本文转载自【微信公众号:网空闲话】,经微信公众号授权转载,如需转载原文作者联系
网空闲话
网络空间安全信息分享,安全意识教育普及,安全文化建设培育。
美国NSA网络安全局局长Anne Neuberger日前参加了Disrupt 2020大会(这是一个塑造颠覆性技术和创意未来的创始人和投资者,以及为企业家提供见解的创业专家。数以百计的各类初创公司向来自世界各地的10,000名与会者讲述了他们的故事。这是硅谷的终极体验,创业界的领导者聚集在一起提出问题,建立联系并受到启发。)并以《间谍秘笈与网络安全》(Spycraft and Cybersecurity)为题进行了线上交流。美国国家安全局2019年10月成立了新的网络安全局,在过去一年里,该局已成为该间谍机构中较为显要和核心的部门之一。
美国国家安全局是世界顶级间谍机构之一,但其网络安全任务采取了一种更加透明的方式。我们将从国安局新上任的网络安全局局长安妮纽伯格(Anne Neuberger)那里了解到其上任第一年的情况。头条新闻并不总是对秘密工作的政府机构友善,国家安全局也不例外。泄漏事件已经暴露了该机构一些最秘密的情报收集行动。但是,不可以忽略间谍机构在确保国家网络安全防御方面的重要作用。
网络安全局的核心工作是保卫和保护政府用于敏感和机密通信的关键国家安全系统。但该部门最为人所知的是,它分享了一些来自外国黑客的更新兴的大规模网络威胁。在过去的一年中,该局对针对大多数现代计算机安全启动功能的攻击发出了警告,并挫败了与俄罗斯情报部门有关的恶意软件运营。通过公开披露攻击信息,美国国家安全局旨在让外国黑客更难以重用他们的工具和技术,同时帮助保护美国国内的关键系统。
新冠疫情爆发后的网络安全局策略的调整
但是在网络安全局开始工作6个月后,全球COVID-19病毒大流行,世界大部分地区以及美国进入了封锁状态,促使黑客们改变了手段和策略。
“威胁格局已经发生了变化,”美国NSA网络安全局局长安妮纽伯格(Anne Neuberger)在Disrupt 2020大会上告诉TechCrunch。她说:“我们已经实现了远程办公,我们部署了新的基础设施,而且我们也看到网络对手也在利用这一点。”
在公开场合,美国国家安全局就视频会议和远程协作办公软件的安全的提出了安全建议,并警告了与VPN(虚拟专用网络)相关的风险。在病毒爆发导致的社区封锁之后,虚拟专用网络的使用激增。
但在幕后,美国NSA正在与联邦伙伴合作,帮助保护生产和分发COVID-19疫苗的工作,美国政府称之为“经速行动”(Operation Warp Speed)。美国国家安全局参与此次行动的消息最早是由Cyberscoop报道的。专家说,这是结束疫情的唯一长期途径。就在世界各国竞相研制有效的新冠肺炎疫苗之际,美国国家安全局及其英国和加拿大合作伙伴公布了俄罗斯另一项针对新冠肺炎研究的情报行动。
纽伯格说:“我们是美国政府合作伙伴的一部分,我们每个人都有不同的角色。”“我们作为‘美国网络安全国家队’的一部分,正在努力了解外国威胁行为者,他们是谁,他们正在努力尝试窃取COVID-19疫苗信息,或者更重要的是,破坏疫苗信息或动摇对特定疫苗的信心。”
纽伯格说,保护研发疫苗的制药公司只是将疫苗分发给数百万美国人的大规模供应链运作的一部分。确保负责批准疫苗的政府机构的网络安全也是重中之重。
为什么TikTok是一个国家安全威胁?
今年早些时候,特朗普政府指责这家中国公司对国家安全构成威胁,几天后TikTok将被app store禁止。但政府并没有透露这款视频分享应用会带来哪些具体风险,只是声称这款应用可能会被迫为中国进行间谍活动。长期以来,北京一直被指对美国发动网络攻击,包括2014年大规模侵入美国人事管理办公室(Office of Personnel Management)的政府雇员机密文件。
纽伯格说,TikTok应用收集数据的“范围和规模”使中国间谍更容易回答有关美国公民的“各种不同的情报问题”。纽伯格承认,Facebook和谷歌等美国科技公司也收集了大量用户数据。但她说,“更令人担忧的是(特别是中国)如何利用收集到的所有信息针对本国以外的人。”
【编者注】典型的双标。TikTok应用收集数据会危及美国的国家安全。而Facebook和谷歌等美国科技公司也收集了大量用户数据,就不危及别国的国家安全? TikTok的命运仍不明朗,20日字节跳动发布声明称,已与甲骨文、沃尔玛就“云上加州”方案达成原则性共识,三方将按照此共识,尽快达成满足美国和中国法律要求的合作协议。但此后特朗普总统的态度又发生了变化,这一方案的实施也变得不确定。市场经济和公平竞争原则,国际经贸规则,开放、公平、公正、非歧视的营商环境,统统都是为他国制定的。
美国国家安全局正在私下向公司披露安全漏洞
纽伯格说,美国国家安全局正试图对它发现和披露的漏洞更加公开。她告诉TechCrunch, nsa今年向私营公司透露了“一些”漏洞,但“这些公司不愿透露原因”。
一个例外是今年早些时候,微软证实美国国家安全局发现并私下报告了Windows 10的一个重大加密漏洞,该漏洞可能使黑客能够运行伪装成合法文件的恶意软件。这个漏洞是如此的危险,以至于美国NSA向微软报告了这个漏洞,微软修补了这个漏洞。
就在两年前,该间谍机构还因发现并利用Windows系统的漏洞进行监视,而不是向微软发出警告而受到批评。该漏洞后来被泄露,并用“想哭”勒索软件感染了数千台电脑,造成了价值数百万美元的损失。
作为一个间谍机构,美国国家安全局利用软件的缺陷和弱点来收集关于敌人的情报。政府必须通过一个叫做“漏洞权益程序”(VEP)的程序,这个程序允许政府保留漏洞以用于监视。
【编者注】此前,卡耐基梅隆大学电气与计算机工程系教授David Brumley曾用博弈论的方法对漏洞披露的过程进行研究,他认为美国政府有责任保护国家,这(相当合理)既需要网络进攻也需要网络防御。美国的政策是优先考虑防御并披露美国“漏洞权益程序”(VEP)中的任何行动。NSA(国家安全局)表示,通常会披露其研究人员在通过VEP流程进行评估后发现的大约91%的漏洞。
有争议的是,公众认为NSA应该彻底披露每个漏洞。当前网络犯罪的确具有价值,而且已成为现实中网络安全事件的关键部分,例如入侵DNC服务器(坏)或破坏危险国家的核材料计划(好)。如果选择用炸弹杀死人还是使用网络攻击达到相同目的,通常认为网络手段可能更有意义。漏洞披露的任何问题都不应该孤立地看待。正如之前所看到的,这取决于游戏规则,以及哪种战略最有可能达到预期的结果。
