盡管缺乏明確的定義,,但拜登政府新發(fā)布的行政令可能比過去的更為有效,,尤其是在Colonial Pipeline攻擊之后,。
主要石油管道供應(yīng)商Colonial Pipeline遭受勒索軟件攻擊癱瘓,。在經(jīng)歷了戲劇性的一周之后,,拜登政府發(fā)布了備受關(guān)注的《改善國家網(wǎng)絡(luò)安全行政令》,,或產(chǎn)生深遠(yuǎn)而復(fù)雜的影響,。該行政令旨在描繪“改善國家網(wǎng)絡(luò)安全和保護(hù)聯(lián)邦政府網(wǎng)絡(luò)的新路線”,。
這份雄心勃勃的文件從SolarWinds和Microsoft Exchange供應(yīng)鏈攻擊,,以及Colonial Pipeline勒索軟件感染出發(fā),,提出了一系列最小化此類網(wǎng)絡(luò)安全事件頻率和后果的舉措。這些舉措包括:
1.消除政府與私營行業(yè)之間共享威脅信息的障礙,,重點(diǎn)確保IT服務(wù)提供商能夠與美國聯(lián)邦政府共享安全事件信息,。
2. 現(xiàn)代化并實(shí)現(xiàn)更強(qiáng)的聯(lián)邦政府網(wǎng)絡(luò)安全標(biāo)準(zhǔn),包括遷移到云服務(wù)和零信任架構(gòu),,以及采用多因子身份驗(yàn)證(MFA)和強(qiáng)制加密,。
3. 提升軟件供應(yīng)鏈安全,包括為出售給政府的軟件制定軟件開發(fā)基線安全標(biāo)準(zhǔn),。美國商務(wù)部必須公布軟件材料清單(SBOM)的必備要素,,跟蹤構(gòu)成軟件的各個(gè)組件。
4. 建立由政府和私營產(chǎn)業(yè)專家組成的網(wǎng)絡(luò)安全安全審查委員會(huì),,在發(fā)生重大網(wǎng)絡(luò)安全事件后召開會(huì)議,,提出建議,就像國家運(yùn)輸安全委員會(huì)(NTSB)在發(fā)生重大運(yùn)輸事故后所做的那樣,。
5. 創(chuàng)建事件響應(yīng)標(biāo)準(zhǔn)行動(dòng)手冊(cè),,確保所有聯(lián)邦機(jī)構(gòu)都參照標(biāo)準(zhǔn)的行動(dòng)手冊(cè)和事件響應(yīng)定義行事。
6. 啟用政府范圍的端點(diǎn)檢測與響應(yīng)(EDR)系統(tǒng),,改進(jìn)聯(lián)邦政府內(nèi)部的信息共享,,從而提升聯(lián)邦政府各網(wǎng)絡(luò)上的網(wǎng)絡(luò)安全事件檢測。
7. 為所有聯(lián)邦機(jī)構(gòu)建立網(wǎng)絡(luò)安全事件日志要求,,改善調(diào)查與修復(fù)能力,。
立法者盛贊這項(xiàng)行政令
立法者對(duì)此項(xiàng)行政令的最初反應(yīng)是正面的。國會(huì)議員 Jim Langevin 是眾議院網(wǎng)絡(luò)安全,、創(chuàng)新技術(shù)和信息系統(tǒng)軍事小組委員會(huì)主席,,也是網(wǎng)絡(luò)空間日光浴室委員會(huì)成員,他發(fā)表聲明說:“網(wǎng)絡(luò)安全是我們國家最緊迫的國家安全挑戰(zhàn),我贊成拜登總統(tǒng)在任期初期采取行動(dòng),,解決和消除突出的弱點(diǎn),。”
參議院情報(bào)委員會(huì)主席,、弗吉尼亞州民主黨參議員Mark Warner認(rèn)為,,行政令的發(fā)布是“良好的第一步”。馬薩諸塞州民主黨參議員Edward J. Markey和加利福尼亞州民主黨國會(huì)議員Ted W. Lieu稱贊這項(xiàng)行政令創(chuàng)建了新的試點(diǎn)項(xiàng)目,,可以“教育公眾熟悉物聯(lián)網(wǎng)(IoT)設(shè)備的安全能力,。”·
專家指出定義挑戰(zhàn)
然而,,這項(xiàng)行政令包含了46個(gè)限期完成的目標(biāo),,目前尚缺乏關(guān)于如何實(shí)現(xiàn)這許多目標(biāo)的詳細(xì)說明。Wiley Rein律師事務(wù)所合伙人Megan Brown向媒體透露:“行政令給美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)和聯(lián)邦采購管理委員會(huì)(FAR)留下了許多未定義的內(nèi)容,,并賦予了巨大的自由裁量權(quán),。”該行政令要求NIST制定實(shí)現(xiàn)零信任架構(gòu)的計(jì)劃,,并要求其定義關(guān)鍵軟件并制定評(píng)估軟件安全的指南,。
根據(jù)行政令,NIST被進(jìn)一步分配了一系列任務(wù),,敲定物聯(lián)網(wǎng)消費(fèi)品安全標(biāo)簽計(jì)劃的關(guān)鍵組成部分,,包括建立試點(diǎn)計(jì)劃和確定計(jì)劃中使用的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。聯(lián)邦采購管理委員會(huì)則被分配了許多與信息共享要求相關(guān)的合約語言開發(fā)任務(wù),。
安全事件的定義很主觀
前白宮首席信息官,、網(wǎng)絡(luò)安全公司Fortalice Solutions現(xiàn)任首席執(zhí)行官特Theresa Payton贊揚(yáng)了網(wǎng)絡(luò)安全安全審查委員會(huì)的成立,但表示對(duì)該行政令的執(zhí)行存有顧慮,?!靶姓钜驣T服務(wù)提供商向政府報(bào)告可能影響美國網(wǎng)絡(luò)的網(wǎng)絡(luò)安全事件。這個(gè)要求太過主觀,?!?/p>
“從網(wǎng)絡(luò)安全從業(yè)人員管理者的角度出發(fā),面對(duì)這種相當(dāng)主觀的要求,,老實(shí)說,,我覺得自己根本不知道該怎么遵從。行政令并沒有真正明確哪個(gè)部門或機(jī)構(gòu)負(fù)責(zé)確保這一點(diǎn),。比如說,,你報(bào)告給哪個(gè)政府部門?聯(lián)邦調(diào)查局(FBI)嗎,?國家安全局(NSA),?還是說,,中央情報(bào)局(CIA)?”
撇開向聯(lián)邦政府發(fā)送安全事件信息和為網(wǎng)絡(luò)罪犯創(chuàng)造易得手目標(biāo)的安全影響不談,,僅定義上的挑戰(zhàn)就十分巨大,。Payton說:“未授權(quán)登錄或未授權(quán)訪問被認(rèn)為是網(wǎng)絡(luò)事件。但如果客戶說”我們安全運(yùn)營中心觀測到異常情況“,,網(wǎng)絡(luò)安全公司就會(huì)出動(dòng)事件響應(yīng)團(tuán)隊(duì),,然后發(fā)現(xiàn)某個(gè)軟件應(yīng)用運(yùn)行異常需要修復(fù)。沒錯(cuò),,確實(shí)有未授權(quán)訪問,,但沒有任何數(shù)據(jù)落入網(wǎng)絡(luò)罪犯之手。這種也需要報(bào)告嗎,?”
此外,行政令要求的安全事件報(bào)告與美國各州和司法轄區(qū)要求的數(shù)據(jù)泄露事件報(bào)告之間也需要協(xié)調(diào),。Payton表示:“美國現(xiàn)在有關(guān)數(shù)據(jù)泄露通報(bào)的法律多如牛毛,。世界上沒幾個(gè)國家像美國這么搞。我們到底是遵守州政府的規(guī)定,,還是有新的規(guī)則來規(guī)定什么是可報(bào)告的事件,?”
美國國土安全部協(xié)調(diào)委員會(huì)前副主席、西雅圖前首席信息官,、事件響應(yīng)公司CI Security首席信息官M(fèi)ichael Hamilton表示,,行政令中許多章節(jié)“相當(dāng)直白,放之四海而皆準(zhǔn)”,,比如要求聯(lián)邦機(jī)構(gòu)以標(biāo)準(zhǔn)化的方式管理漏洞和安全事件,。他還認(rèn)為,拜登政府“還需要打磨一些細(xì)節(jié),,有些定義上的問題需要解決和澄清,。”
NSA挑大梁
美國國家安全局(NSA)在這份行政令的實(shí)施中扮演重要角色,,包括定義企業(yè)和機(jī)構(gòu)需要向政府報(bào)告的安全事件由哪些要素構(gòu)成,。Hamilton稱:“尤其是NSA,這個(gè)機(jī)構(gòu)擁有追蹤和通報(bào)這些罪犯的專長,。NSA不得開展國內(nèi)監(jiān)視,。如果NSA拿出一套規(guī)則確定服務(wù)提供商什么時(shí)候得移交數(shù)據(jù)供調(diào)查,如果他們是解決這個(gè)問題的人,,那可能是因?yàn)樗麄兿霃牧鹘?jīng)服務(wù)提供商和運(yùn)營商的網(wǎng)絡(luò)流量方面繞開無法監(jiān)視美國國內(nèi)的障礙,。”
“我覺得他們會(huì)用這種方法嘗試解決這一問題,。如果他們有一席之地,,那是因?yàn)橛行〇|西是他們想要的,,他們知道怎么利用?!?/p>
行政令與之前的操作有何不同,?
我們尚不清楚該行政令與聯(lián)邦政府之前的網(wǎng)絡(luò)安全工作有何差異。Payton稱:“我想再多觀察觀察,。我希望這份行政令能夠少談框架和信息共享,,因?yàn)檫@事兒從克林頓政府時(shí)期就一直是他們追求的目標(biāo)了。達(dá)成目標(biāo)不外乎‘加大投資,,再呼吁投更多人和更多框架進(jìn)來’,。或許我們可以從完全不同的角度看問題,。比如從加密貨幣和非同質(zhì)化通證領(lǐng)域借鑒點(diǎn)兒創(chuàng)新思維,。可能我們需要的是不一樣的創(chuàng)新者,,而不是一直以來的從業(yè)者,。”
Hamilton認(rèn)為,,這一次,,聯(lián)邦政府提出的解決網(wǎng)絡(luò)安全棘手問題的倡議不同以往,可能會(huì)奏效,?!拔覀儚奈聪襁^去六個(gè)月里那樣過得這么慘。這次是不一樣的,。這并非最好的,,但直接關(guān)系到過去六個(gè)月發(fā)生的一些事情的核心,特別是供應(yīng)鏈安全問題,?!?/p>
“聯(lián)邦政府花了這么多錢,自然可以隨心所欲地給產(chǎn)品和供應(yīng)商提需求,,而供應(yīng)商如果不想丟掉飯碗,,就必須跟進(jìn)。所以這次是不一樣的,,純粹是利用經(jīng)濟(jì)手段,、市場力量、錢包的力量,、競爭差異化來獲得你想要的網(wǎng)絡(luò)安全,,而不是硬邦邦說‘你必須滿足以下所有要求’?!?/p>