拜登加强美国网络安全的计划太软了

作为一个安全专业人士,我鼓掌总统拜登 提高国家网络安全的执行命令。 Cyber​​attacks的范围和数量越来越大,对我们有直接影响。从我们的天然气和供水到世界上最近的攻击’最大的肉类供应商,以网络万家成为国家安全威胁。所以,这是时候我们像一个这样对待它。

拜登美国网络安全

拜登的计划 是一个很好的第一步,但缺少关键组件:安全硬件。执行订单侧重于软件和与安全相关的软件的安全性。

毫无疑问,软件是一个明显而可行的脆弱性,恶劣的演员可以利用,但大多数安全专家都认为,如果没有确保完整的系统是安全的,则不能存在强大的安全性。政府计划对网络安全威胁的那个方面显着沉默,这尤其是讽刺意味着强调在美国硬件(半导体)倡议中投资更多。

全面的解决方案始于底层硬件的可信度:芯片和董事会。对于每个硬件组件及其供应链没有充分的安全性,硬件本身就无法信任。

任何给定的芯片都可能被篡改,更换和/或伪造。我们已经看到了筹码被编程为的黑客 运行恶意软件,受恶毒三方的影响,和 向敌人发送机密数据。风险是真实的和迫在眉睫的。就像一个人不能在Quicksand上建造一座城堡,除非它利用它运行的底层硬件的可信度和安全性,否则软件无法安全。

硬件第一安全性体现在零信任方法中 这是在行政命令中引用的,并通过全球商业和国家级安全系统采用。任何身份验证过程 零信任方法 从硬件中拥有信任(腐烂)的根。

ROT是一个区域,该区域以防止对手安全的方式保存设备的所有秘密密钥和凭证。 ROT由安全硬件组成以保护这种敏感数据,需要在供应链中的某个点处以可信的方式提供给腐烂。在没有能够信任设备中的秘密密钥和凭据而不知道腐烂将保持安全的情况下,无法执行零信任方法的基石的认证步骤。因此,在不信任硬件及其供应链的情况下,零信任不能存在。

一旦实现了安全硬件,硬件和软件就可以启动一起工作以使系统安全。现在,软件可以根据零信任方法的要求验证硬件,反之亦然。这消除了运行安全软件的风险 不安全的硬件 或者在安全硬件上运行不安全的软件,因为两者都将创建攻击向量,让系统容易受到网络犯罪分子和以网络万家的系统。

当实施强硬件安全性时,它可以通过软件利用,整个系统的安全级别显着提高。

执行订单 是一个重要的一步,但它必须延长。硬件安全性和硬件供应链的安全性应明确地作为总解决方案的组成部分。如果没有纳入安全的硬件,其他出色的努力旨在解决到位将是徒劳的。链条只有其最薄弱的联系 - 你可以打赌,这就是敌人将罢工的地方。由于所有网络系统都基于硬件,因此安全硬件是一个符号正弦值,影响我们所有人。

分享这个