美国总统拜登(Joe Biden)在本周三(8/25)会见了私人企业与教育界的领袖,共同商讨如何通过全国的努力来解决美国的安全威胁,除了由政府发起的多个倡议之外,微软、Google、苹果、Amazon及IBM等企业也都作出了承诺,其中,Google及微软将在未来5年分别投入100亿及200亿美元的资金,来推动供应链、开源与架构的安全性。
这场安全高峰会擘画了各方所扮演的角色,从美国政府、私人企业到教育机构。
政策先行
去年12月美国网管平台企业SolarWinds遭到多个黑客组织入侵,微软Exchange Server于今年3月爆发零时差攻击行动,美国最大燃油渠道系统Colonial Pipeline在今年5月7日遭到勒索软件攻击,造成美国东岸45%的燃料供应中断,持续发生的安全事件让拜登于5月12日签署一行政命令,要求改善美国的网络安全并保护联邦政府的网络。
该行政命令的主要目的包括:促进政府与私人机构之间的威胁情报分享,于联邦政府中实施更现代化也更强大的网络安全标准,改善软件供应链的安全性,创建网络安全审查委员会,创建回应网络意外的标准手册,改善联邦政府网络侦测网络安全意外的能力,以及增进调查与修复能力。
而在本周举行的安全高峰会上,拜登再度宣布美国国家标准与技术研究所(NIST)将与产业合作,共同开发一个新框架来提高技术供应链的安全与完整性,且微软、Google、IBM、Travelers及Coalition都将加入该倡议。
拜登也宣布将把工业控制系统网络安全倡议所专注的领域,从原先的电力公用业务,扩大到天然气渠道。
私人企业共襄盛举
美国的大型企业也纷纷承诺要加入白宫的号召。其中,苹果计划创建一个新项目来改善该公司技术供应链的安全性,将与其供应链合作,大规模地采行双因素认证、安全训练、漏洞修复、事件记录及意外回应等,包括在美国的超过9,000家苹果供应链。
Google则宣布将在未来5年投入100亿美元的资金,扩张其各式的零信任项目,协助强化软件供应链及开源的安全性,以及协助10万名美国人取得经产业认可的数字技能证书,让他们可申请高薪与高增长的工作。
IBM也将加入安全人才培养,准备在未来3年训练出15万名具备安全能力的人才,并与超过20所黑人学院/大学合作,创建网络安全领导中心,培育更多样化的网络人才。
微软也将在未来5年大手笔地投入200亿美元,以于产品及服务中集成网络安全,并提供先进的安全解决方案,同时立即提供1.5亿美元的技术服务,来协助美国联邦、州与地方政府升级安全保护能力,也将扩大与各大专院校在培育安全人才上的合作项目。
Amazon将免费发布内部的安全意识训练服务,且未来每个AWS账号都可免费取得多因素认证设备来预防网络钓鱼或密码窃盗威胁,以保障AWS用户的账号安全。
网络保险服务供应商Resilience与Coalition也加入了本周的高峰会,Resilience宣布将制定新政策,只有符合网络安全最佳实践的客户才能投保,Coalition则说要免费发布其网络安全风险评估暨持续监控平台。
通过安全教育培养更多的人才
根据白宫的估计,涵盖私人企业或政府机构,目前全美大概还缺少接近50万名的安全人才,而这也是为什么各大企业除了改善自家安全能力之外,也承诺要帮忙进行教育训练。
而程序设计培训平台Code.org承诺会在未来3年内,向300万名学生教授网络安全概念。专门培养女性程序设计师的Girls Who Code则准备创建一个微型培训计划,协助那些少数群体取得奖学金与早期的职业机会。德国大学系统将扩大既有的网络相关证书,同时推出短期的网络证书,来加强美国的网络安全工作者。始成为美国国家科学基金会(NSF)先进技术教育国家网络安全中心的华盛顿州社区大学,未来将提供网络安全教育,进行教师的培训,以及关注学生从念书到就业的过程。