使用私人邮件服务器反而可能是更加安全的选择。
而早在去年三月,网络空间阳光房委员会就曾在被特朗普束之高阁的报告中预见了SolarWinds网络攻击,报告写道:美国正面临“灾难性网络攻击”,它所造成的持久损害可能超过许多严重火灾、洪水和飓风。
拜登的三把火
拜登政府预计会从多个方面强调网络安全问题的重要性。
去年竞选期间,媒体就预测拜登获胜一定会恢复2018年5月被特朗普取消的协调整个政府活动的高级国家安全委员会网络协调员职位。
此外,安全公司Pixel Privacy的克里斯·豪克(Chris Hauk)评论说:“拜登总统还将恢复白宫(与网络安全)相关的两个显赫职位——国土安全顾问和网络安全顾问,这些职位在特朗普总统任职期间几乎被忽略。”
事实上,拜登不仅可以恢复国家安全委员会网络协调员的职位,还有可能采纳网络空间阳光房委员会的建议,在白宫设立一个更大的、更有权力的国家网络主任办公室。这条建议也是特朗普政府所反对的。
Synack的Kaplan认为:“与特朗普不同,拜登政府将与美国的盟友组成联盟,以改善网络安全并制定国际标准、以建立全球网络行为规范。”
在特朗普任职初期,联邦通信委员会(FCC)废除了两项极为重要的互联网法规:宽带隐私和网络中立性,给互联网乃至全球科技生态造成了不可逆的负面影响。
“我希望拜登在任期内能恢复对消费者的保护。”安全公司Comparitech的隐私倡导者Paul Bischoff说道。
网络中立性要求互联网服务提供商平等对待所有类型和来源的互联网流量,从本质上将互联网定义为“公共设施”。而宽带隐私规则可确保互联网服务提供商未经同意不得收集和出售客户的浏览历史记录、通信、位置数据和其他私人信息。
端到端加密,烫手的山芋
特朗普政府此前曾攻击端到端加密,理由是该技术可以破坏国家安全。但是颇具讽刺意味的是,随着特朗普在白宫最后的日子被硅谷科技和社交媒体巨头们“社死”,粉丝社区Parler应用数据泄露,特朗普的支持者们,甚至更多的关注隐私的用户们,纷纷涌入Telegram、Signal等提供端到端加密的通讯平台,Signal的注册服务甚至一度被挤爆宕机。
Comparitech的Bischoff评论说:“我不确定拜登会在哪方面做这件事(端到端加密的监管),但是在奥巴马担任副总统期间,奥巴马政府没少推进网络间谍活动和大数据收集,正如爱德华·斯诺登2013年所揭示的那样。”
他补充说:“他过去的政策表明,拜登不会反对禁止端到端加密,但是来自其他议员及其选民的压力可能会说服他。”
Petrie解释说:“尽管白宫网络安全相关职位减少,但特朗普政府内部的网络安全结构实际上主要是两党合作,而政治分歧通常被搁置了。但前网络安全和基础设施安全局局长Chris Krebs被特朗普解雇使这种(两党在网络安全事务上的和谐共处)幸福局面开始恶化。但是当我们谈论这些计划时,我认为我们不会看到很多变化。例如,网络安全和基础架构安全局(CISA)仍将作为网络安全的核心部门存在。”
“就资金而言,我不认为政府会削减预算。实际上,国家安全局的资助甚至可能增加。但更加自由的拜登政府很可能会引入更多的监管。从监管角度看,特朗普政府的大部分工作都集中在全面放松管制上,而拜登政府则有望提高监管要求。”Petrie说道。(编者:拜登政府财政部长Janet Yellen本周三在国会听证会上对加密货币监管的强硬态度已经引发了加密货币市场的雪崩)
笼罩开源社区的政治疑云
在“以攻为守”的网络安全战略思想的主导下,白宫和美国国家安全策略对开源社区的(潜在)影响,过去几年一直困扰着全球科技界。例如,2019年5月GitHub和Apache基金会先后宣布将遵守美国出口管理规定(U.S. Export Administration Regulations,缩写 EAR)。
拜登的网络安全新政,是否会驱散笼罩在开源社区上空的政治疑云?一个值得留意的信号是:拜登·哈里斯(Biden-Harris)政府已任命戴维·利迪顿(David Recordon)为白宫技术主管。
Morales对Recordon的评价是:“Recordon以其对开放标准身份验证协议和方法的贡献而闻名,这正是行业和联邦政府所需的技术类型。他有一个拥有良好记录的技术专家,并且很可能继续将联邦政府的现代化作为其工作重点。”
Sonatype的副总裁兼DevOps Advocate的Derek Weeks补充说:“任命David Recordon为白宫技术主管表明,拜登-哈里斯政府已经认识到开源软件和应用安全对现代企业的重要性。”
(本文作者:CY)