美国联邦通信委员会(FCC)公布了一项提案,旨在通过提高互联网路由安全性来加强美国网络抵御网络攻击的安全。
新举措要求互联网服务提供商提供机密报告,详细说明他们为解决边界网关协议 (BGP) 漏洞所做的努力和计划。边界网关协议 (BGP) 是用于在互联网上路由信息的基本技术协议。
根据该提案,美国最大的宽带提供商将被要求每季度提交公开数据,展示他们在降低 BGP 风险方面取得的进展。此举旨在加强互联网路由安全性,并向 FCC 及其国家安全合作伙伴提供有关这一关键问题的最新信息。
美国联邦通信委员会主席杰西卡·罗森沃塞尔在一份声明中强调了保护互联网流量的重要性,并提到了最近与被称为“互联网之父”的文特·瑟夫的对话。
回顾互联网的起源和开放式架构,瑟夫表示希望自己早知道互联网需要更多的安全性。罗森沃塞尔表示同意,并指出各种日常活动都严重依赖 BGP——从小型企业运营和网上银行到远程医疗和应急服务。
BGP 已经使用了几十年,其最初的设计初衷并不是提供内在的安全特性,以确保互联网上独立管理的网络之间交换的信息的信任。
国家安全专家表示担心,恶意攻击者可能会通过伪造可达性信息来利用 BGP,这种策略被称为“BGP 劫持”。此类攻击可能会泄露个人数据、帮助盗窃和勒索、进行国家级间谍活动并破坏基本服务。
FCC 专员杰弗里·斯塔克斯 (Geoffrey Starks) 强调了 BGP 安全的重要性,并自 2022 年以来一直关注这一问题。
斯塔克斯在一份声明中指出,意外或恶意行为可能会导致网络不可用或重定向流量,以进行网络攻击、数据盗窃或间谍活动。斯塔克斯列举了一些著名事件,例如 2008 年巴基斯坦试图封锁其境内的访问而导致 YouTube 中断,以及俄罗斯在入侵乌克兰期间利用 BGP 漏洞限制对 Twitter 的访问。他还强调了中国电信劫持 BGP,将全球 15% 的互联网流量重定向到中国。
斯塔克斯强调,由路由安全共同商定规范 (MANRS) 开发的资源公钥基础设施 (RPKI) 等工具对于增强 BGP 安全性至关重要。RPKI 充当经过身份验证的 BGP 路由的公共数据库,被认为是保护互联网路由的黄金标准。
为了解决这些问题,FCC 通过了《拟议规则制定通知》,其中包括以下主要措施:
- 年度 BGP 安全风险管理计划:宽带互联网接入服务提供商必须至少每年制定和更新机密的 BGP 安全风险管理计划。这些计划应详细说明提供商使用 RPKI 实施 BGP 安全措施的进展和策略。
- 主要宽带提供商的报告:九家最大的宽带提供商需要向 FCC 秘密提交其 BGP 计划。此外,他们还将提交季度公开数据,以便委员会跟踪基于 RPKI 的安全措施的实施情况并评估 BGP 计划的充分性。达到一定安全门槛的提供商将无需提交后续详细计划。
- 小型宽带提供商:这些提供商无需向联邦通信委员会提交他们的计划,但必须在要求时提供。
斯塔克斯补充说,拟议的规则将促使尚未开始部署 BGP 缓解措施的 ISP 开始部署,而衡量 RPKI 部署将有助于私营和公共部门了解需要采取哪些措施来保护网络。这项举措符合国家网络安全战略实施计划,特别是第 4.1.5 号倡议,旨在增加安全互联网路由技术的采用。
罗森沃塞尔讲述了 BGP 的起源,通常被称为“三张餐巾纸协议”。BGP 是由工程师于 1989 年在互联网工程任务组会议上创建的,是一种短期解决方案,后来演变为支持蓬勃发展的互联网。尽管 BGP 在网络发展中发挥了基础性作用,但它并未设计明确的安全功能,因此很容易受到攻击。
FCC 提出的规则是对 BGP 劫持事件的回应。Rosenworcel 感谢网络安全和基础设施安全局、国防部和司法部的合作,并披露了中国电信利用 BGP 漏洞错误路由美国互联网流量的行为。这些劫持不仅会泄露个人信息,还会破坏关键的金融交易和其他敏感操作。
FCC 正在就这些提案以及与实施基于 RPKI 的安全相关的其他措施征求公众意见。在宣布这一举措时,FCC 承认各利益相关方在过去二十年中为解决 BGP 漏洞做出了巨大努力。然而,它强调,为了公共安全和国家安全,还需要做更多的工作来确保互联网路由的安全。