看拜登政府网络安全行政令的七大举措
尽管缺乏明确的定义,但拜登政府新发布的行政令可能比过去的更为有效,尤其是在Colonial Pipeline攻击之后。
主要石油管道供应商Colonial Pipeline遭受勒索软件攻击瘫痪。在经历了戏剧性的一周之后,拜登政府发布了备受关注的《改善国家网络安全行政令》,或产生深远而复杂的影响。该行政令旨在描绘“改善国家网络安全和保护联邦政府网络的新路线”。
这份雄心勃勃的文件从SolarWinds和Microsoft Exchange供应链攻击,以及Colonial Pipeline勒索软件感染出发,提出了一系列最小化此类网络安全事件频率和后果的举措。
这些举措包括:
1. 消除政府与私营行业之间共享威胁信息的障碍,重点确保IT服务提供商能够与美国联邦政府共享安全事件信息。
2. 现代化并实现更强的联邦政府网络安全标准,包括迁移到云服务和零信任架构,以及采用多因子身份验证(MFA)和强制加密。
3. 提升软件供应链安全,包括为出售给政府的软件制定软件开发基线安全标准。美国商务部必须公布软件材料清单(SBOM)的必备要素,跟踪构成软件的各个组件。
4. 建立由政府和私营产业专家组成的网络安全安全审查委员会,在发生重大网络安全事件后召开会议,提出建议,就像国家运输安全委员会(NTSB)在发生重大运输事故后所做的那样。
5. 创建事件响应标准行动手册,确保所有联邦机构都参照标准的行动手册和事件响应定义行事。
6. 启用政府范围的端点检测与响应(EDR)系统,改进联邦政府内部的信息共享,从而提升联邦政府各网络上的网络安全事件检测。
7. 为所有联邦机构建立网络安全事件日志要求,改善调查与修复能力。
▶ 立法者盛赞这项行政令
立法者对此项行政令的最初反应是正面的。国会议员 Jim Langevin 是众议院网络安全、创新技术和信息系统军事小组委员会主席,也是网络空间日光浴室委员会成员,他发表声明说:“网络安全是我们国家最紧迫的国家安全挑战,我赞成拜登总统在任期初期采取行动,解决和消除突出的弱点。”
参议院情报委员会主席、弗吉尼亚州民主党参议员Mark Warner认为,行政令的发布是“良好的第一步”。马萨诸塞州民主党参议员Edward J. Markey和加利福尼亚州民主党国会议员Ted W. Lieu称赞这项行政令创建了新的试点项目,可以“教育公众熟悉物联网(IoT)设备的安全能力。”·
▶ 专家指出定义挑战
然而,这项行政令包含了46个限期完成的目标,目前尚缺乏关于如何实现这许多目标的详细说明。Wiley Rein律师事务所合伙人Megan Brown向媒体透露:“行政令给美国国家标准与技术研究院(NIST)和联邦采购管理委员会(FAR)留下了许多未定义的内容,并赋予了巨大的自由裁量权。”该行政令要求NIST制定实现零信任架构的计划,并要求其定义关键软件并制定评估软件安全的指南。
根据行政令,NIST被进一步分配了一系列任务,敲定物联网消费品安全标签计划的关键组成部分,包括建立试点计划和确定计划中使用的物联网网络安全标准。联邦采购管理委员会则被分配了许多与信息共享要求相关的合约语言开发任务。
▶ 安全事件的定义很主观
前白宫首席信息官、网络安全公司Fortalice Solutions现任首席执行官特Theresa Payton赞扬了网络安全安全审查委员会的成立,但表示对该行政令的执行存有顾虑。“行政令要求IT服务提供商向政府报告可能影响美国网络的网络安全事件。这个要求太过主观。”
“从网络安全从业人员管理者的角度出发,面对这种相当主观的要求,老实说,我觉得自己根本不知道该怎么遵从。行政令并没有真正明确哪个部门或机构负责确保这一点。比如说,你报告给哪个政府部门?联邦调查局(FBI)吗?国家安全局(NSA)?还是说,中央情报局(CIA)?”
撇开向联邦政府发送安全事件信息和为网络罪犯创造易得手目标的安全影响不谈,仅定义上的挑战就十分巨大。Payton说:“未授权登录或未授权访问被认为是网络事件。但如果客户说“我们安全运营中心观测到异常情况”,网络安全公司就会出动事件响应团队,然后发现某个软件应用运行异常需要修复。没错,确实有未授权访问,但没有任何数据落入网络罪犯之手。这种也需要报告吗?”
此外,行政令要求的安全事件报告与美国各州和司法辖区要求的数据泄露事件报告之间也需要协调。Payton表示:“美国现在有关数据泄露通报的法律多如牛毛。世界上没几个国家像美国这么搞。我们到底是遵守州政府的规定,还是有新的规则来规定什么是可报告的事件?”
美国国土安全部协调委员会前副主席、西雅图前首席信息官、事件响应公司CI Security首席信息官Michael Hamilton表示,行政令中许多章节“相当直白,放之四海而皆准”,比如要求联邦机构以标准化的方式管理漏洞和安全事件。他还认为,拜登政府“还需要打磨一些细节,有些定义上的问题需要解决和澄清。”
▶ NSA挑大梁
美国国家安全局(NSA)在这份行政令的实施中扮演重要角色,包括定义企业和机构需要向政府报告的安全事件由哪些要素构成。Hamilton称:“尤其是NSA,这个机构拥有追踪和通报这些罪犯的专长。NSA不得开展国内监视。如果NSA拿出一套规则确定服务提供商什么时候得移交数据供调查,如果他们是解决这个问题的人,那可能是因为他们想从流经服务提供商和运营商的网络流量方面绕开无法监视美国国内的障碍。”
“我觉得他们会用这种方法尝试解决这一问题。如果他们有一席之地,那是因为有些东西是他们想要的,他们知道怎么利用。”
▶ 行政令与之前的操作有何不同?
我们尚不清楚该行政令与联邦政府之前的网络安全工作有何差异。Payton称:“我想再多观察观察。我希望这份行政令能够少谈框架和信息共享,因为这事儿从克林顿政府时期就一直是他们追求的目标了。达成目标不外乎‘加大投资,再呼吁投更多人和更多框架进来’。或许我们可以从完全不同的角度看问题。比如从加密货币和非同质化通证领域借鉴点儿创新思维。可能我们需要的是不一样的创新者,而不是一直以来的从业者。”
Hamilton认为,这一次,联邦政府提出的解决网络安全棘手问题的倡议不同以往,可能会奏效。“我们从未像过去六个月里那样过得这么惨。这次是不一样的。这并非最好的,但直接关系到过去六个月发生的一些事情的核心,特别是供应链安全问题。”
“联邦政府花了这么多钱,自然可以随心所欲地给产品和供应商提需求,而供应商如果不想丢掉饭碗,就必须跟进。所以这次是不一样的,纯粹是利用经济手段、市场力量、钱包的力量、竞争差异化来获得你想要的网络安全,而不是硬邦邦说‘你必须满足以下所有要求’。”
《改善国家网络安全行政令》:(戳阅读原文查看)
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
