盡管缺乏明確的定義，但拜登政府新發(fā)布的行政令可能比過去的更為有效，尤其是在Colonial Pipeline攻擊之后。

　　主要石油管道供應商Colonial Pipeline遭受勒索軟件攻擊癱瘓。在經(jīng)歷了戲劇性的一周之后，拜登政府發(fā)布了備受關注的《改善國家網(wǎng)絡安全行政令》，或產(chǎn)生深遠而復雜的影響。該行政令旨在描繪“改善國家網(wǎng)絡安全和保護聯(lián)邦政府網(wǎng)絡的新路線”。

　　這份雄心勃勃的文件從SolarWinds和Microsoft Exchange供應鏈攻擊，以及Colonial Pipeline勒索軟件感染出發(fā)，提出了一系列最小化此類網(wǎng)絡安全事件頻率和后果的舉措。這些舉措包括：

　　1.消除政府與私營行業(yè)之間共享威脅信息的障礙，重點確保IT服務提供商能夠與美國聯(lián)邦政府共享安全事件信息。

　　2. 現(xiàn)代化并實現(xiàn)更強的聯(lián)邦政府網(wǎng)絡安全標準，包括遷移到云服務和零信任架構，以及采用多因子身份驗證（MFA）和強制加密。

　　3. 提升軟件供應鏈安全，包括為出售給政府的軟件制定軟件開發(fā)基線安全標準。美國商務部必須公布軟件材料清單（SBOM）的必備要素，跟蹤構成軟件的各個組件。

　　4. 建立由政府和私營產(chǎn)業(yè)專家組成的網(wǎng)絡安全安全審查委員會，在發(fā)生重大網(wǎng)絡安全事件后召開會議，提出建議，就像國家運輸安全委員會（NTSB）在發(fā)生重大運輸事故后所做的那樣。

　　5. 創(chuàng)建事件響應標準行動手冊，確保所有聯(lián)邦機構都參照標準的行動手冊和事件響應定義行事。

　　6. 啟用政府范圍的端點檢測與響應（EDR）系統(tǒng)，改進聯(lián)邦政府內(nèi)部的信息共享，從而提升聯(lián)邦政府各網(wǎng)絡上的網(wǎng)絡安全事件檢測。

　　7. 為所有聯(lián)邦機構建立網(wǎng)絡安全事件日志要求，改善調(diào)查與修復能力。

　　立法者盛贊這項行政令

　　立法者對此項行政令的最初反應是正面的。國會議員 Jim Langevin 是眾議院網(wǎng)絡安全、創(chuàng)新技術和信息系統(tǒng)軍事小組委員會主席，也是網(wǎng)絡空間日光浴室委員會成員，他發(fā)表聲明說：“網(wǎng)絡安全是我們國家最緊迫的國家安全挑戰(zhàn)，我贊成拜登總統(tǒng)在任期初期采取行動，解決和消除突出的弱點。”

　　參議院情報委員會主席、弗吉尼亞州民主黨參議員Mark Warner認為，行政令的發(fā)布是“良好的第一步”。馬薩諸塞州民主黨參議員Edward J. Markey和加利福尼亞州民主黨國會議員Ted W. Lieu稱贊這項行政令創(chuàng)建了新的試點項目，可以“教育公眾熟悉物聯(lián)網(wǎng)（IoT）設備的安全能力。”·

　　專家指出定義挑戰(zhàn)

　　然而，這項行政令包含了46個限期完成的目標，目前尚缺乏關于如何實現(xiàn)這許多目標的詳細說明。Wiley Rein律師事務所合伙人Megan Brown向媒體透露：“行政令給美國國家標準與技術研究院（NIST）和聯(lián)邦采購管理委員會（FAR）留下了許多未定義的內(nèi)容，并賦予了巨大的自由裁量權。”該行政令要求NIST制定實現(xiàn)零信任架構的計劃，并要求其定義關鍵軟件并制定評估軟件安全的指南。

　　根據(jù)行政令，NIST被進一步分配了一系列任務，敲定物聯(lián)網(wǎng)消費品安全標簽計劃的關鍵組成部分，包括建立試點計劃和確定計劃中使用的物聯(lián)網(wǎng)網(wǎng)絡安全標準。聯(lián)邦采購管理委員會則被分配了許多與信息共享要求相關的合約語言開發(fā)任務。

　　安全事件的定義很主觀

　　前白宮首席信息官、網(wǎng)絡安全公司Fortalice Solutions現(xiàn)任首席執(zhí)行官特Theresa Payton贊揚了網(wǎng)絡安全安全審查委員會的成立，但表示對該行政令的執(zhí)行存有顧慮。“行政令要求IT服務提供商向政府報告可能影響美國網(wǎng)絡的網(wǎng)絡安全事件。這個要求太過主觀。”

　　“從網(wǎng)絡安全從業(yè)人員管理者的角度出發(fā)，面對這種相當主觀的要求，老實說，我覺得自己根本不知道該怎么遵從。行政令并沒有真正明確哪個部門或機構負責確保這一點。比如說，你報告給哪個政府部門？聯(lián)邦調(diào)查局（FBI）嗎？國家安全局（NSA）？還是說，中央情報局（CIA）？”

　　撇開向聯(lián)邦政府發(fā)送安全事件信息和為網(wǎng)絡罪犯創(chuàng)造易得手目標的安全影響不談，僅定義上的挑戰(zhàn)就十分巨大。Payton說：“未授權登錄或未授權訪問被認為是網(wǎng)絡事件。但如果客戶說”我們安全運營中心觀測到異常情況“，網(wǎng)絡安全公司就會出動事件響應團隊，然后發(fā)現(xiàn)某個軟件應用運行異常需要修復。沒錯，確實有未授權訪問，但沒有任何數(shù)據(jù)落入網(wǎng)絡罪犯之手。這種也需要報告嗎？”

　　此外，行政令要求的安全事件報告與美國各州和司法轄區(qū)要求的數(shù)據(jù)泄露事件報告之間也需要協(xié)調(diào)。Payton表示：“美國現(xiàn)在有關數(shù)據(jù)泄露通報的法律多如牛毛。世界上沒幾個國家像美國這么搞。我們到底是遵守州政府的規(guī)定，還是有新的規(guī)則來規(guī)定什么是可報告的事件？”

　　美國國土安全部協(xié)調(diào)委員會前副主席、西雅圖前首席信息官、事件響應公司CI Security首席信息官Michael Hamilton表示，行政令中許多章節(jié)“相當直白，放之四海而皆準”，比如要求聯(lián)邦機構以標準化的方式管理漏洞和安全事件。他還認為，拜登政府“還需要打磨一些細節(jié)，有些定義上的問題需要解決和澄清。”

　　NSA挑大梁

　　美國國家安全局（NSA）在這份行政令的實施中扮演重要角色，包括定義企業(yè)和機構需要向政府報告的安全事件由哪些要素構成。Hamilton稱：“尤其是NSA，這個機構擁有追蹤和通報這些罪犯的專長。NSA不得開展國內(nèi)監(jiān)視。如果NSA拿出一套規(guī)則確定服務提供商什么時候得移交數(shù)據(jù)供調(diào)查，如果他們是解決這個問題的人，那可能是因為他們想從流經(jīng)服務提供商和運營商的網(wǎng)絡流量方面繞開無法監(jiān)視美國國內(nèi)的障礙。”

　　“我覺得他們會用這種方法嘗試解決這一問題。如果他們有一席之地，那是因為有些東西是他們想要的，他們知道怎么利用。”

　　行政令與之前的操作有何不同？

　　我們尚不清楚該行政令與聯(lián)邦政府之前的網(wǎng)絡安全工作有何差異。Payton稱：“我想再多觀察觀察。我希望這份行政令能夠少談框架和信息共享，因為這事兒從克林頓政府時期就一直是他們追求的目標了。達成目標不外乎‘加大投資，再呼吁投更多人和更多框架進來’。或許我們可以從完全不同的角度看問題。比如從加密貨幣和非同質(zhì)化通證領域借鑒點兒創(chuàng)新思維。可能我們需要的是不一樣的創(chuàng)新者，而不是一直以來的從業(yè)者。”

　　Hamilton認為，這一次，聯(lián)邦政府提出的解決網(wǎng)絡安全棘手問題的倡議不同以往，可能會奏效。“我們從未像過去六個月里那樣過得這么慘。這次是不一樣的。這并非最好的，但直接關系到過去六個月發(fā)生的一些事情的核心，特別是供應鏈安全問題。”

　　“聯(lián)邦政府花了這么多錢，自然可以隨心所欲地給產(chǎn)品和供應商提需求，而供應商如果不想丟掉飯碗，就必須跟進。所以這次是不一樣的，純粹是利用經(jīng)濟手段、市場力量、錢包的力量、競爭差異化來獲得你想要的網(wǎng)絡安全，而不是硬邦邦說‘你必須滿足以下所有要求’。”