美當局發布「殭屍網路報告」 以應對DDoS攻擊

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全6月1日訊 2016年底，Mirai殭屍網路爆發，致美國 Netflix 和《紐約時報》大量知名網站無法訪問。

• 2017年5月，特朗普於簽署了網路安全行政令。這份行政令要求美國商務部（DoC）和國土安全部（DHS）提交應對 DDoS 攻擊和殭屍網路的報告。

• 2018年5月30日，美國商務部和國土安全部終於發布長達51頁的報告，提出美國聯邦政府應「率先以身作則」，確保計算機和聯網設備免遭殭屍網路劫持，鼓勵行業帶頭確定如何保護這些設備。

DoC 和 DHS 在報告中概述了互聯網和全球通信生態系統領域的技術和政策現狀以及未來願景。這份報告主要提到5大總體目標和24個具體行動舉措，強調構建更安全、更具彈性的物聯網，並提出政府與行業之間應加強合作。

美國商務部（DoC）和國土安全部（DHS）在報告中概述了降低自動化分散式攻擊所面臨的機遇和挑戰，包含：

• ?自動分散式攻擊是全球性問題；

• ?有效的工具確實存在，但應用範圍不廣泛；

• ?應在產品生命周期的所有階段保護產品；

• ?有必要開展意識和教育培訓；

• ?應當更有效協調市場激勵機制；

• ?自動分散式攻擊是整個生態系統的挑戰，單個利益相關者無法孤立解決問題。

五大總體目標

這份報告確定的五大總體目標是：

• 目標1：確定明確的途徑，朝適應性強、可持續以及安全技術市場發展；

• 目標2：促進基礎設施創新，以適應不斷變化的威脅；

• 目標3：在網路邊緣促進創新，以預防、發現並緩解自動分散式攻擊；

• 目標4：促進並支持美國國內及全球安全、基礎設施和運營技術行業之間的進行合作；

• 目標5：加強整個生態系統的意識和教育。

這份報告針對美國聯邦政府提出行動舉措，?美國聯邦政府應當：

• 支持行業的工作，為商業和工業物聯網（IIoT）設備創建「營養」的安全標籤。

• 幫助改善私營部門以及行業和政府機構之間的網路信息共享。

• 在應對殭屍網路方面投入更多研發資金。

• ?敦促行業使商業物聯網設備的安全性更易理解，便於實施。

這份報告並沒有推薦應對殭屍網路的具體新法規，也沒有要求美國聯邦政府制定打擊殭屍網路的戰略。DoC 和 DHS 指出，由於物聯網環境複雜且多樣化，因此難以制定一套通用規則來確保安全性並跟上物聯網不斷變化的形勢。 相反，這份報告認為美國聯邦政府應當發揮「鼓舞」的作用。例如，提出美國聯邦政府應當敦促行業採用針對聯網設備（比如感測器和攝像機）的安全基準，並要求設備製造商為聯邦機構和在聯邦合同中採用這些基準。

該報告提出，美國聯邦政府同樣應使用聯邦合同要求，激勵更安全、更具彈性的軟體構建方法。如果沒有證據表明，消費者會接受開發更安全產品增加的成本，行業可能會受刺激而逐底競爭。雖然美國聯邦政府的採購不再主導市場，但聯邦政府的購買力和影響力依然強勁，美國聯邦政府可以身作則率先創建市場激勵機制，鼓勵早期採用者。

報告還敦促美國聯邦政府使用現有的監管工具，使聯網設備更具彈性，防範殭屍網路。該報告提出，美國商務部（DoC）和國土安全部（DHS）應在報告通過後120天內，與業界、民間團體協調，同時與國際合作夥伴進行協商，共同制定出包含優先行動舉措的初步路線圖。

美國聯邦政府和私營部門將共同協作，確保在利益相關者完成確定的行動後更新路線圖。為跟蹤進展，DoC 和 DHS 將在一年後向總統提供一份關於路線圖實施的狀況報告。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！