尽管缺乏明确的定义,但拜登政府发布的新行政命令可能比过去更有效,尤其是在殖民地管道攻击之后。主要石油管道供应商ColonialPipeline因勒索软件攻击而瘫痪。在经历了戏剧性的一周后,拜登政府发布了万众期待的《改善国家网络安全行政令》,这可能会产生深远而复杂的影响。该行政命令旨在制定“改善国家网络安全和保护联邦政府网络的新路线”。从SolarWinds和MicrosoftExchange供应链攻击以及ColonialPipeline勒索软件感染开始,这份雄心勃勃的文件提出了一系列举措,以尽量减少此类网络安全事件的发生频率和后果。这些举措包括:1.消除政府和私营企业之间共享威胁信息的障碍,重点是确保IT服务提供商能够与美国联邦政府共享安全事件信息。2.现代化并实施更强大的联邦政府网络安全标准,包括转向云服务和零信任架构,以及采用多因素身份验证(MFA)和强制加密。3.提高软件供应链安全,包括为销售给政府的软件建立基线软件开发安全标准。美国商务部必须公布软件物料清单(SBOM)的必要元素,该清单跟踪构成软件的各个组件。4.建立一个由政府和私营行业专家组成的网络安全审查委员会,在重大网络安全事件发生后开会并提出建议,就像国家运输安全委员会(NTSB)在重大交通事故发生后所做的那样。5.为事件响应创建标准剧本,以确保所有联邦机构都遵循标准剧本和事件响应定义。6.启用政府范围内的端点检测和响应(EDR)系统,以改善联邦政府内部的信息共享,从而改善联邦政府网络上的网络安全事件检测。7.为所有联邦机构制定网络安全事件记录要求,以提高调查和补救能力。?立法者称赞行政命令立法者对这项行政命令的初步反应是积极的。众议院武装部队网络安全、创新技术和信息系统小组委员会主席、网络空间日光浴室委员会成员吉姆·朗之万议员发表声明说,“网络安全是我们国家最紧迫的国家安全挑战,我支持拜登总统采取行动在任期早期解决和消除明显的弱点。参议院情报委员会主席、弗吉尼亚州民主党参议员马克华纳称行政命令是“良好的开端”。马萨诸塞州民主党参议员EdwardJ.Markey和加利福尼亚州民主党众议员TedW.Lieu。该行政命令创建了新的试点项目,可以“就物联网(IoT)设备的安全功能对公众进行教育。”·?专家指出定义上的挑战然而,该行政命令包含46个完成期限,并且还有一个缺乏关于如何实现其中许多目标的详细说明。WileyRein律师事务所的合伙人梅根布朗向媒体透露:“行政命令留下了很多未定义的地方,并赋予了美国国家标准与技术研究院巨大的自由裁量权(NIST)和联邦采购监管委员会(FAR)。“行政命令要求NIST制定实施零信任架构的计划,并要求其定义关键软件并制定评估软件安全性的指南。根据行政命令,NIST进一步被赋予了一系列任务,以最终确定物联网消费产品安全标签计划的要点。组成部分,包括建立试点项目和确定项目中使用的物联网网络安全标准。联邦采购管理委员会被分配了许多与信息共享要求相关的合同语言开发任务。?安全事件的定义是主观的。前白宫首席信息官、网络安全公司FortaliceSolutions的正式现任首席执行官TheresaPayton对网络安全安全审查委员会的成立表示赞赏,但对行政命令的执行表示担忧。“行政命令要求IT服务提供商向政府报告可能影响美国网络安全的事件,这个要求太主观了。”站在一个网络安全从业经理人的角度,面对这样一个比较主观的要求,老实说不'认为我知道如何遵守。行政命令并没有真正明确哪个部门或机构负责确保这一点。例如,您向哪个政府机构报告?联邦调查局?国家安全局?或者,中央情报局?”撇开向联邦政府发送有关安全事件的信息以及为网络犯罪分子创造便利的途径不谈无论成功攻击目标的安全影响如何,定义方面的挑战都是巨大的。“未经授权的登录或未经授权的访问被视为网络事件,”佩顿说。但是,如果客户说,“我们在安全运营中心看到了一些异常情况”,网络安全公司将派出一个事件响应小组,发现软件应用程序行为异常,需要修复。是的,存在未经授权的访问,但没有数据落入网络罪犯之手。这是否也需要报告?”此外,行政命令要求的安全事件报告与美国各州和司法管辖区要求的数据泄露事件报告之间将需要协调。佩顿说:“美国目前有大量与数据泄露通知相关的法律。世界上很少有国家像美国那样这样做。我们是在遵守国家法规,还是对什么构成可报告事件有新的规定?”美国国土安全部协调委员会前副主席、西雅图前首席信息官兼事件响应首席信息官迈克尔·汉密尔顿(MichaelHamilton)坚定的CISecurity他表示,行政命令中的许多章节“相当直白和通用”,例如要求联邦机构以标准化的方式管理漏洞和安全事件。他还认为拜登政府“需要打磨一些细节,一些定义上述问题需要解决和澄清。”?NSA牵头美国国家安全局(NSA)在执行这一行政命令中发挥着重要作用,包括定义哪些要素构成安全事件,公司和机构需要向政府报告。汉密尔顿说:“尤其是NSA,这个机构在追踪和报告这些罪犯方面拥有专业知识。国家安全局被禁止进行国内监视。如果NSA提出一套规则来确定服务提供商何时必须移交数据以供调查,如果他们是解决这个问题的人,那可能是因为他们想在网络流量方面绕过这个问题服务提供商和运营商美国境内的障碍监控。“我认为他们将尝试用这种方法解决这个问题。如果他们有位置,那是因为他们有想要的东西,而且他们知道如何利用。”?行政命令与以前的行动有何不同?我们不知道行政命令与联邦政府之前的网络安全工作有何不同。佩顿说:“我想多观察一下。我希望这个行政令少谈框架和信息共享,因为这是自克林顿政府以来他们追求的目标。实现目标无非就是‘增加投资,然后号召更多的人和更多的框架进来’。也许我们可以换一个完全不同的角度看问题。比如借鉴加密货币和非同质代币领域的一些创新思维。也许我们需要的不一样创新者,而不是一直以来的实践者。汉密尔顿认为,这一次,联邦政府解决网络安全这一棘手问题的举措有所不同,而且可能奏效。“我们从未有过像过去六个月这样悲惨的生活。”这次不同了。这不是最好的,但它直击过去六个月发生的一些事情的核心,尤其是供应链安全问题。”“联邦政府花了这么多钱,自然可以随心所欲地要求产品和供应商,供应商不想丢饭碗就必须跟风。”所以这次不一样了,纯粹是用经济手段、市场力、钱包力、竞争差异化来获得你想要的网络安全,而不是说,‘你必须满足以下所有要求’。”《改善国家网络安全行政令》:(点击阅读原文)https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
