【打落水狗】Google回應美國政府網安事故 批評說話句句有骨
Google 最新發表一份報告,內容是回應近期美國政府因 Microsoft 執行網絡安全措施不足,導致 25 間政府機構電郵數據被盜事件,Google 更以「單一文化」(Monoculture)一詞批評政府,即只盲目採用 Microsoft 提供的網絡安全方案,而漠視其他網安同業有可能提供更優質的服務,以致令公共部門及市民陷入網安及資安風險。對「主角」Microsoft 來說,認真無面。
Microsoft 遭入侵事件仍未解決
Microsoft 去年遭受俄羅斯國家級黑客集團 Midnight Blizzard(又稱 APT 29)入侵事件,至今依然未能完全解決,早前美國網絡安全機構 CISA 已發出緊急行政指令,要求所有聯邦機構立即檢查有否相關入侵痕跡,網絡安全審查委員會(CSRB)亦強烈譴責 Microsoft 犯下一連串低級錯誤,甚至建議對方應該要徹底改革內部文化及作業,以提高網絡安全水平。
而就在 Microsoft 管理層還在「熱鍋」之際,頭號對手 Google 亦再踩一腳,就這次事件狠批美國政府機構過往太依賴單一服務供應商,在採購後又缺乏持續評分,漠視其他安全效能更高的同類解決方案,才會導致今次火燒連環船事件。雖然指責的是政府,但由於出事源頭是 Microsoft 的網絡安全服務,所以即使公司管理層有可能感到被羞辱,但現時也只能忍氣吞聲。在 Google 這份報告書中有一些重點,其實也適合企業管理層反思,因為在採購安全服務後,並不能以為可以一勞為逸。
Google 提出保障網安 3 重點
首先,現時安全業界的主流是採用單一服務供應商提供的不同安全解決方案,因為只有數據能夠互通,才能提升數據可視性,及早發現可疑活動。而 Google 就認為政府應採取多供應商策略,但必須先制定和推廣開放標準,以確保各網安公司的產品能夠互通,這做法的好處是即使任何一個環節的解決方案出現問題,客戶也能輕易找到其他更好的方案替換。
其次是 Google 認為即使政府在採購產品時,該產品符合公共部門認證標準,但對其安全評估不應就此結束,應持續就其運作效能、安全漏洞、回應效率等作評分,同時這些評分亦可作為將來續期時的重要參考資料。
最後,雖然 Microsoft 方面遭 CSRB 狠批後已承諾會徹底改革網絡安全策略,且聘用了新的 CISO 去推動改革,但 Google 方面在報告內就指出數據安全不能在現有產品推出後再事後添加,這種說法與安全業界的「左移」(shift left)一致,因為只有在一開始設計軟件時已加入網絡安全考慮,出來的產品才能全面應付不同網絡安全攻擊,以及減少漏洞出現。
資料來源:https://www.securityweek.com/google-cites-monoculture-risks-in-response-to-csrb-report-on-microsoft/
唔想成為下一個騙案受害人?
