为何20余位美国商业要在白宫聚会,被认为与Winnti umbrella组织有关,讨论美国网络安全问题?
当地时间8月25日,并指出其与另一个被称为Crosswalk的后门相似,美国总统拜登在白宫举行的峰会上呼吁私营领域采取更多措施,后者在2019年被同一黑客组织使用。SideWalk是一个模块化的后门,应对网络安全威胁。参会者包括苹果公司首席执行官库克(Tim Cook)、谷歌母公司Alphabet首席执行官皮查伊(Sundar Pichai)、亚马逊公司首席执行官贾西(Andy Jassy)、微软公司首席执行官纳德拉(Satya Nadella)和摩根通公司首席执行官戴蒙(Jamie Dimon)等。
拜登在峰会前的讲话中说:“现实是,可以动态加载从其C&C命令和控制服务器发送的附加模块,我们的分关键基础设施由私营门拥有和运营,利用Google Docs作为死循环解析器,联邦无法单独应对这一挑战。我相信,以及Cloudflare作为C&C服务器,你们有权力、能力和责任来提高网络安全的标准。归根结底,它还可以适当处理代理背后的通信。自2019年首次出现以来,我们有很多工作要做。”
拜登补充说,SparklingGoblin与几个针对香港学的攻击有关,这些挑战因网络安全专业人员的短缺而变得更加复杂。白宫估计,使用Spyder和ShadowPad等后门,美国目前约有50万个网络安全职位仍然空缺。
美国宣布将与业界合作,后者近年来已成为多个黑客集团的首选恶意软件。在过去的一年里,制定新的指导方针,以帮助美国公司和机构建立安全技术,并评估现有技术的安全性。根据白宫的新闻声明,微软、谷歌、网络保险服务提供商Coalition等公司承诺参与这一倡议。
美国对规模网络攻击采取反应
据美媒报道,过去一年,美国关键基础设施遭受了规模网络和勒索软件攻击。去年12月,微软公司公开表示遭受到了网络攻击。今年5月,美国燃油管道公司Colonial Pipeline因勒索软件攻击而关闭了管道,最终向黑客支付了近500万美元的赎金。该事件发生后,拜登强调需要“加私营门在网络安全方面的投资”。6月,全球最肉类生产商巴西JBS集团美国分公司向网络犯罪分子支付了价值1100万美元的比特币赎金,以解决遭受的网络攻击。
面对规模的勒索软件和网络攻击,拜登召集这次会议,旨在讨论行业和美国联邦如何能够共同改善网络安全。据一位美国高级官员透露,拜登敦促商业在提升劳动力技能和改善各自行业的网络安全方面做出承诺。
白宫今年采取的行动包括一项行政命令,指示联邦机构加强安全协议,并要求型管道公司报告网络事件。但该高级官员说,私营公司和之间需要更多的合作,并补充说,在许多情况下,私营门比有更多的权力或影响力来进行必要的网络安全变革。
白宫宣布,美国标准和技术研究所(NIST)将与业界合作,创建一个关于改善“技术供应链”安全的框架。这一框架将为如何构建安全技术提供指导,并审查产品的安全性,包括源码软件。IBM、微软、谷歌、美国旅行者保险公司和Coalition都对该倡议做出承诺。
据美媒援引参会者消息,这次会议只是企业界与合作应对网络安全威胁的开始。随着日益复杂的网络攻击,美国政界正权衡是否要给私营门更多权力。拜登早前提议,在基础设施法案中拨款近10亿美元,用于改善州、地方和落的网络安全。7月,美国国会提出《网络事件通知法》,一旦通过,未来与美国合作或提供关键基础设施的公司将必须遵守更严格的网络攻击披露规则。
同月,拜登还签署了一份安全备忘录,概述了关键基础设施的网络安全性能目标,包括电力、水和运输等基本服务。当被问及拜登是否会支持国会的提案时,白宫新闻秘书帕萨基(Jen Psaki)没有给出确定的答案,但表示白宫将审查国会推进的任何提案。帕萨基说:“我们的观点是,美国联邦有责任制定明确的指导方针,而私营门也有责任采取措施加强自己的网络安全。”
解决网络安全人才短缺问题
“我们一再看到,从我们的手机到管道再到电网,我们所依赖的技术如何成为黑客和犯罪分子的目标。”拜登说:“我们网络安全领域熟练劳动力的增长速度不够快,无法跟上步伐。”
根据网络安全人才门户网站CyberSeek估计,2020年4月至2021年3月期间,有超过464000个网络安全职位空缺。此背景下,科技巨头在会上还宣布了一项就网络安全进行劳动力培训的倡议,旨在努力填补近50万个空缺职位。
网络安全培训公司CyberVista的首席执行官佩特拉(Simone Petrella)说,网络安全方面的人才短缺跨越了各个行业,所有16个关键基础设施门都存在人才短缺,如能源、医疗保健和制造业。
白宫峰会后,谷歌承诺在三年内投资超过100亿美元用于网络安全计算和软件项目,并对10万名美国人进行再培训,以支持这些人未来能够从事IT支持和分析工作。苹果公司表示,它将启动一项新计划,对其9000多家美国供应商采取安全培训,以确保供应链安全。IBM公司表示,计划在未来三年内对超过15万人进行网络安全技能培训。亚马逊计划在10月发布其的网络安全培训材料,以保证其员工和敏感信息免受网络攻击。
微软宣布,它已经提供了1.5亿美元的技术援助,帮助美国联邦、州和地方升级其网络安全保护措施,还将在未来五年投资200亿美元,将网络安全纳入其产品的设计,并提供先进的安全解决方案。
标签:
