美国家网络总监：在网络领域，集体防御是最好的进攻

美国国家网络主管克里斯·英格利斯表示，应对重大网络攻击，唯有认真建设防御，让防御成为新的进攻。这样的话，恶意黑客必须先击败整个集体防御体系，才能击败我们中的任意一个。

前情回顾· 美国网络安全关键人

• RSAC 2022现场：美国家网络总监称网络防御重保已成为新常态
• RSAC 2022现场：美国家情报总监称网络安全越来越难了

安全内参消息，日前在DEF CON黑客大会上与调查记者金姆·泽特（Kim Zetter）的对话节目中，美国白宫国家网络主管克里斯·英格利斯表示，网络安全的前进方向将是 防御， 明确的角色与责任，以及 对弹性和稳健性的投入。

集体防御成为新的进攻

根据英格利斯的介绍，近年来网络攻击演进可以分为“三个波次”。

第一波攻击者“专注于将数据和系统置于风险中”。第二波攻击者“同样令数据和系统陷入风险，但随后会将事态升级到关键功能风险”。第三波则指向安全信心，比如针对科洛尼尔管道运输公司的攻击。

英格利斯表示，“这些事件带给我们的最大教训，就是恶意黑客会将数百万人的安全信心毁于一旦。他们虽然只赢了一次，却相当于赢了无数次。而一位受害者的失败，则在心理层面蔓延成了无数人的失败。我们必须想办法扭转局面。”

英格利斯认为，问题的答案就是 专注于防御，特别是集体防御。

在他看来，“唯一可行的解决方案就是 认真建设防御，让防御成为新的进攻。这样的话，恶意黑客必须先击败整个集体防御体系，才能击败我们中的任意一个。这需要对弹性和稳健性进行前期投入，这种投入不仅要体现在数据和系统上，更要体现在角色和责任上。只有这样，我们才能捍卫协作关系和安全信心，确保系统中的每个人都理解自己在防御布局中扮演的角色，让每个人都能参与到这场命运攸关的安全对抗当中。”

英格利斯指出，乌克兰的网络防御体系，就很好地体现出了充分筹备、协作以及对供应商方案弹性/稳健性的信任等集体防御要素。

明确角色与职责，

推动供应链安全可靠

记者泽特提到，目前人们似乎对未来的攻击形态“缺乏预期，或者说足够的想象力”。当说起科洛尼尔管道运输公司、SolarWinds等震惊全球的重大攻击事件，特别是相应的主动预防或缓解思路，英格利斯认为 个人和组织都需要首先明确自己的角色和职责。

在他看来，“我们其实并不知道是谁在负责为数字基础设施 提供必要的弹性和稳健性。是谁本身不是重点，重点在于意识到如果没有这层保障，个人活动、商业活动等就无法正常进行。”

除了关注防御之外，英格利斯还强调对问题开展纵向和横向调协，同时关注相应的资本支出。他同时指出， 在整个供应链中明确划分责任同样意义重大。

英格利斯认为，“我们需要达成一项共识，对于供应链的任何参与方，如果他们只是随意使用，并未对系统自身的弹性和稳健性做过任何投入，那就应该禁止其触及我们的系统。我们需要 把这份安全责任和义务分摊给各提供商、供应商、集成商，由他们投入必要资金，强化系统的内在弹性与稳健性。”

他还补充了这项措施的重要意义，“如此一来， 运行在网络链末端的人们就不会被困在一个无法防御的系统当中，不必在自己根本无力对抗的恶意黑客面前绝望地尝试保护自己。”

英格利斯还讨论了在各类关键基础设施中使用国外成品组件的问题，例如半导体元件。他敦促各方“对依赖外国生产的关键基础设施，建立起正确而清醒的成本认知。”但他也承认，这类项目无法在短时间内“拆除和更换”，毕竟美国也需要时间把很多已经离岸的产业重新引流回国内。其中的典型例子就是新近颁布的《2022年芯片与科学法案》。该法案希望将半导体生产带回美国，帮助美国摆脱对外国制造芯片的全面依赖。

英格利斯最后总结道，这项工作的达成不可能只靠联邦政府的一、两个部门。这是一个整体性问题，必须匹配整体性的解决流程。

参考资料：nextgov.com