信息技术现代化让北约“面向未来”

 

来源：AerospaceDefense

作者：James.W

去年10月在比利时蒙斯举行的北约前沿峰会(NATO Edge conference)，思考“面向未来”的NATO到底需要什么，NATO在过去70年直利用政治和军事资产来维护自由和成员国的安全。峰会评估了NATO的核心能力：技术、协作、伙伴关系，并着眼于加强这些战略资产。

蒙斯达成共识，先进的IT工具比以往任何时候都对国防至关重要。NATO的IT能力目标，最好是IT优势，很明确。然而，如果没有持续和一致的努力，就无法实现NATO网络能力的现代化和安全保障。

首先，NATO的30个成员使用的协同系统和网络面临挑战，这个名册很有可能扩大。其次，NATO和欧洲在采用新技术方面落后于美国。滞后往往是两到三年。第三，已知的对手拥有完善的、由国家支持的攻击IT网络的能力，通常是利用应用程序中的安全漏洞。

NATO前沿峰会的主题是“聚焦技术Technology in Focus”，探索了一系列以“数字化转型digital transformation”为主题的新兴和颠覆性技术，包括AI以及利用AI从海量数据集中提取作战情报以获得战略优势。在对AI和尖端算法的热情背后，峰会参与者承认NATO联盟的命运可能转向的一个更为平淡但同样重要的问题：应用程序安全。

软件是NATO实现现代化、数字化转型愿景的载体，峰会参与者渴望讨论威胁该愿景的漏洞。他们明白，软件安全对于实现数字化转型、支持AI的图像识别和容器等云原生技术的目标至关重要。将安全融入支撑NATO增强IT能力基础设施的应用程序，将创建由卓越的后勤、通信和协同的部队的NATO军事能力。

NATO愿景的技术结缔组织将是数百万行代码，必须加以保护。否则，NATO将发现自己在捍卫一个容易受到安全漏洞攻击的庞大网络环境。迅速扩大的军事和国防应用领域，就像运行民用组织的软件一样，往往缺乏安全性。新兴应用程序的构建块包括可能包含可利用的安全漏洞的代码库、未知编码人员贡献的第三方软件以及内部开发人员创建的软件，其中一些人可能几乎没有在构建安全应用程序方面接受过正规培训.

将NATO转变为一个能够应对21世纪威胁的强大联盟，将需要一项积极的现代化计划，从一开始就将安全性纳入应用程序。多年来为应用程序开发提供信息的风险回报方程式认为，软件交付可以快速或安全，但不能两者兼而有之。在开发的每个阶段，从初始设计到退役，使用评估和保护应用程序的工具，确保软件开发是安全的，而不会妨碍其生产。

这是一个重复的循环。正如现在软件部署不断发生一样，软件安全最佳实践也必须不断发生，完全集成到开发工作流程中。

IT领导者对保护应用程序的表面复杂性和范围感到不知所措，有时只想知道如何开始。简单的答案是从力所能及的地方开始。扫描开源库并更新它们并打补丁，对内部代码进行静态扫描以发现缺陷，并在其投入生产之前进行动态扫描以暴露漏洞。在做任何更成熟的事情之前，先从基础开始。

对于向零信任架构模型(zero-trust architecture model)转型的组织，应用程序安全性至关重要。美国网络安全和基础设施安全局(CISA)将应用程序安全指定为其零信任成熟度模型的五个支柱之一。事实上，应用程序负责执行许多零信任原则，包括数据安全、加密、身份验证、授权和日志记录。

在其他地方，拜登政府关于改善国家网络安全的行政命令要求软件供应商向买家提供软件材料清单，使机构能够了解应用程序中的内容，使他们能够确保他们的应用程序仅依赖于第三方代码安全的。

事实上，应用程序安全对于所有现代组织的IT安全至关重要。NATO也不例外。如果有的话，像NATO这样的联盟的安全授权使应用程序安全变得更加重要。

一些军事战略家可能将安全环境称为富目标的环境(target-rich environment)。自2021年年中以来，利用应用程序缺陷、零日漏洞或其他安全漏洞的网络攻击已经引发了许多IT漏洞，其中包括对SolarWinds软件公司的攻击，利用Kaseya的勒索软件攻击，一个流行的JavaScript库UA-Parser-JS，和基于Java Log4j日志记录工具。

在莎士比亚的《暴风雨》中，安东尼奥说“过去是序幕”，这句话通常被认为是过去决定现在的意思。仔细阅读整篇文章会发现不同的含义：过去让我们来到这里；接下来会发生什么取决于我们。

NATO到了一个关键时刻。在地缘政治舞台上实时出现的是信息技术决定军事霸权的新时代。在这个新的世界秩序中，保护IT资产，从网络到应用程序再到代码，比以往任何时候都更加重要。

应用安全就是国家安全。

https://www./thought-leadership/2023/02/07/how-information-technology-modernization-can-future-proof-nato/