攻击面管理太火爆了!美国防部打算用来管控云基础设施风险
前情回顾·美军网络安全动态
美国防部零信任架构试点成功,将在2个月内全面投产
美军探索网络安全新范式!由合规清单转向自动化红队
(资料图片仅供参考)
“世界上最大的蜜罐”?美军IP地址外部管理试点计划介绍
安全内参5月9日消息,近期的一些教训提醒了美国五角大楼官员,使用商业云时需要采取额外的安全措施。为此,他们决定自己亲自动手进行查验。
五角大楼代理正职的副首席信息官大卫·麦考恩(David McKeown)在上周三AFCEA TechNet网络会议的小组讨论中表示,“近期发生的一系列事件表明,我们可能需要解决某些可见性问题,也许应该从外部视角来观察服务商为我们建造的云环境。”
美国国防部采购的云服务商会使用“一套严格的检查”,包括建立持续监控,并定期向国防部上报检查结果。
但泄露事件仍时有发生。为了防患于未然,国防部希望能够定期检查服务商代表客户运营的云基础设施。
麦考恩向外媒Defense One表示,“我们希望能了解基础设施周边发生了什么,甚至以内部的红队角度开展深入研究。”
“因为一旦有人侵入云服务的管理程序…就相当于掌握了打开王国大门的钥匙。我们想确保服务商所拥有的一切都安全可靠,并且随着时间推移始终保持稳定。”
这个概念本身并不新鲜。2023年国防授权法案中的一项条款就授权五角大楼对保存机密级数据的云基础设施开展威胁评估。麦考恩表示,国防部一直在与云服务商合作,为定制的(而非商用的)云系统探索安全路径,并且迄今为止“还没有遇到过太大的阻力”。
麦考恩还提到,新的检查将采取“主动防御”形式,例如扫描IP地址以查找各类系统上的漏洞。
“我们可以开展外部扫描,看看有什么被暴露在了互联网上。如果确实易受攻击而且我们发现了问题,就会提醒供应商立即着手处理。在云端,我们也会采取同样的措施。”
近年来,五角大楼经历了多起数据泄露事件,包括今年2月美国特种作战司令部服务器的敏感邮件暴露事件,该服务器没有设置保护密码。
麦考恩在小组讨论中指出,“每当看到事件发生,都会出现我们把所有鸡蛋都放进云服务这个篮子里的批评声音。但我想用亲身经历向大家证明:我们也曾在部门之内构建并保护过各种系统,其实际水平远无法与云服务商的方案相提并论。”
总之,“我们双方必须在网络安全领域取得成功,这样才能携手并进、共赴未来。”
参考资料:defenseone.com
标签:
相关阅读
-
攻击面管理太火爆了!美国防部打算用来...
前情回顾·美军网络安全动态美国防部零信任架构试点成功,将在2个月... -
智库专家:调和美国对人工智能的路径|聚...
今天和大家分享的是卡内基国际和平基金会专家的一篇观点文章。美国... -
《工业互联网安全深度行活动典型案例和...
关于公布工业互联网安全深度行活动典型案例和成效突出地区名单的通... -
GitLab代码执行漏洞 (CVE-2023-2478) 安全风险通告
Gitlab是目前被广泛使用的基于git的开源代码管理平台,基于RubyonRai... -
精彩看点:无需可信第三方的可信执行环...
2023年4月8日~9日,由InForSec、南方科技大学斯发基斯可信自主系统... -
英国最大外包公司云泄露655GB数据,客户...
前情回顾·全球云泄露事件频发供应商惹祸!知名律所客户敏感数据被A...