Google Cloud và The Center for Internet Security, Inc., đã ra mắt Google Cloud Alliance vào tuần này với mục tiêu nâng cao bảo mật kỹ thuật số trong khu vực công. Trung tâm An ninh Internet, được thành lập vào năm 2000 để giải quyết các mối đe dọa mạng đang gia tăng và thiết lập một bộ tiêu chuẩn và giao thức an ninh mạng như Kiểm soát An ninh Quan trọng CIS và …
Google Cloud và The Center for Internet Security, Inc., đã ra mắt Google Cloud Alliance vào tuần này với mục tiêu nâng cao bảo mật kỹ thuật số trong khu vực công.
Trung tâm An ninh Internet, được thành lập vào năm 2000 để giải quyết các mối đe dọa mạng đang gia tăng và thiết lập một bộ tiêu chuẩn và giao thức an ninh mạng như Kiểm soát An ninh Trọng yếu CIS và Điểm chuẩn CIS, hỗ trợ chính quyền tiểu bang và địa phương trong các mối đe dọa mạng.
Chuyển đến:
Google Cloud cho biết họ sẽ đưa các thành viên và dịch vụ từ Nhóm Hành động An ninh mạng của Google, bao gồm thông tin chi tiết từ các báo cáo về Mối đe dọa và bộ phận tình báo web của Mandiant để cân nhắc về việc “bảo vệ hệ sinh thái công nghệ rộng lớn hơn – đặc biệt là khi nó liên quan đến tư thế đám mây và an ninh mạng tổng thể theo một tuyên bố chung.
Như đã báo cáo trong TechRepublic, Google cũng đã phát hành trong tháng này dịch vụ Phần mềm nguồn mở được đảm bảo (OSS được đảm bảo) cho các hệ sinh thái Java và Python miễn phí. Động thái này được đưa ra sau khi xu hướng tấn công từ chối dịch vụ có động cơ chính trị ngày càng gia tăng.
Gã khổng lồ công cụ tìm kiếm đã phản ứng bằng cách phát hành hệ thống phòng thủ DDoS phân tán Project Shield của mình cho các trang web của chính phủ, tin tức và các nhà báo độc lập, cũng như các trang web liên quan đến bỏ phiếu và nhân quyền.
Bảo vệ các tổ chức chính quyền tiểu bang, địa phương, bộ lạc, lãnh thổ
Google Cloud, công ty gần đây đã tạo ra Google Public Sector để hỗ trợ chính quyền liên bang, tiểu bang và địa phương cũng như các tổ chức giáo dục, đã công bố vào tháng 8 năm 2021 một cam kết trị giá 10 tỷ đô la cho bảo mật khu vực công trong 5 năm.
Trung tâm An ninh Internet vận hành Trung tâm Phân tích và Chia sẻ Thông tin Cơ sở hạ tầng Bầu cử và Đa bang, hỗ trợ các nhu cầu an ninh mạng đang thay đổi nhanh chóng của các tổ chức chính phủ tiểu bang, địa phương, bộ lạc và lãnh thổ, bao gồm các phân ngành cơ sở hạ tầng quan trọng như trường K-12 và văn phòng bầu cử.
Gina Chapman cho biết: “Sự hợp tác này giữa CIS và Google đặc biệt thú vị vì nó tập hợp hai quan điểm mạnh mẽ về an ninh mạng và áp dụng chúng cho cộng đồng được nhắm mục tiêu cao và không được phục vụ trên mạng trong lịch sử của các tổ chức chính phủ Tiểu bang, Địa phương, Bộ lạc và Lãnh thổ của Hoa Kỳ.” , phó chủ tịch điều hành, bán hàng và dịch vụ kinh doanh tại CIS, trong một tuyên bố. “Nhu cầu an ninh mạng của khu vực công đòi hỏi các giải pháp tốt nhất, tiết kiệm chi phí bao gồm hỗ trợ triển khai và vận hành, và chúng tôi mong muốn làm thế nào chúng ta có thể làm việc cùng nhau để hỗ trợ cộng đồng này.”
Bảo vệ tin tặc có đạo đức, ngăn chặn các lỗ hổng
Google cũng là thành viên sáng lập của một nhóm sáng kiến riêng biệt được đưa ra vào đầu tháng này dưới sự bảo trợ của Trung tâm Luật và Chính sách An ninh Mạng:
- Hội đồng Chính sách Hacking, một bộ phận của Trung tâm Luật và Chính sách An ninh mạng (CCPL) sẽ đối đầu với luật pháp nhằm hạn chế các hoạt động hack có đạo đức như thử nghiệm bút và yêu cầu tiết lộ sớm các lỗ hổng cho các cơ quan chính phủ hoặc công chúng.
- Quỹ bảo vệ pháp lý cho nghiên cứu bảo mật, sẽ giúp tài trợ cho việc đại diện pháp lý cho những người gặp phải các vấn đề pháp lý do nghiên cứu bảo mật có thiện ý và tiết lộ lỗ hổng trong các trường hợp sẽ thúc đẩy an ninh mạng vì lợi ích công cộng.
Harley Geiger, cố vấn tại Venable LLP, cho biết hai tổ chức sẽ giải quyết mục 1201 của Đạo luật bản quyền kỹ thuật số thiên niên kỷ.
Ông giải thích: “Để duy trì mức độ cao, Mục 1201 có một hạn chế trong việc cung cấp các công cụ khả dụng có thể phá vỡ các biện pháp bảo vệ công nghệ đối với phần mềm. “Về cơ bản, nếu bạn đang tạo ra các công cụ có sẵn để vượt qua các biện pháp bảo mật phần mềm thì sẽ có một hạn chế kế thừa đối với điều đó và nó được áp dụng khá rộng rãi nhưng thường không được thực thi.”
Geiger nói rằng cải cách là cần thiết bởi vì chính những công cụ mà người kiểm tra bút sử dụng để tìm lỗ hổng trong phần mềm, do tất yếu, được thiết kế để phá vỡ các biện pháp bảo vệ phần mềm.
Ông nói: “Đó chỉ là một khía cạnh của chính sách cần được cải cách có ảnh hưởng đến việc kiểm tra bút.
Giải quyết các đề xuất bắt buộc phát hành các lỗ hổng
Những yêu cầu khác bao gồm các yêu cầu xung quanh việc xác định các lỗ hổng, mà theo ông, điều này tạo ra rủi ro cao đối với các công ty bởi vì, trong thời đại không có niềm tin, việc chia sẻ các lỗ hổng cho các tổ chức chính phủ về mặt chức năng cũng giống như chia sẻ nó với môi trường tự nhiên.
XEM: Mối lo ngại ngày càng tăng về các lỗ hổng trong API (TechRepublic)
“Các lỗ hổng được phát hiện liên tục, vì vậy, tất nhiên bạn muốn giảm thiểu bề mặt tấn công,” ông nói, “Nhưng rất khó để nghĩ đến việc dừng quá trình sản xuất mỗi khi một lỗ hổng mới được phát hiện.”
Ông giải thích rằng điều này sẽ cần thiết nếu các lỗ hổng được tiết lộ sớm. Ví dụ cụ thể là Đạo luật phục hồi không gian mạng do Liên minh châu Âu đề xuất.
Ông nói: “Nếu hoặc khi nó được thông qua, EU sẽ có tác động đến an ninh mạng như GDPR đối với quyền riêng tư. “Cách soạn thảo hiện tại sẽ yêu cầu bất kỳ nhà sản xuất phần mềm nào tiết lộ lỗ hổng cho cơ quan chính phủ EU trong vòng 24 giờ sau khi xác định lỗ hổng đó đã bị khai thác trái phép. Mối quan tâm với điều này là trong vòng 24 giờ, lỗ hổng có thể không được vá hoặc giảm thiểu tại thời điểm đó. Những gì bạn có thể có sau đó là một danh sách cuộn các gói phần mềm có các lỗ hổng chưa được khắc phục đang được chia sẻ với hàng tá cơ quan chính phủ EU,” Geiger nói thêm.
Nói cách khác, ông giải thích, NISA sẽ chia sẻ nó với các nhóm sẵn sàng bảo mật máy tính của các quốc gia thành viên có liên quan cũng như các cơ quan giám sát.
“Nếu đó là phần mềm toàn EU, bạn đang xem xét hơn 50 cơ quan chính phủ có thể có liên quan. Số lượng báo cáo đến có thể rất lớn. Điều này rất nguy hiểm và có nguy cơ thông tin đó bị lộ cho kẻ thù hoặc được sử dụng cho mục đích tình báo,” ông nói.
Theo CCPL, Hội đồng Chính sách Hacking sẽ:
- Tạo môi trường pháp lý thuận lợi hơn cho việc tiết lộ và quản lý lỗ hổng, tiền thưởng lỗi, sửa chữa độc lập để bảo mật, nghiên cứu bảo mật thiện chí và thử nghiệm bút.
- Tăng cường hợp tác giữa các cộng đồng bảo mật, doanh nghiệp và hoạch định chính sách.
- Ngăn chặn các hạn chế pháp lý mới đối với nghiên cứu bảo mật, thử nghiệm bút hoặc tiết lộ và quản lý lỗ hổng bảo mật.
- Tăng cường khả năng phục hồi của các tổ chức thông qua việc áp dụng hiệu quả các chính sách tiết lộ lỗ hổng và sự tham gia của nhà nghiên cứu bảo mật.
Các thành viên sáng lập khác của hội đồng bao gồm Bugcrowd, HackerOne, Intel, Intigriti và LutaSecurity.
Cũng thấy:
Cách trở thành một chuyên gia an ninh mạng: Một mánh gian lận (TechRepublic)
10 sản phẩm chống vi-rút tốt nhất bạn nên xem xét cho doanh nghiệp của mình (TechRepublic)
Cách tuyển dụng và thuê Chuyên viên phân tích bảo mật (TechRepublic Premium)
An ninh mạng và chiến tranh mạng: Bảo hiểm phải đọc nhiều hơn (TechRepublic trên Flipboard)
