近日,美國總統(tǒng)拜登簽發(fā)了業(yè)界期待已久的行政命令(EO),旨在采用“大膽的舉措”提升美國政府網(wǎng)絡(luò)安全現(xiàn)代化、軟件供應(yīng)鏈安全、事件檢測和響應(yīng)以及對威脅的整體抵御能力。總統(tǒng)令提出六大舉措:
政策支持。拜登指出,漸進式的改進不會給我們提供所需的安全性;相反,聯(lián)邦政府需要做出大膽的改變并進行大量投資,以捍衛(wèi)支撐美國生活方式的重要機構(gòu)。
消除威脅信息共享的障礙
聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化
增強軟件供應(yīng)鏈安全
成立網(wǎng)絡(luò)安全審查委員會
聯(lián)邦政府網(wǎng)絡(luò)安全事件預(yù)案標準化
拜登總統(tǒng)令強調(diào)了聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化的關(guān)鍵舉措和最佳安全實踐:
邁向零信任架構(gòu)。(政府部門)向云技術(shù)的遷移應(yīng)在可行的情況下采用零信任架構(gòu)。CISA應(yīng)對其當前的網(wǎng)絡(luò)安全計劃,服務(wù)和功能進行現(xiàn)代化升級,使其能夠在具有零信任架構(gòu)的云計算環(huán)境中完全發(fā)揮作用;
云服務(wù)中靜態(tài)和傳輸中的多因素身份驗證和數(shù)據(jù)加密;
加快向安全云服務(wù)的轉(zhuǎn)移,這些云服務(wù)包括軟件即服務(wù)(SaaS)、基礎(chǔ)架構(gòu)即服務(wù)(IaaS)和平臺即服務(wù)(PaaS);
集中和簡化對網(wǎng)絡(luò)安全數(shù)據(jù)的訪問,以加強分析、識別和管理網(wǎng)絡(luò)安全風險的能力;
在技術(shù)和人員進行投資以實現(xiàn)上述現(xiàn)代化目標。
盡管近年來每位美國總統(tǒng)都下達了加強國家網(wǎng)絡(luò)安全的命令,但專家們認為,與以往的形式化總統(tǒng)命令相比,拜登的總統(tǒng)令更為詳盡,而且成功的機會也更大。拜登的總統(tǒng)令選擇了一個“絕佳”的時間點,數(shù)天前美國關(guān)鍵基礎(chǔ)設(shè)施遭遇了前所未有的網(wǎng)絡(luò)攻擊,導致Colonial Pipeline輸油管道中斷,而余波未平的SolarWinds、Exchange Server網(wǎng)絡(luò)攻擊也都被看作是美國政府遭遇的最嚴重的網(wǎng)絡(luò)攻擊。
拜登總統(tǒng)行政命令的一大關(guān)鍵措施是強化供應(yīng)鏈安全,要求所有聯(lián)邦政府軟件供應(yīng)商都遵守有關(guān)網(wǎng)絡(luò)安全的嚴格規(guī)則,否則有被列入黑名單的風險。最終,該總統(tǒng)命令計劃創(chuàng)建一個“能源之星”標簽,以便政府和公共購買者都可以快速輕松地查看軟件是否遵循了安全開發(fā)規(guī)范。
其他措施還包括成立“空難調(diào)查式”網(wǎng)絡(luò)安全安全審查委員會,該委員會將在重大事件發(fā)生后提出改進建議,以及針對政府事件響應(yīng)的標準化手冊。
總統(tǒng)令還給出以下方面的規(guī)定:政府范圍內(nèi)的端點檢測和響應(yīng)(EDR),改進的政府內(nèi)部以及公共部門和私營部門之間的信息共享,以及聯(lián)邦政府部門進行事件記錄的要求,以加強調(diào)查和補救。
該行政命令受到了安全專家的歡迎。
Sonatype的首席技術(shù)官兼創(chuàng)始人Brian Fox認為,這將要求供應(yīng)商和軟件公司對他們的代碼安全性承擔更大的責任。
他補充說:“雖然不應(yīng)該采取政府干預(yù)措施來使企業(yè)采取適當?shù)能浖踩胧莸浅浞掷寐?lián)邦政府的購買力來提高軟件安全性,這是所有國家都可以借鑒并從中受益的。”
Illumio首席執(zhí)行官Andrew Rubin也贊揚了拜登對分布式計算環(huán)境安全最佳實踐零信任模型的支持。
他說:“拜登政府發(fā)布了一份全面的行政命令,最終承認了過時的聯(lián)邦網(wǎng)絡(luò)安全模型的失敗,并揭開了新安全設(shè)計的第一個迭代——建立在零信任中的全新政府網(wǎng)絡(luò)安全架構(gòu)。”
“安全(過度)自信并不只是美國的問題,聯(lián)邦的問題或政策問題,而是全球性問題。因此,我強烈支持這項行政命令。這是對全球政府采取行動的呼吁,我們需要改變保護自己的方式。有了這個新的行政命令、這個新的零信任藍圖,我們將朝著更安全的未來邁進。”