至顶网安全频道 04月19日 编译:本周二,34家技术企业签署了一份《网络安全技术协议》(Cybersecurity Tech Accord),表示将通过“这样一项公共承认保护并帮助网络民众,同时提升网络空间安全性、稳定性以及弹性。”
这34家供应商包括思科、SAP、两家HP、微软、甲骨文、瞻博、戴尔、英国电信、VMware、ARM、GitHub以及其它多家重要企业IT供应商。不过苹果、联想以及AWS、谷歌与IBM等SaaS厂商并未加入此项目。
我们阅读了该组织的基本文件,可以肯定的是其中并未提及如何或者何时将采取具体行动。此外,文件中也没有为各参与厂商提供用以衡量进展或成功水平的任何细节或指标。文件同样没有提到这34家厂商已经对相关风险、适当的反应或可用资源进行考量。总而言之,这一安全项目目前尚缺乏实践基础。
尽管协议表示“将继续制定我们为推进此项工作而需要完成的合作任务”,但其中并没有发布时间表或“公开报告相关目标具体进程”的计划。
让我们继续深入剖析这一庞大项目。
该组织的首要原则在于“全方位保护我们的所有用户及客户”,努力“设计、开发并提供以安全性、隐私性、完整性以及可靠性为优先考量的产品与服务,进而降低安全问题出现的可能性、频率、可利用性以及严重程度。”
说得倒是很漂亮,但是这34家企业当中,有哪一家不是致力于提供安全可靠的产品?如果参与厂商还包括领英与Facebook,那么这两家企业长久以来对个人数据的利用以及用户隐私保护方面的糟糕表现,以及对利用相关个人资料实施欺诈活动保持的不作为态度,又如何体现以上提到的指导性原则?
神秘智慧
文件也存在着一些需要斟酌的表达。该原则表示,各签署方“将保护”我们所有人。但深究其含义,我们会发现其强调的应该是“将付诸努力”的意愿。
引用尤达大师的一句名言来讲,“成功或者失败,不要说什么努力。”
该组织的第二项原则在于“帮助无辜公民及企业免受任何网络攻击的侵扰”,同时指出“我们不会帮助政府以任何方式对无辜公民及企业发动网络攻击。”
各签署方表示,他们将阻止政府利用网络实施恶意活动,包括努力“防止在产品与服务的开发、设计、发布与使用过程中出现任何篡改及利用行为”。
然而,文件中并没有解释各签署方将如何防止篡改活动,甚至没有对“利用”一词作出明确定义。此外,文件中也没有对所谓可能遭受网络攻击的无辜目标作出描述,亦未提及各签署方如何判断某种活动是否出于恶意。
那么“利用”的本意应该是怎样的?思科公司智能安装协议目前遇到的问题正是绝佳的例子,这款开发者远程部署工具可能在他人手中成为理想的攻击向量。
鉴于美国国家安全局曾经构建自己的漏洞利用工具包,用以囤积并利用各类零日漏洞,因此根据定义此项计划应该将国安局列为打击对象。
帮助万岁!
本份协议的第三项原则在于“帮助用户、客户以及开发人员强化网络安全保护能力。”
为了实现这一目标,各签署方将“为我们的用户、客户及更广泛的开发者生态系统提供信息与工具,确保他们能够了解当前及未来的威胁,并保护自身免受影响。”这34家厂商还将“支持民间组织、政府以及国际组织努力推动网络空间安全建设,并在发达及新兴经济体内建立网络安全能力。”
这又是另一条站在道德至高点上的目标。然而,该组织同样未能解释各成员将采取怎样的行动——包括这些努力属于新举措抑或是根据协议要求而作出的现有制度调整。
我们还认真查看了各协议签署方的博文,亦没有找到任何与新举措、新承诺、新支出或者其它新消息相关的任何内容。基本上,各相关文章都将此次发布内容视为未来安全发展方向的重要开端。
协议的第四条原则为“相互协作,与志同道合的组织开展合作,共同加强网络安全水平。”
在复杂的生态系统当中开展合作,从而改善现有安全水平?这还用得着他们强调?!
为了遵循第四项原则,该组织“将与业界、民间组织以及安全研究人员建立正式与非正式合作伙伴关系,跨越专有及开源技术,旨在共同改善技术协作能力、协调漏洞披露与威胁共享活动,同时最大程度控制恶意代码被引入网络空间的状况。”
以上提到的各项内容都不算什么新鲜事物,但其中可能暗示微软公司支持的全球网络空间稳定委员会将立足美国、俄罗斯以及中国进行外交斡旋等有意义的努力。但由于仍然缺乏关于合作类型及合作关系的具体细节,因此我们基本可以理解成科技行业将继续按原本的方式保持运作。
此外,文件中还发布承诺:“鼓励全球信息共享,并通过民间力量发现、预防、检测、响应网络攻击活动并在遭受攻击后实现恢复,同时确保以灵活方式应对更为广泛的全球技术生态系统安全问题。”
这简直就是一记响亮的“马后炮”:我相信马士基航空公司肯定为此振奋不已——特别是考虑到其刚刚投入了3.31亿美元用于清理NotPetya恶意软件。
同样值得一提的,是此份协议当中所遗漏的重要部分。微软公司长久以来一直反对美国政府访问其存储在爱尔兰数据中心内的电子邮件。然而,该公司现在似乎正着手推出云法案(Cloud Act),旨在消除这种冲突。这样说来,身处支持政府监管与对抗政府审查两端的微软莫非患有精神分裂?
说到这里,相信大家已经非常明确:由于缺少关于具体举措的详尽信息,此份协议就成了一纸空文——虽然说得漂亮并有可能衍生出不少指导性文件,但其实效性根本得不到保障。而且除非各签署方愿意并真正在其中投入资金,否则我们很难看到由此带来的后续重大影响。不过必须承认,把这34家大厂的Logo放进演示文稿里还是挺能唬人的。
所以就目前来讲,我们只能将这项协议视为各签署方表达自身提高安全性这一愿望的突出表达,仅此而已。
好文章,需要你的鼓励
AMD CIO的职能角色早已超越典型的CIO职务,他积极支持内部产品开发,一切交付其他部门的方案都要先经过他的体验和评判。
医学生在选择专业时,应当考虑到AI将如何改变医生的岗位形态(以及获得的薪酬待遇)。再结合专业培训所对应的大量时间投入和跨专业的高门槛,这一点就更显得至关重要。
我们拥有大量数据,有很多事情要做,然后出现了一种有趣的技术——生成式AI,给他们所有人带来的影响。这种影响是巨大的,我们在这个领域正在做着惊人的工作。