SolarWinds供应链事件后，美国考虑实施软件安全评级机制

美国政府目前正考虑对美国软件实施网络安全评级和标准制度。据一名白宫高级官员介绍，类似于纽约市对饭店进行卫生情况评级或新加坡对物联网设备进行标记等。

这名要求匿名的官员指出，未来几周，将会就仍然还在影响美国安全的 SolarWinds 供应链攻击和微软 Exchange Server 漏洞利用，出台一些相关行政措施。

政府在网络安全进行标记和评级的概念并非全新概念。长期以来，一些专家一直希望能够拥有类似于美国环境保护署和能源部用于推广节能设备计划的“能源之星 (Energy Star)“的评级系统。比如，网络安全日光室委员会 (Cybersecurity Solarium Commission) 就在去年建议国会成立国家网络安全认证和标签管理局。

该委员会的提案适用于自愿标记的情况，就像“能源之星“和新加坡的物联网标记倡议那样。然而，如果白宫效方纽约市对饭店进行评级的做法，则该提案是强制性的，而且它的实施会遭到行业的坚决反对，而这名官员注意到，在纽约市市长 Michael Bloomberg 强制饭店在窗口包含评分卡之前，这项举措并未产生任何效果。

这名官员指出，某些技术成本“产生在事件响应和清理工作中，而如果我们一开始就正确地构建技术，那么我们认为成本会降低。“

这名匿名官员指出，和新加坡的标签提案相比，在美国，“我们并不具备那种透明度，可让人们‘活跃网络安全市场’。”

SolarWinds 和微软 Exchange Server 事件动态

这名官员指出，在 SolarWinds 软件供应链事件中遭攻陷的多数机构已经按照白宫指令完成修复以及后续独立审计，以确保攻击者脱离系统，其余机构有望在三月底完成。

不久，美国政府将开始推出“最佳商业”技术，聚焦受 SolarWinds 事件影响的9个机构，对联邦机构进行现代化改革。

这名官员还表示，白宫定期举行关于 SolarWinds 软件供应链事件和微软 Exchange Server 事件的会议，上周，美国总统拜登也获悉微软事件。为应对微软入侵事件，网络统一协调小组 (UCG) 紧急召开会议并首次邀请私营行业参加。白宫曾在2020年12月召开UCG 会议，应对 SolarWinds 软件供应链事件。

然而，“此时“白宫要求其它机构监控国内系统，并将其视作私营企业的责任。

这名官员还指出，白宫将出台关于 SolarWinds 软件供应链攻击事件的措施，并指出可能是在“几周而非几个月“后出台，但实际上这种说辞已经存在三周之久。

参考链接

https://www.cyberscoop.com/biden-administration-cybersecurity-ratings-solarwinds-microsoft-update/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。