《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 看拜登政府網(wǎng)絡(luò)安全行政令的七大舉措

看拜登政府網(wǎng)絡(luò)安全行政令的七大舉措

2021-05-18
來(lái)源: e安在線(xiàn)

  盡管缺乏明確的定義,,但拜登政府新發(fā)布的行政令可能比過(guò)去的更為有效,,尤其是在Colonial Pipeline攻擊之后。

  主要石油管道供應(yīng)商Colonial Pipeline遭受勒索軟件攻擊癱瘓,。在經(jīng)歷了戲劇性的一周之后,,拜登政府發(fā)布了備受關(guān)注的《改善國(guó)家網(wǎng)絡(luò)安全行政令》,,或產(chǎn)生深遠(yuǎn)而復(fù)雜的影響。該行政令旨在描繪“改善國(guó)家網(wǎng)絡(luò)安全和保護(hù)聯(lián)邦政府網(wǎng)絡(luò)的新路線(xiàn)”,。

  這份雄心勃勃的文件從SolarWinds和Microsoft Exchange供應(yīng)鏈攻擊,,以及Colonial Pipeline勒索軟件感染出發(fā),提出了一系列最小化此類(lèi)網(wǎng)絡(luò)安全事件頻率和后果的舉措,。這些舉措包括:

  1.消除政府與私營(yíng)行業(yè)之間共享威脅信息的障礙,,重點(diǎn)確保IT服務(wù)提供商能夠與美國(guó)聯(lián)邦政府共享安全事件信息。

  2. 現(xiàn)代化并實(shí)現(xiàn)更強(qiáng)的聯(lián)邦政府網(wǎng)絡(luò)安全標(biāo)準(zhǔn),,包括遷移到云服務(wù)和零信任架構(gòu),,以及采用多因子身份驗(yàn)證(MFA)和強(qiáng)制加密。

  3. 提升軟件供應(yīng)鏈安全,,包括為出售給政府的軟件制定軟件開(kāi)發(fā)基線(xiàn)安全標(biāo)準(zhǔn),。美國(guó)商務(wù)部必須公布軟件材料清單(SBOM)的必備要素,跟蹤構(gòu)成軟件的各個(gè)組件,。

  4. 建立由政府和私營(yíng)產(chǎn)業(yè)專(zhuān)家組成的網(wǎng)絡(luò)安全安全審查委員會(huì),,在發(fā)生重大網(wǎng)絡(luò)安全事件后召開(kāi)會(huì)議,,提出建議,就像國(guó)家運(yùn)輸安全委員會(huì)(NTSB)在發(fā)生重大運(yùn)輸事故后所做的那樣,。

  5. 創(chuàng)建事件響應(yīng)標(biāo)準(zhǔn)行動(dòng)手冊(cè),,確保所有聯(lián)邦機(jī)構(gòu)都參照標(biāo)準(zhǔn)的行動(dòng)手冊(cè)和事件響應(yīng)定義行事。

  6. 啟用政府范圍的端點(diǎn)檢測(cè)與響應(yīng)(EDR)系統(tǒng),,改進(jìn)聯(lián)邦政府內(nèi)部的信息共享,,從而提升聯(lián)邦政府各網(wǎng)絡(luò)上的網(wǎng)絡(luò)安全事件檢測(cè)。

  7. 為所有聯(lián)邦機(jī)構(gòu)建立網(wǎng)絡(luò)安全事件日志要求,,改善調(diào)查與修復(fù)能力,。

  立法者盛贊這項(xiàng)行政令

  立法者對(duì)此項(xiàng)行政令的最初反應(yīng)是正面的。國(guó)會(huì)議員 Jim Langevin 是眾議院網(wǎng)絡(luò)安全,、創(chuàng)新技術(shù)和信息系統(tǒng)軍事小組委員會(huì)主席,,也是網(wǎng)絡(luò)空間日光浴室委員會(huì)成員,他發(fā)表聲明說(shuō):“網(wǎng)絡(luò)安全是我們國(guó)家最緊迫的國(guó)家安全挑戰(zhàn),,我贊成拜登總統(tǒng)在任期初期采取行動(dòng),,解決和消除突出的弱點(diǎn)?!?/p>

  參議院情報(bào)委員會(huì)主席,、弗吉尼亞州民主黨參議員Mark Warner認(rèn)為,行政令的發(fā)布是“良好的第一步”,。馬薩諸塞州民主黨參議員Edward J. Markey和加利福尼亞州民主黨國(guó)會(huì)議員Ted W. Lieu稱(chēng)贊這項(xiàng)行政令創(chuàng)建了新的試點(diǎn)項(xiàng)目,,可以“教育公眾熟悉物聯(lián)網(wǎng)(IoT)設(shè)備的安全能力?!薄?/p>

  專(zhuān)家指出定義挑戰(zhàn)

  然而,,這項(xiàng)行政令包含了46個(gè)限期完成的目標(biāo),目前尚缺乏關(guān)于如何實(shí)現(xiàn)這許多目標(biāo)的詳細(xì)說(shuō)明,。Wiley Rein律師事務(wù)所合伙人Megan Brown向媒體透露:“行政令給美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)和聯(lián)邦采購(gòu)管理委員會(huì)(FAR)留下了許多未定義的內(nèi)容,,并賦予了巨大的自由裁量權(quán)?!痹撔姓钜驨IST制定實(shí)現(xiàn)零信任架構(gòu)的計(jì)劃,,并要求其定義關(guān)鍵軟件并制定評(píng)估軟件安全的指南。

  根據(jù)行政令,,NIST被進(jìn)一步分配了一系列任務(wù),,敲定物聯(lián)網(wǎng)消費(fèi)品安全標(biāo)簽計(jì)劃的關(guān)鍵組成部分,包括建立試點(diǎn)計(jì)劃和確定計(jì)劃中使用的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),。聯(lián)邦采購(gòu)管理委員會(huì)則被分配了許多與信息共享要求相關(guān)的合約語(yǔ)言開(kāi)發(fā)任務(wù),。

  安全事件的定義很主觀

  前白宮首席信息官、網(wǎng)絡(luò)安全公司Fortalice Solutions現(xiàn)任首席執(zhí)行官特Theresa Payton贊揚(yáng)了網(wǎng)絡(luò)安全安全審查委員會(huì)的成立,但表示對(duì)該行政令的執(zhí)行存有顧慮,?!靶姓钜驣T服務(wù)提供商向政府報(bào)告可能影響美國(guó)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全事件。這個(gè)要求太過(guò)主觀,?!?/p>

  “從網(wǎng)絡(luò)安全從業(yè)人員管理者的角度出發(fā),面對(duì)這種相當(dāng)主觀的要求,,老實(shí)說(shuō),,我覺(jué)得自己根本不知道該怎么遵從。行政令并沒(méi)有真正明確哪個(gè)部門(mén)或機(jī)構(gòu)負(fù)責(zé)確保這一點(diǎn),。比如說(shuō),,你報(bào)告給哪個(gè)政府部門(mén)?聯(lián)邦調(diào)查局(FBI)嗎,?國(guó)家安全局(NSA),?還是說(shuō),中央情報(bào)局(CIA),?”

  撇開(kāi)向聯(lián)邦政府發(fā)送安全事件信息和為網(wǎng)絡(luò)罪犯創(chuàng)造易得手目標(biāo)的安全影響不談,,僅定義上的挑戰(zhàn)就十分巨大。Payton說(shuō):“未授權(quán)登錄或未授權(quán)訪(fǎng)問(wèn)被認(rèn)為是網(wǎng)絡(luò)事件,。但如果客戶(hù)說(shuō)”我們安全運(yùn)營(yíng)中心觀測(cè)到異常情況“,,網(wǎng)絡(luò)安全公司就會(huì)出動(dòng)事件響應(yīng)團(tuán)隊(duì),然后發(fā)現(xiàn)某個(gè)軟件應(yīng)用運(yùn)行異常需要修復(fù),。沒(méi)錯(cuò),,確實(shí)有未授權(quán)訪(fǎng)問(wèn),但沒(méi)有任何數(shù)據(jù)落入網(wǎng)絡(luò)罪犯之手,。這種也需要報(bào)告嗎?”

  此外,,行政令要求的安全事件報(bào)告與美國(guó)各州和司法轄區(qū)要求的數(shù)據(jù)泄露事件報(bào)告之間也需要協(xié)調(diào),。Payton表示:“美國(guó)現(xiàn)在有關(guān)數(shù)據(jù)泄露通報(bào)的法律多如牛毛。世界上沒(méi)幾個(gè)國(guó)家像美國(guó)這么搞,。我們到底是遵守州政府的規(guī)定,,還是有新的規(guī)則來(lái)規(guī)定什么是可報(bào)告的事件?”

  美國(guó)國(guó)土安全部協(xié)調(diào)委員會(huì)前副主席,、西雅圖前首席信息官,、事件響應(yīng)公司CI Security首席信息官M(fèi)ichael Hamilton表示,行政令中許多章節(jié)“相當(dāng)直白,,放之四海而皆準(zhǔn)”,,比如要求聯(lián)邦機(jī)構(gòu)以標(biāo)準(zhǔn)化的方式管理漏洞和安全事件。他還認(rèn)為,,拜登政府“還需要打磨一些細(xì)節(jié),,有些定義上的問(wèn)題需要解決和澄清,。”

  NSA挑大梁

  美國(guó)國(guó)家安全局(NSA)在這份行政令的實(shí)施中扮演重要角色,,包括定義企業(yè)和機(jī)構(gòu)需要向政府報(bào)告的安全事件由哪些要素構(gòu)成,。Hamilton稱(chēng):“尤其是NSA,這個(gè)機(jī)構(gòu)擁有追蹤和通報(bào)這些罪犯的專(zhuān)長(zhǎng),。NSA不得開(kāi)展國(guó)內(nèi)監(jiān)視,。如果NSA拿出一套規(guī)則確定服務(wù)提供商什么時(shí)候得移交數(shù)據(jù)供調(diào)查,如果他們是解決這個(gè)問(wèn)題的人,,那可能是因?yàn)樗麄兿霃牧鹘?jīng)服務(wù)提供商和運(yùn)營(yíng)商的網(wǎng)絡(luò)流量方面繞開(kāi)無(wú)法監(jiān)視美國(guó)國(guó)內(nèi)的障礙,。”

  “我覺(jué)得他們會(huì)用這種方法嘗試解決這一問(wèn)題,。如果他們有一席之地,,那是因?yàn)橛行〇|西是他們想要的,他們知道怎么利用,?!?/p>

  行政令與之前的操作有何不同?

  我們尚不清楚該行政令與聯(lián)邦政府之前的網(wǎng)絡(luò)安全工作有何差異,。Payton稱(chēng):“我想再多觀察觀察,。我希望這份行政令能夠少談框架和信息共享,因?yàn)檫@事兒從克林頓政府時(shí)期就一直是他們追求的目標(biāo)了,。達(dá)成目標(biāo)不外乎‘加大投資,,再呼吁投更多人和更多框架進(jìn)來(lái)’?;蛟S我們可以從完全不同的角度看問(wèn)題,。比如從加密貨幣和非同質(zhì)化通證領(lǐng)域借鑒點(diǎn)兒創(chuàng)新思維??赡芪覀冃枰氖遣灰粯拥膭?chuàng)新者,,而不是一直以來(lái)的從業(yè)者?!?/p>

  Hamilton認(rèn)為,,這一次,聯(lián)邦政府提出的解決網(wǎng)絡(luò)安全棘手問(wèn)題的倡議不同以往,,可能會(huì)奏效,。“我們從未像過(guò)去六個(gè)月里那樣過(guò)得這么慘,。這次是不一樣的,。這并非最好的,但直接關(guān)系到過(guò)去六個(gè)月發(fā)生的一些事情的核心,特別是供應(yīng)鏈安全問(wèn)題,?!?/p>

  “聯(lián)邦政府花了這么多錢(qián),自然可以隨心所欲地給產(chǎn)品和供應(yīng)商提需求,,而供應(yīng)商如果不想丟掉飯碗,,就必須跟進(jìn)。所以這次是不一樣的,,純粹是利用經(jīng)濟(jì)手段,、市場(chǎng)力量、錢(qián)包的力量,、競(jìng)爭(zhēng)差異化來(lái)獲得你想要的網(wǎng)絡(luò)安全,,而不是硬邦邦說(shuō)‘你必須滿(mǎn)足以下所有要求’?!?/p>



微信圖片_20210517164139.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected]