VentureBeat 最近(虚拟)与克里斯·克雷布斯 (Chris Krebs) 坐下来,克里斯·克雷布斯 (Chris Krebs) 曾是美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA) 的首任局长,最近担 SentinelOne 的首席公共政策官。他是Krebs Stamos集团的创始合伙人,该集团被SentinelOne收购。克雷布斯还是阿斯彭研究所美国网络安全工作组的联合主席。
克雷布斯在国家网络安全防御和全球网络威胁动态领域的领导地位塑造了美国应对现代数字威胁的方法。在 CISA 任职期间,他领导了一个拥有 2,500 名成员的组织,该组织在大流行期间在国家网络安全防御方面取得了重大进展。克雷布斯以将复杂的网络安全问题提炼成易于理解的术语而闻名。
VentureBeat 与 Krebs 讨论了最近的 TikTok 立法、人工智能以及公司可以做些什么来对网络安全保持警惕。
以下是 VentureBeat 今天对 Chris Krebs 的采访要点:
VentureBeat:假设美国参议院不批准该法案,TikTok 立法对我们国家网络安全战略的长期影响是什么?
克里斯·克雷布斯: 这是一个有趣的问题,对吧?因为参议院通常不喜欢被强行灌输众议院的文件。他们喜欢做自己的事情,毫无疑问他们会做出调整。首先,该法案与任何立法一样,并不完美。它可能存在一些缺陷,可以改进,参议院喜欢对事情进行调整。我怀疑他们会澄清一些语言。
我想到的是真正的问题,安全问题,但还有一个更广泛的外国影响问题。所以,如果你把它分开,那么我认为有点混淆的部分,是 TikTok 和其他类似的应用程序在中国以外的真正风险是什么。我认为这是该法案中丢失的另一件事,即它不仅与字节跳动和 TikTok 有关,尽管这正是 TikTok 希望从他们的战略中做到这一点。它的范围要广泛得多,我认为可以单独解决诸如微信和其他一些来自中国和俄罗斯的应用程序之类的问题。Telegram 也可能被卷入其中。
如果它没有通过,我认为除了外国宣传和潜在的影响力之外,我们还有这个悬而未决的数据安全和数据隐私问题。所以我仍然认为,我十年来一直认为,我们确实需要一部国家或联邦隐私法。
我们现在已经把每届国会的隐私问题都打了六次以上的国会会议。与此同时,各州的情况都是如此,所以加利福尼亚州、伊利诺伊州、纽约州和其他一些州确实制定了各州的隐私法,但随后欧洲的《通用数据保护条例》(GDPR)开始设定步伐,现在他们正在推进GDPR 2。
实际上,每个在全球范围内进行交易的人,至少在欧盟,都开始根据GDPR的规定制定自己的内部战略。这种流动正在美国这里发生,我认为这不是我们想要的方法。这不是国会应该想要的方法。我知道有很多人抱怨欧洲以一种默认的方式制定美国的科技政策。所以我认为这是我对 TikTok 发生的一切的第一反应。我们必须加紧行动,否则欧洲人将继续决定我们的业务如何运作。
VB:随着民族国家攻击者看到超大规模和云安全方面的差距,他们是否将这些差距视为他们可以利用的弱点,这就是为什么他们现在如此努力地追赶Microsoft,Google和Amazon,尤其是Microsoft?
克雷布斯: 这是我最喜欢的问题,因为它将市场动态与威胁情报和网络安全融合在一起。因此,回过头来看看过去五年数字化转型的转变,向云的转变,它已经持续了十多年。新冠疫情确实迫使许多组织不得不从本地解决方案转向基于云的解决方案。
仅在 CISA,我们就有大约 2,500 名员工,在一个周末突然转变为在家工作的姿势。对于 2,500 人,我们整个组织只有大约 1200 个 VPN 许可证,因为......我们从不对每个人突然外出进行负载测试。我们确实有远程工作政策,但在华盛顿特区非常有限。 但突然之间,砰的一声,大家都回家了。它没有用。
我们的整个方法崩溃了,所以我们不得不使用 Office 365 采用工作场所即服务模型,它确实为我们解决了很多问题。我们并不是唯一一家经历过这种认识的组织,即之前的数字化战略不会让我们获得成功和生产力。所以在云中出现了真正的繁荣。
我们看到了这一点,我们在业务方面做到了,猜猜还有谁看到了?坏人。坏人看到所有这些流量都转移了过来,他们说,“好吧,这里发生了什么?他们将进入一个更小的可定位组织集和超大规模云以及Microsoft,GCP,AWS和其他组织,这为他们提供了可以定位的更小的组织集。他们可以伸出手去触摸它们,因为有某种,只是根据IT连接的本质。
特别是中国,还有俄罗斯,他们已经投入了资源和优先次序,以防刺穿这些云提供商。因此,中国的天府杯为云漏洞和 Hyper-V 逃逸等提供了相当可观的赏金。因此,我们看到他们真的围绕云计算组织了战略。
VB:随着我们越来越依赖超大规模企业和云作为基础设施的核心部分,我们使用红队来识别漏洞的能力发生了怎样的变化?
克雷布斯: 从历史上看,有了(Microsoft)Exchange或任何形式的本地解决方案,政府红队可以去抢Exchange,他们可以把它放在米德堡的替补席上,他们可以打败它,找出所有这些漏洞以及如何攻击,但主要是如何防御。然后他们可以Microsoft分享,然后说,“嘿,我们找到了这个东西,你们需要解决它,因为如果我们能找到它,那就意味着其他人可以。
对于位于雷德蒙德或其他一些公共云系统中的云托管解决方案,您不具备这种能力。这是非法的。政府做不到。云提供商正在向堡垒或情报界提供一些新兴的云私有实例功能,但它并不那么普遍,当然也不那么容易访问。因此,在某种程度上,商业云提供商并没有像以前那样从国家安全社区获得同样的支持和利益,因为事情的运作方式,因为合同和法律。因此,我们不一定有相同的团队在战斗,如果是不同的技术部署,我们会这样做。
因此,就好像云提供商正在独自对抗这个问题一样。他们得到了一些见解,但从技术或技术角度来看,它并不像以前那么好。
这就是我与国家安全界人士进行这些对话的原因,就像我们在这里被一根线挂住了一样。这真的是一个危机点,我们真的需要尽可能多地获得这些,无论是公私伙伴关系还是......坦率地说,我认为这主要是从更大的角度来看,这是公私伙伴关系。
在采访的第二部分中,克里斯·克雷布斯(Chris Krebs)强调了预测网络威胁的重要性,特别是来自俄罗斯和中国的威胁,以及采取积极主动的网络安全措施来保护关键基础设施免受不断变化的威胁的必要性。克雷布斯倡导对网络安全采取前瞻性的方法,以有效应对未来的风险和漏洞。
椰有料原创,作者:小椰子啊,转载请注明出处:http://www.studioyz.com/5701.html
文章评论