美國總統(tǒng)拜登邀請?zhí)O果CEO蒂姆·庫克、微軟CEO薩提亞·納德拉、亞馬遜總裁兼CEO安迪·賈西共聚白宮，商討私營產(chǎn)業(yè)如何幫助對抗勒索軟件和軟件供應(yīng)鏈攻擊。

據(jù)彭博社報道，這場即將到來的會談重點(diǎn)關(guān)注美國面對關(guān)鍵基礎(chǔ)設(shè)施重大網(wǎng)絡(luò)攻擊的恢復(fù)能力。拜登此前曾與俄羅斯總統(tǒng)普京鄭重其事地談過基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊問題。

[[419803]]

今年7月，拜登表示，如果美國要參與“真正的熱戰(zhàn)”，那可能是為了反擊重大網(wǎng)絡(luò)攻擊。新冠肺炎疫情期間，美國政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施提供商面對大量勒索軟件和網(wǎng)絡(luò)間諜攻擊，包括SolarWinds軟件供應(yīng)鏈后門事件，還有Colonial Pipeline、Kaseya和肉類企業(yè)JBS遭遇的勒索軟件攻擊。

據(jù)彭博社的消息，庫克、納德拉和賈西計劃在24日參加此次會議。

谷歌、IBM、Southern Co和摩根大通的CEO也被邀請參會，討論銀行業(yè)、能源與供水設(shè)施行業(yè)的基礎(chǔ)設(shè)施企業(yè)如何改善網(wǎng)絡(luò)安全和與政府協(xié)作。

響應(yīng)拜登5月份的網(wǎng)絡(luò)安全行政令，微軟、AWS、思科、FireEye和IBM目前正參與政府主導(dǎo)的工作，支持美國關(guān)鍵基礎(chǔ)設(shè)施。

白宮會面之后，谷歌和微軟承諾投資上百億美元專用于網(wǎng)絡(luò)安全，蘋果、亞馬遜和IBM也貢獻(xiàn)了自己的網(wǎng)絡(luò)安全承諾。

8月25日，美國總統(tǒng)拜登在白宮舉行了網(wǎng)絡(luò)安全會議，如愿拿到主流科技公司在國家網(wǎng)絡(luò)安全工作方面的承諾，推動科技巨頭大筆投資改善美國面對網(wǎng)絡(luò)攻擊的恢復(fù)能力。例如，微軟和谷歌就各自承諾拿出上百億美元網(wǎng)絡(luò)安全專用投資。

這次會議源自近期一系列重大網(wǎng)絡(luò)安全事件，包括Colonial Pipeline勒索軟件攻擊(致美國東南部油氣供應(yīng)中斷)、SolarWinds軟件供應(yīng)鏈攻擊和針對微軟Exchange服務(wù)器的大規(guī)模黑客行動。

在聲明中，美國政府稱，解決網(wǎng)絡(luò)安全威脅需要“整個國家共同努力”。為此：

• 微軟宣布將在未來五年里投資200億美元，用于推動“設(shè)計網(wǎng)絡(luò)安全”和交付先進(jìn)的安全解決方案。該公司還宣布將立即提供1.5億美元的技術(shù)服務(wù)，幫助美國聯(lián)邦、各州和地方政府提升其安全水平。
• 谷歌承諾在未來五年里投資100億美元，用于擴(kuò)展零信任計劃，幫助保護(hù)軟件供應(yīng)鏈安全和增強(qiáng)開源安全。該公司還表示，將幫助10萬美國人拿到行業(yè)認(rèn)可的數(shù)字技能證書。
• 蘋果公司將設(shè)立新的計劃，讓技術(shù)供應(yīng)鏈更加安全。作為這項工作的一部分，該公司計劃與其供應(yīng)商合作，推廣多因素身份驗證，推動安全培訓(xùn)、漏洞修復(fù)、事件日志和網(wǎng)絡(luò)安全事件響應(yīng)。
• IBM聲稱將在未來三年里培訓(xùn)15萬人掌握網(wǎng)絡(luò)安全技能，并將與20多所傳統(tǒng)黑人高校合作，成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力中心。
• 亞馬遜宣稱將為AWS賬戶持有者提供免費(fèi)多因素身份驗證設(shè)備。該公司還計劃向公眾免費(fèi)開放其當(dāng)前為員工提供的安全意識培訓(xùn)。

網(wǎng)絡(luò)保險提供商和教育機(jī)構(gòu)也向美國政府承諾改善國家安全狀況。

今年早些時候，拜登政府還啟動了一項為期100天的計劃，旨在改善整個電力行業(yè)的網(wǎng)絡(luò)安全。8月25日，美國政府宣布該計劃已提升了150多家電力設(shè)施的網(wǎng)絡(luò)安全狀況，現(xiàn)在正向天然氣管道擴(kuò)展。

此外，白宮還表示，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將擬制新的框架，用以改善技術(shù)供應(yīng)鏈的安全性與完整性。NIST將與微軟、谷歌和IBM等合作伙伴協(xié)同推進(jìn)此項工作。

歐洲網(wǎng)絡(luò)安全團(tuán)隊也憂慮軟件供應(yīng)鏈攻擊的興起，因為驗證第三方代碼實(shí)在太難了，無論是開源代碼還是專有軟件。

SolarWinds攻擊造成微軟、多家頂級美國網(wǎng)絡(luò)安全公司和數(shù)家政府機(jī)構(gòu)數(shù)據(jù)泄露，凸顯了美國關(guān)鍵基礎(chǔ)設(shè)施承受的網(wǎng)絡(luò)安全風(fēng)險。

其他威脅來自常用企業(yè)軟件，比如微軟Exchange服務(wù)器，傳言有中國黑客在微軟推出補(bǔ)丁前利用這款服務(wù)器的漏洞。