别人是怎么建设网站的,电商网站代码模板,网站地图格式,ios注册开发者账号网络安全和基础设施安全局局长称当今商业网络安全的现状是不可持续的#xff0c;公司、消费者和政府必须集体转变期望#xff0c;让主要软件和硬件制造商对不安全的产品负责#xff0c;而不是用户。
拜登政府预计将在未来几天发布一项战略#xff0c;该战略将…
网络安全和基础设施安全局局长称当今商业网络安全的现状是不可持续的公司、消费者和政府必须集体转变期望让主要软件和硬件制造商对不安全的产品负责而不是用户。
拜登政府预计将在未来几天发布一项战略该战略将更加重视监管科技制造商的安全和安保设计选择。
在2月27日在卡内基梅隆大学发表演讲时说美国的政策制定者以及第三方产品的消费者和用户已经允许漏洞百出的软件程序或几乎可以在各个层面受到攻击的硬件成为常态。
我们已经正常化了这样一个事实即网络安全负担不成比例地落在消费者和小组织的肩上他们往往最不了解威胁最没有能力保护自己。
我们已经将安全性归为小型组织中的IT人员或首席信息安全官和企业的事实正常化。
但很少有人拥有资源、影响力或责任感来激励人们采用安全性与成本、上市速度和功能相比得到适当优先考虑的产品。
本月早些时候美国看到中国发射的一个气象民用气球越过美国边境普遍感到震惊和愤怒甚至对美国发生这种情况感到不解。这种事件对美国经济和国家安全的破坏要大得多尽管这些入侵行为肉眼无法看到。
每年公众都会通过新闻媒体、违规披露法、勒索软件泄露网站和其他来源了解到数百起重大的组织违规事件。
这些只是问题的一小部分因为无数其他入侵要么没报告要么没披露。
俄罗斯和其他对手以及勒索软件集团和网络犯罪分子将继续利用这一模式直到私营部门强调前端的安全性使“补丁星期二”等事件成为时代错误。
简单地说原因是不安全的技术产品因为这些不安全产品造成的损害是随着时间的推移而分布和传播的其影响更难衡量但就像气球一样它就在那里。
这是一个学区关闭一个病人被迫转移到另一家医院另一个病人被迫取消手术。一个家庭的储蓄被骗一条天然气管道被关闭一所有160年历史的大学因为勒索软件攻击而被迫关门而这些都只是冰山一角。
我们呼吁建立一种新的模式在这种模式下社会将确保技术安全的责任交给大型制造商或者“那些最有能力和最有能力这样做的制造商”。
这包括“彻底”透明的漏洞披露流程以及围绕多因素身份验证和其他基本保护使用的内部统计数据将软件开发转向内存安全编程语言以及将基本安全功能如日志记录、身份保护和访问控制标准化为基本费率包而不是作为更高价格级别的附加功能。
一些可能的立法选择供国会考虑包括禁止制造商在构建合同和服务条款时对因使用其产品而产生的安全事故免除所有责任为某些关键基础设施部门使用的软件制定更高的安全标准并制定法律的框架为那些确实采取了重大措施的公司提供免责的安全港安全开发和维护其产品的步骤。
在随后的一次问答中赞成将那些受到资源丰富、经验丰富的民族国家攻击的公司排除在法律的责任之外这些攻击只占每天袭击美国公民和企业的恶意网络活动的一小部分。
尽管谷歌和微软等公司的高管已经发表公开评论支持通过设计实现安全的类似原则并推出了一些举措但他们最终会在多大程度上接受伊斯特利和拜登政府心目中的监管措施还有待观察。
这些法案如果在未来两年继续实施还必须通过共和党控制的众议院这可不是一件小事。
尽管监管预计将是拜登政府网络战略的主要组成部分但它是早期草案中描述的众多行动支柱之一监管本身不会解决我们的集体问题。 其他途径如利用政府的购买力在数十万承包商中推动更好的基线安全性继续开展联合网络防御协作等合作项目以及更广泛地采用内存安全语言和软件物料清单等更安全的软件开发实践也可以对许多相同的问题产生重大影响。
尽管这一努力将是困难的满足于现状将导致更多的痛苦为美国消费者和企业的路线是在网络和物理领域。
想象一下这样一个世界我们今天讨论的所有事情都没有发生安全负担继续由消费者承担技术制造商继续制造不安全的产品或将安全作为昂贵的附加功能进行追加销售大学继续教授不安全的编码实践我们每天依赖的服务仍然脆弱。
这正是一个我们的对手正在仔细观察并希望永远不会改变的世界。
