8月27日,美国白宫管理与预算办公室(OMB)发布备忘录(M-21-31),要求做好事件日志管理和共享,提升网络安全事件响应能力,以更有效地保护联邦信息和行政分支部门与机构。
在遭受SolarWinds等事件后,美国总统拜登发布第14028号行政令,要求改善国家网络安全。根据行政令第8节的要求,管理与预算办公室颁布了M-21-31备忘录。
这份备忘录名称为“提高联邦政府网络安全事件的调查和补救能力”,主要是确保组织的安全运营中心(SOC)能保持最高级别的集中访问和可见性,提升事件调查和补救能力。为此,备忘录提出了事件日志管理成熟度模型,明确要求了日志记录、留存、管理等具体指标。
事件日志管理成熟度模型分为四个等级:EL0-3(Event Logging)。具体如下:
EL0:无效,最关键的记录要求没有得到满足,或部分满足;
EL1:基础,仅满足最关键的记录要求;
EL2:中级,满足最关键、中等关键的记录要求;
EL3:高级,满足所有关键级别的日志记录要求。
其中,EL1级别除了基本的日志记录外,开始要求记录被动DNS数据,规划了日志编排、自动化和响应能力、用户行为监控能力,具备基本的集中访问,并满足CISA(网络安全与基础设施安全局)和FBI的访问要求等。
EL2级别在EL1基础上,进一步提高了相关指标,并要求检查加密数据等。
EL3则更进一步,还要求具备日志编排、自动化和响应能力、用户行为监控能力,支持容器安全、运营和管理等。(具体的实施和集中访问要求、日志记录要求可参考文件附录)
通过这些级别,联邦机构可以优先分配人力和资源,以逐步满足要求并实现完全合规。
备忘录要求,自公开发布60天内,联邦机构必须根据成熟度模型对自身定级,并上报到管理与预算办公室;1年内联邦机构必须全部达到EL1级别;2年内必须达到EL3级别。
解读:两年内联邦SOC响应能力或上一个新台阶
从这份备忘录可以看出,在严峻网络威胁的倒逼下,美国政府开始大力补齐网络安全防御的基础能力。
所有联邦政府需要按照统一规范,收集事件日志信息,并在1年内全部开放给CISA、FBI访问。这相当于在CISA和FBI建立起全联邦范围内的网络安全日志集中访问能力,将对美国政府发现和响应高级别网络攻击提供坚实的基础。
所有联邦机构2年内需要建成日志编排、自动化和响应能力、用户行为监控能力等。一方面将极大提升机构自身的分析和响应能力,另一方面可以和国家响应中心进行自动化联动。
收集被动DNS数据,检查加密数据等,则是对当前当前网络威胁的积极应对。
按照管理与预算办公室要求,所有联邦机构需要在2年内全部达到最高级别,这意味着美国联邦政府的事件响应能力,或很快要上一个新台阶。
ps:如欲查看文件了解细节,可在“互联网安全内参”公众号后台回复“备忘录31”获取。
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
