最近,美国国土安全部和 HackerOne 平台共同推出Hack the Army 3.0 漏洞奖励计划。想想就很刺激。作为一顶白帽子,如果挖出政府官网的漏洞,立刻树立了国家安全守护者的光辉形象,太酷了,没有朋友。
上任埋彩蛋,拜登重网安
漏洞赏金计划一出来,就有很多白帽子挖洞赚赏金。然而,有人发现,打开白宫官方网站HTML代码结束后,发现隐藏着一个神秘的注释。
仔细看写作“If you’re reading this,we need your help building back better.”代码后面还有一个链接指向数字化服务部(https://www.usds.gov/)。
原来美国的数字服务部门(USDS)的“招聘启事”偷偷藏在这里。好家伙,没点技术还看不到这个消息。
当然,这个彩蛋现在已经成为公开的秘密。
据报道,拜登于2021年1月20日上任后,白宫在更新时悄悄加入了这个小彩蛋。
为什么一上任就藏彩蛋?事实上,从侧面可以看出拜登政府对网络安全的重视。一是以有趣的方式缩短群众距离,聚集民间人才,二是为后续网络安全政策的出台铺平道路。
人才 资金,拜登网安新政策
拜登如何铺平道路,让我们来看看最近美国网络安全政策的变化。目前,拜登上任后实施了两项具体政策:
(1) 恢复了两个重要职位:土地安全顾问和网络安全顾问。许多其他国家的安全官员也被任命。它包括前国家安全局高级官员Morgan Stanley应变能力负责人和其他高级安全官员可以说是聚集了大人物。据报道,拜登计划建“世界级”网络安全团队,这些大人物的加入可以说为美国国家安全局注入了强大的力量。
(2) 对CISA美国总务管理局(GSA)投资90亿美元推出一系列新投资IT与网络安全共享服务,并在其他联邦机构进行全面的网络安全升级。如果有人,资金会立即跟上。俗话说,“巧妇难为无米之炊”,为了让人才和部门发挥作用,拜登可是下了血本,90亿美元砸下去,想必是要搞一场轰轰烈烈的大活动了。
除上述两项政策外,拜登还建议在未来的短期规划中投资3亿美元GSA建立新的安全技术计划,招聘网络安全技术和工程专业人员2亿美元,6.91亿美元用于改善政府的安全监控和事件响应。
资金流入网络安全行业,行业新生机难以爆发。
在上任的短短半个月内,拜登对加强美国网络安全产业有了明确的规划和实施措施,这显然不是他的突发奇想和努力。事实上,拜登十多年来一直关注网络安全行业,早在几年前就提出了相关建议。
- 2009拜登当时担任副总统,敦促他在网络安全方面合作。他告诉美国欧洲盟友,北约应该专注于网络安全。
- 2015年,他还拨款2500万美元支持网络安全教育,促进该领域的职业发展。
- 据 Politico 报道称,去年8月,拜登的团队正在悄悄起草网络安全计划,以加强美国对俄罗斯和中国的网络安全防御。
多年的关注和不断的提案表明,拜登对网络安全有自己的看法,认为网络安全迫在眉睫,但美国的网络安全现状并不乐观,尤其是2020年底SolarWinds在此基础上,拜登对前特朗普政府网安政策的诸多不满也是可以理解的。
特朗普对网络安全视而不见
美国的网络安全状况一直不容乐观。近年来,美国政府和企业遭受了2020年12月的高频网络攻击SolarWinds攻击暴露了这个问题,引起了美国对网络安全问题的重新审视。拜登指责特朗普没有足够重视网络安全,并发誓要加强美国的网络防御,并呼吁总统明确和公开发现罪魁祸首并采取措施“追究他们的责任”。
他还在特拉华州威尔明顿举行的年终新闻发布会上说:“这次袭击发生在唐纳德·他当时没有看特朗普的手表。” “即使他不认真对待,我也会。”
尽管拜登指责特朗普不重视网络安全,但特朗普真的视而不见吗?
显然不可能。事实上,特朗普对网络安全有自己的看法。
特朗普上任后,美国政府在一定程度上调整了网络安全政策。随着美国政府、国会和一些战略家将与中俄竞争作为国家安全战略的重点,特朗普政府将网络空间竞争作为美国面临的主要挑战。在白宫国家安全团队的支持下,特朗普政府发布了一系列行政令和战略文件。通过分析这些政府文件和相关政策的实施,可以看出,关键基础设施保护、数字经济繁荣和网络军事能力建设是特朗普政府改革和关注的焦点。
由于重点转移,特朗普政府的网络安全政策比以前的政策更具攻击性。即使在网络防御方面,美国也采取了以攻击为防御的策略。例如,在2018年美国中期选举之前,特朗普命令有关部门对俄罗斯发动数字攻击。然而,过度强调攻击性建设必然导致缺乏防御性。此外,与强烈的攻击性相比,美国在促进全球网络治理方面缺乏动力,这也导致其他国家反击,对美国发动更多的网络攻击。
拜登12月20日在威尔明顿新闻发布会上发表讲话
推陈出新,拜登新政策的影响
与特朗普最明显的区别在于网络安全战略中心的转移。
国家新闻秘书贾马尔·布朗去年8月表示,拜登的网络安全战略将重点防止恶意网络活动,保护经济免受网络攻击,并将比特朗普更加关注网络安全。
中心的转移将不可避免地带来政策的变化。尽管拜登批评了特朗普政府的网络安全政策,但拜登并没有完全否决它。在拜登当选之前,有报道称,如果拜登当选总统,他的网络安全策略将更加关注选举干扰和网络犯罪的威胁,但不太可能从根本上摆脱现有的政策,因为在网络安全领域,这些政策大多是无党的。拜登本人承认了特朗普的一些网络安全决策,比如给军队更大的权力入侵美国的对手。
2018 8朗普签署了一项机密指令,使军方能够更自由地进行进攻性的网络行动。在奥巴马的领导下,网络攻击需要总统的个人授权,但特朗普的命令授予了军事指挥官。
拜登在之前的报告中表示,他支持这一决定,显然他也认为有必要保持目前的进攻性。但他也会纠正其他政策,比如现在我们可以看到他已经恢复了被特朗普取消的白宫网络安全顾问的职位。
2018 特朗普取消了协调整个政府活动的高级国家安全委员会网络协调员职位。尽管白宫声称此举是为了减少不必要的官僚机构,但这仍然让双方都感到惊讶。无论特朗普考虑什么,很明显,失去这个职位的美国国家安全委员会陷入了无组织的混乱,一些官员甚至说,委员会“就像动物园”。面对这混乱的场面,拜登不能坐视不管。
拜登上任后的第一步是恢复这个职位。显然,恢复国家安全委员会的秩序是拜登新网络安全政策的首要目标。根据拜登的最新拨款,我们还可以看到,扩大网络安全行业规模,加强相关人员技能也是拜登的重点。
与特朗普时期相比,拜登的新政策得到了保留和创新。在当前美国面临诸多威胁的情况下,国家在更有序的环境下仍然保持攻击性,以加强网络防御。但这也意味着,美国以后对其他国家的网络攻击不会减少,这可能会对中国产生很大的影响。因此,我们不能放松警惕。毕竟,他们认为中国和俄罗斯是矛盾的主要方面。由于拜登上任时间短,如果你想看到更清晰的拜登政府网络安全治理模式,你必须等待后续新政策的出台。