近日,美国总统拜登发布了一项期待已久的行政命令(EO),旨在采取“大胆步骤”使美国政府的网络安全、软件供应链安全、事件检测和响应以及整体弹性实现现代化威胁。总统令提出六大措施:政策支持。渐进式改进不会给我们所需的安全感;相反,拜登指出,联邦政府需要做出大胆的改变并投入巨资来保护支撑美国生活方式的重要机构。消除威胁信息共享的障碍使联邦政府网络安全现代化加强软件供应链安全建立网络安全审查委员会使联邦政府网络安全事件规划标准化拜登总统的命令强调了联邦网络安全现代化的关键举措和最佳安全实践:迈向零信任架构。(政府部门)迁移到云技术应在可行的情况下采用零信任架构。CISA应该对其当前的网络安全程序、服务和功能进行现代化改造,使它们能够在具有零信任架构的云计算环境中充分发挥作用;云服务中静态和传输中的多因素身份验证和数据加密;加快转向安全云服务,包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS);集中和简化对网络安全数据的访问,以增强分析、识别和管理网络安全风险的能力;投资技术和人员以实现上述现代化目标。尽管近年来每一位美国总统都发布了加强国家网络安全的命令,但专家认为,拜登的总统命令比以往正式的总统命令更加详细,成功的机会也更大。拜登的总统令选择了一个“极好的”时间点。日前,美国关键基础设施遭受史无前例的网络攻击,导致ColonialPipeline输油管道中断,SolarWinds和ExchangeServer网络攻击未果。它被认为是对美国政府最严重的网络攻击。拜登总统行政命令的一项关键措施是加强供应链安全,要求所有联邦政府软件供应商遵守严格的网络安全规则,否则就有被列入黑名单的风险。最终,总统令计划创建一个“能源之星”标签,以便政府和公众购买者都可以快速轻松地查看软件是否遵循安全开发实践。其他措施包括建立“空难调查式”网络安全审查委员会,在重大事件发生后提出改进建议,以及政府事件响应的标准化剧本。该行政命令还规定了政府范围内的端点检测和响应(EDR)、改进政府内部以及公共和私营部门之间的信息共享,以及对联邦机构加强调查和补救的事件记录要求。该行政命令受到安全专家的欢迎。Sonatype的首席技术官兼创始人BrianFox认为,这将要求供应商和软件公司对其代码的安全性承担更大的责任。他补充说:“虽然政府干预对于让企业采取适当的软件安全措施不是必需的,但拜登充分利用联邦政府的购买力来提高软件安全性是所有国家都可以学习和受益的。”Illumio首席执行官安德鲁·鲁宾(AndrewRubin)也赞扬了拜登对分布式计算环境安全最佳实践的零信任模型的支持。“拜登政府发布了一项全面的行政命令,最终承认过时的联邦网络安全模型的失败,并公布了新安全设计的第一次迭代——一个建立在零信任基础上的新政府,”他说。网络安全架构。”“安全(过度)自信不仅仅是美国的问题、联邦问题或政策问题,它是一个全球性问题。所以我强烈支持这个行政命令。这是对世界各国政府的行动呼吁,我们需要改变我们保护自己的方式。有了这个新的行政命令,这个新的零信任蓝图,我们将迈向一个更安全的未来。”通过安全牛获取授权(微信公众号id:gooann-sectv)点此阅读作者更多好文
