近期,美国国土安全部和 HackerOne 平台共同推出了Hack the Army 3.0 漏洞奖励计划。想想就很让人心动,作为一名白帽子,如果挖到政府官网的漏洞,立马就树立起了国家安全守护者的光辉形象,简直酷到没朋友?
该漏洞赏金计划一出,就有不少白帽子去挖洞赚赏金了。然而,有人发现打开白宫官网的HTML代码之后,却发现有一条神秘注释隐藏在其中。
仔细一看写着“If you’re reading this, we need your help building back better.”代码后面还附带着一个链接指向数字化服务部(https://www.usds.gov/)。
原来是美国数字服务部门(USDS)的“招聘启事”偷偷藏在这里。好家伙,没点技术还看不到这个消息。
当然,现在这个彩蛋已经成为公开的秘密了。
据报道,在拜登于2021年1月20日上任之后,白宫就在更新时悄悄加上了这个小彩蛋。
为何一上任就藏彩蛋?事实上,从侧面可以看出拜登政府对网络安全的重视程度,一是以有趣的方式拉近群众的距离,聚集民间人才,二是为后续网安政策的出台铺好了路。
拜登如何铺路,且先来看看近期美国网络安全政策的变化。目前,拜登上任后实施的具体政策有两项:
1. 恢复两个重要职位:国土安全顾问、网络安全顾问。同时还任命了许多其他国家安全官员。这里面包括了前国家安全局高级官员、Morgan Stanley应变能力负责人、以及其他的高级安全官员,可以说是大佬云集。据报道,拜登打算打造一支“世界级”的网络安全团队,这些大佬的加入可以说是给美国国家安全局注入了强大的力量。
2. 对CISA和美国总务管理局(GSA)进行90亿美元投资,以推出一系列新的IT和网络安全共享服务,以及在其他联邦机构进行全面的网络安全升级。人有了,资金马上跟上。俗话说“巧妇难为无米之炊”,为了让人才和部门发挥作用,拜登可是下了血本,90亿美元砸下去,想必是要搞一场轰轰烈烈的大活动了。
除了上面两个已经实行的政策,对于未来短期内的规划,拜登建议投资3亿美元在GSA上建立新的安全技术计划,2亿美元用于激增新网络安全技术和工程专业人才的招聘,6.9亿美元用于改善政府的安全监控和事件响应。
一笔笔资金流入网络安全行业,行业的新生机想不爆发都难。
在上任的短短半个月内,拜登已经对加强美国网络安全行业有了短期内明确的规划并实施了举措,这显然不是他突发奇想,心血来潮完成的。事实上,拜登对于网络安全行业的关注已经长达十几年,并且早在前几年他就提出过相关的建议。
2009年,当时还任职为副总统的拜登就敦促在网络安全方面要进行合作,他对美国的欧洲盟友说,北约应将重点放在网络安全上。
在2015年,他还拨款2500万美元,以支持网络安全教育,促进该领域的职业发展。
据 Politico 报道,在去年8月也就是拜登尚为总统候选人时期,拜登的团队就已经在悄悄起草网络安全计划,以加强美国对俄罗斯、中国的网络安全防御。
长年的关注以及不断的提案可以看出拜登对于网络安全有自己的看法并且认为网络安全问题刻不容缓,但美国的网络安全现状却不容乐观,尤其是2020年年末还发生了SolarWinds这样的攻击大事件。基于此,拜登对于前特朗普政府网安政策的诸多不满也是可以理解的了。
美国的网络安全现状一直不容乐观。近年来美国政府与企业一直承受着高频的网络攻击,而2020年12月的SolarWinds攻击事件更是将这个问题暴露无遗,激起了美国对于网络安全问题的重新审视。针对此次事件,拜登指责特朗普,称总统没有对网络安全足够重视,并且发誓自己要加强美国的网络防御工作,并且呼吁总统应当明确并公开查明罪魁祸首并采取步骤来“追究他们的责任”。
他还在特拉华州威尔明顿举行的年终新闻发布会上表示:“这次袭击发生在唐纳德·特朗普的手表上,当时他没有看。” “即使他不认真对待,我也会。”
虽然拜登指责特朗普对于网络安全毫不重视,但特朗普真的视若无睹吗?
显然不可能。事实上,特朗普对于网络安全有自己的看法。
特朗普上台后,美国政府对网络安全政策进行了一定程度的调整。随着美国政府、国会和部分战略界人士把应对与中俄之间的大国竞争作为国家安全战略重点,特朗普政府把网络空间的大国竞争作为美国面临的主要挑战。在白宫国家安全团队的支持下,特朗普政府发布了一系列行政令和战略文件,通过分析这些政府文件和相关政策的执行情况,可以看出关键基础设施保护、数字经济繁荣和网络军事能力建设是特朗普政府改革和关注的重点。
由于重点的转移,特朗普政府的网络安全政策相比起之前的政策进攻性更强。甚至在网络防御上,美国也采取了以攻为守的策略。譬如,2018年美国中期选举前,特朗普就命令相关部门对俄罗斯发动了数字攻击。然而,过度强调攻击性的建设,必然导致防御性的缺失。此外,与强烈的进攻性相比,美国在推进全球网络治理方面却显得动力不足,这也导致了其他国家对其反噬,对于美国展开更多的网络攻击。
拜登12月20日在威尔明顿的新闻发布会上讲话
拜登与特朗普最明显的不同,便在于网络安全战略中心的转移。
拜登竞选活动的国家新闻秘书贾马尔·布朗去年8月份就曾表示,拜登实施的网络安全战略将以阻止恶意网络活动和保护经济免受网络攻击为中心,并且比起特朗普将会更加重视网络安全问题。
中心的转移必然会带来政策的转变,虽然对特朗普政府的网络安全政策进行了批评,但拜登并没有对其全盘否决。在拜登尚未当选期间就有报道称,假如拜登当选总统,其网络安全策略将更加专注于选举干扰和网络犯罪等威胁,但不太可能从根本上摆脱特朗普的现有政策,因为在网络安全领域,特朗普的这些政策大多是无党派倾向的。并且拜登本人已经认可了特朗普的一些网络安全决策,比如说,赋予军队更大的权力来入侵美国的对手。
2018 年 8 月,特朗普签署了一项机密指令,使军方可以更自由地进行进攻性网络行动。在奥巴马领导下,网络攻击需要总统的个人授权,但特朗普的命令将该权力授予了军队指挥官。
拜登在先前的报道中就表明过自己支持这个决定,显然,他也认为有必要保留目前的进攻性。但他也会对其他政策作出修正,比如现在我们可以看到他已经恢复了被特朗普取消的白宫网络安全顾问的职位。
2018 年 5 月特朗普取消了协调整个政府活动的高级国家安全委员会网络协调员职位。虽然白宫声称此举是为了削减了不必要的官僚机构,但这依然让两党都大跌眼镜。不论特朗普是出于什么考虑,但是很明显的是,失去了这个岗位的美国国家安全委员会陷入了一片无组织的乱象之中,甚至有的官员表示委员会“简直像一个动物园”。面对这混乱的场面,拜登不可能坐视不理。
拜登上任后的第一步就是恢复这个岗位,显然,恢复美国国家安全委员会的秩序,是拜登网络安全新政的首要目标。根据拜登最新的拨款,我们也可以看出,扩大网络安全行业规模以及加强相关人员技能也是拜登的重点。
拜登的新政策与特朗普时期的相比,有所保留,有所革新。在目前美国面对众多威胁的情况下,使国家在更加有秩序的环境下,依旧保持其攻击性来加强网络防御。但这也同时意味着,美国之后针对其他国家的网络攻击行为不会减少,这也许会给中国带来很大的影响,因此我们不能放松警惕,毕竟他们将中国和俄罗斯视为矛盾的主要方面。由于拜登上任时日尚短,想要看到更加清晰的拜登政府的网络安全治理模式,还要等待后续新政策的推出。
https://www.reuters.com/article/us-usa-biden-cyber-idUSKBN29R18I
https://www.computerweekly.com/news/252494895/US-cyber-security-agencies-get-9bn-in-Biden-plan
https://www.1xuezhe.exuezhe.com/Qk/art/720846?dbcode=1&flag=2
http://www.myzaker.com/article/5f45dd5d8e9f09362822a38e/
https://fcw.com/Articles/2009/02/09/cyber.aspx
https://www.careersinfosecurity.com/biden-unveils-cybersec-education-effort-a-7799