微软、Twitter必须加强安全措施,美国网络安全官员表示 - 彭博社
Katrina Manson
Jen Easterly
摄影师:Kevin Dietsch/Getty Images一位美国高级网络安全官员描述了一些 Microsoft Corp. 和 Twitter Inc. 的安全协议的采纳为“令人失望”,这是对大型科技公司保护用户账户方式的一次猛烈抨击。
Jen Easterly,网络安全与基础设施安全局局长,在周一的讲话中表示,糟糕的软件和不安全的做法正在促成勒索软件攻击,这些攻击正在瘫痪国家最基本的服务,涵盖能源供应、食品生产、医院和学校。
Microsoft、Twitter和其他科技公司应默认将用户纳入基本保护措施,如多因素认证,Easterly表示。多因素认证是一种安全方法,用户通过用户名、密码和额外的验证层登录他们的账户。Twitter 于2月17日表示将开始向用户收费短信多因素认证,这项服务传统上是免费的。
“技术制造商必须对客户的安全结果负责,”Easterly在卡内基梅隆大学表示,这是提前与彭博新闻分享的准备好的讲话稿。 “政府也可以在将责任转嫁给那些未能履行他们对客户的责任的实体方面发挥作用。”
她还支持立法,为科技公司创造责任,如果他们的产品包含过多风险,称在售的技术产品存在数千个缺陷,弱默认设置使客户面临不必要的风险。
大约四分之一的微软企业客户和三分之一的管理员账户,可以访问和启用多个其他账户上的更改,使用多因素身份验证,Easterly说。
根据该公司的2021透明度报告,不到3%的Twitter用户依赖相同的功能。Easterly表示,微软和Twitter的数字“令人失望。”
“我希望这些数字会上升,”Easterly在演讲后告诉彭博新闻,指的是她对微软的多因素身份验证数字描述为“太低。”
CISA主任还表示,她尚未直接联系Twitter关于其最新政策变更。“我们不告诉社交媒体公司该做什么,”她说,并补充说,她希望该公司在处理MFA方面“更加深思熟虑。”
她补充说,公司公布其用户中的多因素采用率是一个积极的迹象。
消费者必须有透明度,这样他们可以根据产品的安全性“做出决定”,她说。
微软和Twitter均未立即回应评论请求。
苹果公司表示,95%的iCloud用户已启用多因素身份验证,因为该公司默认情况下激活该设置,这是Easterly鼓励其他公司效仿的一个例子。
此外,Easterly表示,科技公司不应该再对基本安全保护收取额外费用,尽管她没有提到任何具体的产品或公司。
科技公司还应该解决软件内存中普遍存在的编码问题,这些问题导致了她所说的占所有已知软件漏洞的三分之二的缺陷,Easterly表示。最好的解决方法是使用特定的编程语言编写或重写代码,她提到了Go、Java、Python和Rust。
这位来自CISA的高级官员的讲话是在拜登政府正在准备一项国家网络战略的背景下发表的,该战略有望提出规定,迫使公司应对黑客威胁。