美国新发布的国家网络安全战略中提出的一个想法是重新执行一项行政命令,这是特朗普在任期间提出但没有实施的行政命令。该命令旨在通过对美国国内云计算提供商实施更严格的了解客户检查,使网络攻击者更难以在美国托管其恶意软件和进行网络攻击。
虽然这是出于好意,但这可能会产生负面影响。云计算提供商如今善于发现并关闭被滥用的系统。此外,他们经常通过与执法部门或研究人员分享潜在相关网络攻击的信息来进行合作,并且不太可能从海外托管中获得这种合作。
根据Politico公司的报道,这种举措迫使网络攻击者知道他们在美国以外进行的攻击可能会更容易被发现,从而更好地跟踪受害者。美国一位高级政府官员表示,“国外黑客经常租用美国的云计算基础设施,因为这样更容易从美国的IP地址混入看似正常的互联网流量。在美国境内发动网络攻击还能够使他们利用美国网络司令部和国家安全局的盲点,因为这些机构被禁止监视美国网络。”
第一种说法是,更容易查明来自美国以外的网络攻击,这可能只是一种极端情况。1995年,美国国防承包商可能有能力阻止或审查美国境外的流量。但在2023年,没有任何机构和组织有能力阻止或审查所有流向美国境外的流量。此外,云计算服务器的地理位置在任何情况下都不是特别可靠。
第二种说法是,美国国家安全局和美国网络司令部将拥有更大的可见性,这似乎更有可信度。然而,现在只有美国联邦调查局才有权力监视美国的网络,尽管附加了更多的条件。然而,如果从美国的服务器发起重大攻击,美国联邦调查局很可能能够访问服务器本身。最初发布的行政命令特别提到,网络攻击者在捕获和分析服务器之前销毁证据的问题。
提高云计算提供商的弹性
Politico公司发布的另一份研究报告提供了可能即将出台的其他立法的背景。报告援引美国政府网络主管KembaWalden的话说,“虽然云计算服务可以减轻最终用户的大量安全负担……但当这些云计算提供商没有提供他们可以提供的安全级别时,就会出现问题。”
虽然云计算提供商应尽其所能确保其服务的适当安全性,但也应认识到云计算服务提供商和企业内部安全职能之间的共同责任模型。无论如何,迁移到云平台可以改善企业的整体安全状况,因此美国政府鼓励云迁移是有道理的。例如,勒索软件攻击导致一些中小型企业倒闭,而在云中运行重要文件和平台可以降低此类事件发生的可能性和影响。
然而,企业将业务迁移到云平台并不能提供更高的安全性,而且可能会带来额外的挑战。例如,由于云计算资源的动态性和短暂性,一旦这些资源之一受到损害,企业通常没有必要的数据来执行适当的调查。如果企业在安全事件发生后不能快速捕获数据,那么这些数据可能永远丢失,这有助于网络攻击者掩盖他们的踪迹。
当考虑到现行的或拟议的立法时,企业往往通过使自己的激励与公众的激励保持一致而得到最好的服务。云计算提供商已经有了维护客户的弹性和安全性的巨大动力,他们也从安全支出中获得了巨额利润。
关键基础设施领域受到的威胁
在关键基础设施领域,一个公认的观点是,松鼠对电网的威胁可能比网络攻击更大。
美国国家安全局前副局长曾在2015年说,“我不认为网络攻击比自然灾害更有可能导致电网瘫痪。坦率地说,迄今为止,美国电网面临的头号威胁是松鼠。”
一个专门追踪松鼠攻击关键基础设施的网站解释了这一现象,并提供了一个游戏,用户可以扮演松鼠攻击变电站。
同样,由于网络攻击而影响关键基础设施的灾难威胁与更多的物理威胁相比被夸大了,云计算提供商的灾难可能也是如此。就像在CloudHopper公司所报道的那样,许多二级云托管公司和托管服务商遭到了网络攻击,云计算服务商也遭到黑客攻击,这可能会通过供应链攻击导致更多的客户妥协。
鉴于所有关于针对云计算提供商的网络攻击的讨论,最具破坏性的云服务中断实际上是AWS停电和OVH公司数据中心烧毁的结果。
到目前为止,美国政府在提高网络弹性方面得到了积极的评价,人们期待着这项立法的出台。
