安全专家 Chris Krebs 谈 TikTok、人工智能和生存的关键

这是由两部分组成的系列中的第一部分。

VentureBeat 最近（虚拟）与美国国土安全部 (DHS) 网络安全和基础设施安全局首任局长 Chris Krebs 进行了座谈（虚拟）。中西医结合协会）以及最近担任的首席公共政策官 哨兵一号。 他是 Krebs Stamos Group 的创始合伙人，该集团被 SentinelOne 收购。 克雷布斯还是阿斯彭研究所美国网络安全工作组的联合主席。

克雷布斯在国家网络安全防御和网络威胁全球动态领域的领导地位塑造了美国应对现代数字威胁的方法。 在 CISA 任职期间，他领导了一个拥有 2,500 名成员的组织，该组织在疫情期间在国家网络安全防御方面取得了重大进展。 克雷布斯以能够将复杂的网络安全问题提炼成易于理解的术语而闻名。

VentureBeat 与 Krebs 讨论了最近的 TikTok 立法、人工智能以及公司可以采取哪些措施来保持网络安全警惕。

以下是 VentureBeat 今天对 Chris Krebs 的采访要点：

VentureBeat：假设美国参议院不批准 TikTok 法案，那么该法案对我们国家长期网络安全战略的影响是什么？

克里斯·克雷布斯： 这是一个有趣的问题，对吧？ 因为参议院通常不喜欢被强行灌输众议院文件。 他们喜欢做自己的事，毫无疑问他们会做出调整。 首先，就像任何立法一样，该法案并不完美。 它可能存在一些缺陷，但可以改进，而且参议院喜欢对事情发表自己的看法。 我怀疑他们会澄清一些语言。

我思考真正的问题，安全问题，但还有更广泛的外国影响问题。 因此，如果你把它分开，那么我认为让事情变得有点混乱的部分是 TikTok 和其他类似应用程序在中国之外的真正风险是什么。 我认为这项法案中遗漏的另一件事是，它不仅仅涉及字节跳动和 TikTok，尽管 TikTok 希望从他们的战略中实现这一目标。 它的范围要广泛得多，我认为可以单独解决微信和许多其他来自中国和俄罗斯的应用程序的问题。 Telegram 也有可能被卷入其中。

如果它没有通过，我认为除了外国宣传和潜在的影响力之外，我们还存在数据安全和数据隐私的突出问题。 所以我仍然认为，而且我已经思考了十年了，我们确实需要一部国家或联邦隐私法。

现在，我们已经在六多场国会会议中把每届国会的隐私权都押在了隐私上。 与此同时，所发生的事情是逐个州进行的，因此加利福尼亚州、伊利诺伊州、纽约州和其他州确实制定了各个州的隐私法，但欧洲也制定了《通用数据保护条例》(GDPR)这已经开始确定步伐，现在他们正在转向 GDPR 2。

事实上，在全球范围内进行交易的每个人（至少在欧盟）都开始根据 GDPR 的规定制定自己的内部策略。 这种流程缩减正在美国发生，我认为这不是我们想要的方法。 这不是国会所希望的做法。 我知道，人们对欧洲默认制定美国科技政策有很多抱怨。 所以我认为这是我对 TikTok 发生的任何事情的第一反应。 我们必须加强行动，否则欧洲人将继续决定我们企业的运营方式。

来源：SentinelOne

VB：民族国家攻击者看到了超大规模和云安全方面的差距，他们是否将这些差距视为可以利用的弱点，这就是他们最近如此努力地攻击微软、谷歌和亚马逊，尤其是微软的原因吗？

克雷布斯： 这是我最喜欢的问题，因为它将市场动态与威胁情报和网络安全结合在一起。 因此，退后一步，看看过去五年中数字化转型的转变，即向云的转变，它已经持续了十多年。 新冠疫情确实迫使许多组织不得不从本地解决方案转向基于云的解决方案。

仅 CISA 就有大约 2,500 名员工，在一个周末突然转变为在家工作。 对于 2,500 名员工，我们在整个组织中只有大约 1200 个 VPN 许可证，因为……我们从未对突然退出的每个人进行负载测试。 我们确实有远程工作政策，但在华盛顿地区非常有限。 但突然间，砰的一声，每个人都回家了。 它不起作用。

我们的整个方法崩溃了，所以我们不得不采用 Office 365 的工作场所即服务模式，它确实为我们解决了很多问题。 我们并不是唯一一个意识到之前的数字战略无法让我们取得成功和提高生产力的组织。 因此，云领域出现了真正的繁荣。

我们看到了这一点，我们在业务方面这样做，猜猜还有谁看到了这一点？ 坏人。 坏人看到所有这些流量都转移了，他们说：“好吧，这里发生了什么？” 他们将转向规模小得多的目标组织和超大规模云以及 Microsoft、GCP、AWS 等，这让他们可以瞄准的目标组织要小得多。 他们可以伸手触摸它们，因为 IT 连接的本质是存在某种形式的。

特别是中国，还有俄罗斯，相当长一段时间以来，他们一直在投入资源并优先考虑刺穿这些云提供商。 所以 天府杯 中国针对云漏洞和 Hyper-V 逃逸等问题提供了相当可观的奖励。 所以我们看到他们确实围绕云计算制定了战略。

VB：随着我们更加依赖超大规模和云作为基础设施的核心部分，我们使用红队识别漏洞的能力发生了怎样的变化？

克雷布斯： 从历史上看，使用（微软）Exchange 或任何类型的本地解决方案，政府红队可以抢占 Exchange，他们可以将其放在米德堡的长凳上，然后他们可以击败它并找出所有这些漏洞以及如何进攻，但主要是如何防守。 然后他们可以与微软分享，并说：“嘿，我们发现了这个东西，你们需要解决它，因为如果我们能找到它，那就意味着其他人也能找到它。”

对于位于雷德蒙德或其他公共云系统的云托管解决方案，您不具备这种能力。 这是非法的。 政府做不到。 云提供商向堡垒或情报界提供了一些新兴的私有云实例功能，但它并不那么普遍，当然也不那么容易访问。 因此，在某种程度上，商业云提供商并没有像以前那样从国家安全社区获得同样的支持和利益，因为事情的运作方式、合同和法律。 因此，如果采用不同的技术部署，我们不一定拥有相同的团队来进行战斗。

因此，就好像云提供商正在独自对抗这一问题。 他们得到了一些见解，但从技术或技术的角度来看，它并不像以前那么好。

这就是我与国家安全界人士进行这些对话的原因，我们就像是命悬一线。 这确实已经成为一个危机点，我们确实需要获得尽可能多的这些，无论是公私伙伴关系还是……坦率地说，我认为这主要是从更大的角度来看，是公私伙伴关系。

在我们采访的第二部分中，Chris Krebs 强调了预测网络威胁（尤其是来自俄罗斯和中国的网络威胁）的重要性，以及采取主动网络安全措施以确保关键基础设施免受不断变化的威胁的必要性。 克雷布斯主张对网络安全采取前瞻性的方法，以有效应对未来的风险和漏洞。