chertoff2_NICOLAS ASFOURIAFP via Getty Images_hackers Nicolas Asfouri/AFP via Getty Images

太阳风案的警报

华盛顿—最近发现针对美国和全球目标发动毁灭性的森伯斯特黑客攻击活动再次挑战了国际社会面对网络攻击愈演愈烈的既定方式。过去一年来,世界各地的网络安全人员一直忙于应对针对关键基础设施,包括负责抗击2019年新冠疫情的各大机构所发起的大量攻击。尽管各国政府公开谴责了其中某些行为,但显然有必要进一步采取集体行动。

目前尚未签署有关网络事务的国际条约,而联合国大会通过的11项负责任国家网络行为非约束性规则全都存在模棱两可的表述。人们一直在试图制定新的规范,这无疑是件好事。但不应以条约的方式来对待规范,因为规范和条约是两码事。更好的选择是专注于规范所表达的精神,而不仅仅是文字。事实上,最新的黑客泄密事件恰恰表明,国际网络安全条约为什么很有可能会最终失利。

太阳风(SolarWinds)是一家领先的美国网络管理企业,其业务是搭建一个监控平台,授权IT支持人员远程访问委托其安装的各种设备。最近发生的供应链攻击事件劫持了该软件的更新功能,并以安装所谓森伯斯特恶意软件为目标。就像一家名为注册的技术刊物所报道的那样,太阳风已布署在超过425家美国财富500强企业,所有主要美国技术企业以及多数美国政府部门当中(该公司在其他发达国家占有率也基本相同。)而上周初曾报告泄密事件协助揭露此次黑客攻击的网络安全公司火眼(FireEye)也表示,全世界机构都有可能遭到损害,尽管美国政府或许才是重点目标。

https://prosyn.org/Two4sSvzh