2023年1月12日,美国网络安全和基础设施安全局(CISA)发布《2022年度工作报告》,重点介绍了CISA及其合作伙伴为保护国家关键基础设施所做的工作,报告主要分为网络安全防御、减少风险和增强韧性、业务协作和机构建设4个部分,并展望了该机构2023年工作重点。本文对此报告进行译介与评析,仅供参考。

美国网络安全和基础设施安全局(CISA)2022年年度报告

编译作者:网安观察员 红星

报告主要内容

1.确保美国网络空间防御和恢复力:“举起盾牌”助乌抗俄;绩效目标提升关键部门网络安全;部署新技术;协调漏洞披露增强网络生态系统;联合网络防御协作/JCDC合作成绩显著;网络安全咨询委员会CSAC与网络创新研究员计划;CSRB首审 Log4j 软件库漏洞提出可行建议

2.降低美国关键基础设施的风险并增强其韧性:拨款项目;网络风暴演习;首届K-12学校安全和安保国家峰会;闪点行动;JAMX22 活动(公共安全通信的韧性);普及网安基本操作;基础设施安全演习/培训/产品/评估

3.加强业务协作和信息共享:国际(英,澳,新加坡,以色列,阿联酋,乌克兰,罗马尼亚,墨西哥,加拿大);互操作的应急通信,发布《关键基础设施网络事件报告法》(CIRCIA);维护保障选举安全

4.进行职能整合,加强员工队伍建设:激发员工创新力,关注员工新冠疫情后的心理健康;多样性;新采购能力

5.2023年工作重点:2023年初将发布《网络安全战略计划》作为CISA未来几年工作纲要;关键基础设施与重大灾害应急;新建平台网站共享资源信息

6.评论:CISA成绩不容小觑,已经建立较好的国际品牌效应,以“加强联邦网络和美国国家关键基础设施的安全性”为工作重点,在关键网络任务上高度聚焦,但也存在战略方向不清晰、重外轻内、高技术人才欠缺等问题。

美国网络安全和基础设施安全局(CISA)是确保美国网络空间防御和弹性工作的领导机构,致力于建设美国防御网络入侵并从中恢复的能力,包括与合作伙伴合作,加强其网络安全和事件应对态势,保护支持美国基本行动的文职行政部门网络,以及与私营部门、州、地方、部落和地区政府合作,在网络威胁和漏洞事发之前的发现和预防工作。

1. 确保美国网络空间防御和恢复力

1.1发起“举起盾牌”活动,助乌抗俄

自2021年12月起,CISA向关键基础设施所有者、运营商及利益相关者发布数百次简报、网页托管及针对最新恶意活动的网络防御措施,指导美国人安全上网,获取免费网络安全资源等。CISA于2022年2月发起“举起盾牌”(Shields Up)活动,警告国内组织为俄罗斯网络攻击做好准备,Shields Up网页迅速成为CISA最受欢迎的页面。

1.2 发布绩效目标,提升关键部门网络安全

2022年10月,CISA发布跨部门网络安全性能目标(CpG),建立通用的关键基础设施基本网络安全实践,关注中小型组织网络安全。CpG列出了组织可以采取的行动,减轻关键基础设施信息技术和运营环境的常见威胁。CpG附带的清单有助于组织根据成本、影响和复杂性对每个目标进行优先级排序。这些目标能有效降低关键基础设施运营风险,同时提高安全性和弹性。

1.3 部署新技术、调整项目,保护美国企业

CISA在提高政府系统安全性和弹性方面取得突破性进展。一是利用国会提供的新授权和资源,在近50个联邦机构部署新技术,每月都有新技术上线,可更快地检测并减少对手破坏性影响;二是取消爱因斯坦(EINSTEIN)项目,将该项目的资源用于构建新分析环境,将使运营商和合作伙伴能够分析和关联网络风险信息,确定趋势并推动更有效补救措施,最终将部署联合协作环境;三是发布《约束性操作指令22-01》,通过该指令,使政府内部和世界各地组织优先考虑网络脆弱性;四是采取重大步骤,实施国会新授权,进行持续威胁搜寻和“红色团队”评估,推出新项目,增强人们对风险最高的联邦系统的信心。

1.4 协调漏洞披露增强网络生态系统

协调漏洞披露(CVD)是在受影响的供应商协调产品和服务中新发现的网络安全漏洞的缓解、补救以及公开披露的过程。CVD提供了通过团队合作和协作团结网络社区的方式,保护彼此和公众免受潜在威胁活动的影响。CISA赞助脆弱性信息和协调环境,作为支持全球网络安全研究人员报告、沟通和协调与美国和国际供应商缓解脆弱性的CVD过程的一种手段。2022年,超过700个协调漏洞披露,发布了416份脆弱性报告。CVD已简化了每年数百万台设备的补丁开发和部署流程,减少了漏洞信息和提供的补救指导的不确定性和不准确性,增强了网络生态系统对CVD协调安全建议的信任。

1.5 JCDC加强国内外沟通与合作,成绩显著

创建联合网络防御协作(JCDC)组织,通过公共部门和私营部门中值得信赖的合作伙伴之间的持续合作,以及在发生破坏性入侵之前进行严格规划,应对最严重威胁。美国16个关键基础设施部门都参加该组织,JCDC改善了行业与政府间的沟通与合作,大大增加了已知被利用漏洞目录,为网络安全咨询做出了贡献。

2022财年,在Apache Log4j软件中发现Log4Shell漏洞后,JCDC与其成员共享了危害、威胁活动和情报指标,使合作伙伴能够快速应对在各种消费者和企业服务、网站,以及在运营技术产品中记录安全和性能信息。此外,JCDC和国际合作发布联合网络安全公告,向更多网络安全社区分享技术细节和建议,帮助社区更好了解和管理Log4Shell及相关漏洞带来的威胁。

JCDC与全球150多个计算机应急响应小组建立了关系,通过运营网络合作,提供威胁态势感知,加强与波罗的海三国、波兰、格鲁吉亚、捷克、乌克兰和东欧国家的合作,协调行动,实时应对威胁。

1.6 CSAC通过会议获取建议,启动网络创新研究员计划

2021年12月,CISA启动首届网络安全咨询委员会(CSAC)会议。CSAC旨在为CISA网络安全计划和政策的发展和完善提供建议。2022财年,CSAC召开了四次季度会议和94次小组委员会会议,并向CISA主管提供了53项建议,这些建议将使CISA在快速变化的网络安全环境中保持良好的应对威胁的能力。

2022年6月,CISA启动首个网络创新研究员计划,为私营部门网络安全专家提供机会,促进和参与CISA网络安全运营团队。截至12月,CISA已挑选六名研究员。该计划是CISA与更广泛的专家群体接触的一个重要里程碑。

1.7 CSRB首审 Log4j 软件库漏洞,提出可行建议

网络安全审查委员会(CSRB)旨在审查和评估重大网络安全事件,以便政府、行业和更广泛的安全社区能更好地保护国家网络和基础设施。2022年7月,CSRB发布的首份报告反映了其对Log4j软件库漏洞的首次审查。Log4j软件被集成到数百万个系统中,影响着全世界的公司、组织和政府。CSRB与近80个组织和个人合作,收集见解,通报调查结果,并为政府和行业制定19项可行的建议,以解决Log4j开源软件库中的漏洞带来的持续风险。

2.降低美国关键基础设施的风险并增强其韧性

2.1 开展州和地方网络安全拨款项目

与联邦紧急事务管理局合作开展州和地方网络安全拨款项目,帮助建立州和地方网络安全改进法案,有助解决其防御网络面临的挑战。

2.2 成功举办第八次网络风暴演习

2022年3月,CISA举行第八次网络风暴演习(cyber storm),为政府发起的网络安全演习提供了框架,检查国家对影响关键基础设施的重大网络事件的反应。该次演习包括来自33个联邦机构、9个州、100家私营公司和16个伙伴国家的2000余名参与者,推动网络安全政策和计划的改进,是目前最成功的网络风暴演习。

2.3 举办首届K-12学校安全和安保国家峰会

2022年11月1日至3日,CISA召集了联邦、州和地方学校领导,分享可行建议,加强幼儿园到12年级(K 12)学校的安全和支持性学习环境。促进学校安全全国性对话,提供了分享资源、产品和工具的场所,支持学校实施和加强其安全态势。峰会效果超预期。

2.4 延伸“闪点行动”、自愿化学安全倡议,保护HBCUs

2021年6月,CISA和联邦调查局发起为期90天的“闪点行动”倡议。为应对几起网络事件,CISA与危化品设施合作,确定潜在的漏洞并分享缓解措施,确保危化品安全。闪点行动团队在2022财年走访了全国超过8,368家零售场所,帮助零售商报告和处理潜在危化品销售。

2021年11月,CISA启动ChemLock自愿化学安全倡议,计划为危化品设施提供定制、可扩展、免费的服务和工具,改善危化品安全状况,工作延伸至2022年。

为了应对历史上的黑人学院和大学(HBCUs)面临的威胁,CISA动员了保护性安全顾问等资源,联系全国所有108所HBCUs,与56所HBCUs建立新关系,收到37所HBCUs援助请求。CISA举办了27次预防爆炸课程,培训了1300多名参与者,交付了1500多件产品。

2.5 主办 JAMX22 活动,建立公共安全通信的韧性

2022年4月,CISA与国土安全部科技局共同主办了JAMX22活动,评估干扰公共安全通信系统和任务响应的影响,并与公共安全通信合作伙伴确定培训差距。CISA参与了JamX22 VIP演示,开发了公共安全通信和网络韧性工具包,帮助公共安全机构和其他负责通信网络的机构评估当前的韧性能力,确定提高韧性的方法,并制定减轻潜在韧性威胁影响计划。

2.6 向美国公民普及网络安全的意识与具体操作方法

发起强调多因素身份认证(MFA)活动,包括敦促实施防网络钓鱼MFA,提高美国人网络安全意识。CISA推广了4个步骤来确保网络安全:对帐户实施多因素身份验证,大大降低被黑客攻击的可能性;打开自动更新软件;点击前请三思,超过90%的成功网络攻击始于网络钓鱼邮件;使用强密码,最好使用密码管理器生成和存储唯一的密码。

2.7 2022年基础设施安全演习、培训和产品完成情况

一是在全国各地进行了163次演习,共有14,260人参加;

二是在全国进行了1830次化学设施反恐标准检查,占高风险设施的57%。自该标准实施以来,已援助了10,000多个设施,记录了2500多起简易爆炸装置相关事件;为18,330名参与者举办了791次植入式电子装置(CIED)和减轻风险培训课程,分发了142,400多个C-IED感知产品;向关键基础设施、国际、执法、应急响应、机构间和私营部门利益相关方提供了114场主动射手准备网络研讨会,注册人数超过32,600人,CISA网站访问量达到139,835次。

三是发布了K-12学校安全指南(2022年第3版)和配套产品,提供了全面的理论和基于系统的方法,支持学校进行漏洞评估和规划,在K-12学区和校园中实施分层的物理安全要素。该指南在前六个月被下载2400多次。交付了120个基础设施可视化平台产品,并在42个区域弹性评估项目上开展了合作。这些与关键基础设施所有者和运营商的合作评估工作确定导致了设施安全和恢复能力漏洞,提出了缓解这些漏洞的建议。

此外,CISA支持了200多项基础设施调查工具(IST)评估。正在进行的IST工厂中,92%的工厂会将漏洞评估或调查信息整合到安全性和弹性增强措施中。

3.协作:加强业务协作和信息共享

CISA致力于与政府、工业、学术和国际合作伙伴合作,朝着更具前瞻性、以行动为导向的合作方向发展,扩大和加强该机构的区域存在,更有效地提供利益相关者所需的援助。

3.1 CISA走向世界,积极参与国际合作

2022年,CISA扩大了与国际社会的合作。通过联合工作计划和谅解备忘录与多个国际合作伙伴正式开展业务合作,包括英国、澳大利亚、新加坡、以色列、阿联酋和乌克兰。7月,CISA开设了第一家Ataché办事处,总部设在伦敦,作为CISA、英国政府官员和其他联邦机构官员间国际合作的协调中心,接待了来自英国国家网络安全中心和澳大利亚信号局的现场联络员。通过国务院资助的对外援助,CISA实施国际能力建设、技术援助和加强信息共享,持续支持乌政府反击俄网络入侵;与菲律宾反恐委员会合作,支持其软目标保护国家行动计划;通过在美洲国家组织的合作伙伴参与西半球事务;支持亚洲与印太经济框架;减轻巴尔干地区的脆弱性。

CISA与国防威胁减少署、国际刑警组织和联邦调查局合作召开全球化学安全和新出现的威胁大会,促进各方之间的对话。来自72个国家的220多名化学安全专家参会,包括政策制定者、执法机构、监管机构、工业界、学术界、智库、军方、非政府组织和国际组织。

通过美国国务院赞助的大使馆科学奖学金,CISA与在多米尼加共和国共同针对与下一代9-1-1技术升级相关的网络安全挑战,建议改进应急通信的公共通知。CISA单独执行了六个由国务院资助的国际能力建设项目,共有31个国家的1000多名参与者。这些项目、研讨会和培训侧重于网络安全最佳实践、应对网络安全威胁的资源、勒索软件威胁缓解、网络劳动力发展战略、工业控制系统培训、漏洞评估,和“曲速行动”案例研究。

CISA防爆办公室与罗马尼亚、墨西哥、加拿大、欧盟和英国进行合作,CISA连续第二年与美驻墨大使馆和国务院出口管制和相关边境安全项目合作,为墨政府官员提供培训。

3.2 在全国范围内提供CISA服务

CISA通过10个区域办事处执行行动任务,向全国各地CISA利益相关者提供直接服务。这些区域办事处代表CISA提供和协调社区解决方案,包括针对影响全国关键基础设施的网络、物理和紧急通信风险的预防、保护、缓解、响应和恢复解决方案。CISA提供态势感知、信息共享、技术援助、外联、漏洞通知和事故响应协调。CISA还通过化学设施反恐标准,区域化学检查员与化学设施和利益相关者接触,确保全国各地危化品安全。在救灾行动中,CISA安排工作人员支持州、地方、部落和地区政府合作伙伴,提供应急通信、关键基础设施恢复协调和先进技术服务,协助政府救灾和恢复行动。

2022年,CISA扩大了对每个州的支持,设立了网络安全州协调员、网络安全顾问、物理安全顾问和地区工作人员,无缝应对新出现的威胁和漏洞。CISA将其紧急通信协调员完全纳入原子能机构区域办事处外勤队,确保公共安全、国家安全和应急准备社区能够无缝和安全地进行沟通。

3.3 促进可互操作的应急通信

概念验证:CISA继续在通信领域优先发力。与爱达荷国家实验室合作进行概念验证,测试“CRIUS”通信管道技术,促进国家安全和应急准备通信的弹性路由多样性,以便在网络拥塞、损坏甚至毁坏时提供替代通信路径。

互操作研讨会:CISA、州911管理员全国协会、州互操作性协调员全国委员会和国家公路交通安全管理局911项目办公室举办了一系列面向所有州的互操作性研讨会,会聚集了州应急领导有效沟通和协作,为各州制定目标和可行步骤,提高应急通信互操作性,深化和加强应急通信治理结构,促进更好的互操作性和决策。

公众紧急服务911:CISA把工作重点放在确保公众直接获得紧急服务,即911系统,编写指南以协助管理员更好地准备和响应网络事件。CISA获得了2022财年拨款中的初始资金用于支持新计划,该计划致力于确保911系统符合NIST网络安全标准,同时保留能够处理各种形式的数据、视频和信息服务。公共安全官员与CISA合作,发布了针对公共安全运作环境的网络安全教育材料,如“前48小时:网络事件发生时的预期”文件和网络风险评估入门指南。

经验分享:CISA从诸如纳什维尔爆炸案和中西部德雷奇等事件中认识到紧急通信在灾害期间的重要性并分享了经验教训,在飓风、洪水和其他灾害期间担任紧急通信专家。CISA人员在2022年中广泛部署,支持国家安全事件、南部边境和飓风伊恩(Ian)。

网安信息交流会议:CISA还促成了六次网络安全信息交流(NSIE)会议。包括国际伙伴在内的NSIE工业界和政府成员就影响国家安全和应急准备电信的公共网络的威胁和脆弱性交流信息。

亮点数据:2022年,CISA优先服务新增123,236名无线优先服务用户;在46个州为5,000名参与者完成了214项技术援助请求;为1,680名学生举办了112次通信重点培训课程;在27个州促进了34次战略研讨会,推动了可互操作、网络安全和弹性应急通信。扩大网络安全服务,包括研讨会、网络研讨会和快速网络安全评估,通过回应500多项请求和询问,就国家应急通信计划与公共安全官员接触。

3.4 积极实施CIRCIA加强网络安全

过去发生的一些网络安全事件本可通过及时、有效的信息共享避免。2022年发布的《关键基础设施网络事件报告法》(CIRCIA)旨在弥合这一差距。按照CIRCIA的要求,CISA已开始制定条例,要求所涉实体向CISA报告所涉网络事件和相关赎金支付。根据原子能机构的合作承诺,CISA向公众、私营部门和其他政府代表在内的各利益相关者征求意见和观点,在全国范围内举行听证会,并在公布规则制定提案之前接受书面反馈。CISA对37875份网络事件报告进行了分类,对2609起需要CISA协助的事件采取了行动。

3.5 CISA与选举官员合作,促进安全选举

CISA与州和地方选举官员合作,确保官员们能够获得需要工具、能力和信息,构建抵御所有威胁的能力。对选举基础设施进行安全评估,扫描数百个管辖区网络安全漏洞,与选举基础设施信息共享和分析中心合作,提供实时、可操作的威胁和缓解信息,帮助州和地方选举官员了解风险环境。在全国范围内开展培训、练习、小组演示、主题演讲等活动,在选举安全和弹性方面发挥作用的人数超过5000人。桌面投票是CISA一年一度的全国选举活动,包括来自48个州、16个联邦机构和18个部门合作伙伴的1,100多名参与者,解决了选举基础设施面临的网络和物理安全挑战。

4. 整合:进行职能整合,加强员工队伍建设

4.1 开展“三阶段文化冲刺”活动,激发员工创新能力

CISA侧重于员工工作,强调CISA员工的“三阶段文化冲刺”。在第一阶段,启动一系列心理安全研讨会,侧重于心理安全概念,培养每个人都可以有尊严、受尊重地在工作中自由地做真实自我文化;在第二阶段,进一步探讨研讨会中讨论的概念,为员工提供分享建立“以人为本”的文化基础,并将研讨会的经验应用到工作场所;在第三阶段,119名CISA员工从为期6周的文化队列中毕业,为激发员工创新能力推出由员工驱动的创新中心,将使员工能够提出新颖概念,帮助将CISA打造成为合格的国家网络安全机构。

4.2 举办“CISA精神健康年”活动,关注员工心理健康

新冠疫情对美国人心理健康造成损害,是工作场所倦怠的主要原因。CISA将2022年定为精神健康年,采取一系列措施支持员工,扩大现有资源,推出新举措。一是提高意识,建立对话,解决误解。举办十场市政厅会议,邀请健康专家、医疗专业人士和心理健康倡导者开展讨论,重点是心理健康背后的科学、预防和消除倦怠的实用技巧、以及维护员工福利的必要性;二是采取行动,强调员工现有资源,推出CISA关爱,建立冥想室,为员工免费推出“头部空间正念”应用程序。这些活动既相关又有用,CISA在未来几年继续将精神健康作为优先关注领域。

4.3履行对多样性、公平、包容和无障碍的持续承诺

CISA致力于推进各种形式的多样性,以更好地解决问题。一是开展“一起变强:多元化和包容的力量”培训,2100多名员工完成培训;二是设立外部公民权利和公民自由(ECRCL)职能部门,确保执行任务时维护法律规定的个人自由、公平和平等。制定了首个语言访问计划,消除或减少英语水平有限的人访问CISA资源、服务、活动和事件的障碍;三是致力于在各界开展工作,确保各种背景和各行业个人平等在网络安全领域的工作机会,为年轻女性开辟从事网络安全和技术职业的途径,为年轻女性,特别是有色人种,在私营部门、非营利部门或政府部门获得实践经验建立切实可行的途径,向两家创新组织奖励200万美元,用于发展网络劳动力培训计划,关注失业和未充分就业者、城乡得不到充分服务的社区,以及传统上得不到充分服务的人群;四是与CYBER.ORG和美国女童子军合作,向全国各地的女孩发起了网络意识挑战,增强她们对网络安全的技能和兴趣;五是通过Cyber.org REACH项目与九所历史上的黑人学院和大学(HBCU)建立了合作伙伴关系,为历史上代表性不足的学生提供服务,建立网络安全课程途径。

4.4 获得新授权,建立新采购能力

CISA成立时间短,采购制度不完善。国会为在CISA建立的合同办公室提供资金,国土安全部向该办公室主任授权开发和采购,允许CISA直接协调工程处合同规划、执行和管理。新授权使CISA内部采购流程更高效,CISA组合之间的协调性更好。

5. 工作重点 2023

CISA 2023年工作重点:

  • 拨款计划:出台一个为美国原始部落社区量身定制的部落版网络安全拨款计划;

  • 国际合作:面临不断演变的网络威胁格局,CISA国际交往发展起来的关系将继续成熟并结出硕果;

  • 战略制定:在原有战略计划基础上,继续制配套支撑战略,包括去年10月发布的利益攸关方相关战略,以及即将于2023年初发布的《网络安全战略计划》,以指导CISA未来几年的工作;

  • 地区事务:继续支持应对重大灾害,提供关键基础设施影响信息,促进基础设施优先化和恢复工作,并为应急响应者保持通信渠道畅通;

  • 平台建设:推出一个全新的网站,确保资源、信息和援助随时可供所有合作伙伴和利益相关者使用。

    6. 评论

CISA主要负责美国联邦政府相关机构的网络防御,可谓责任重大。该机构成立时间虽然不长,但取得的成绩不容小觑。如通过国际合作将有助于CISA打响“品牌效应”,使美国在未来的网络空间格局中获得更大话语权;通过联合网络防御协作组织改善与行业和政府间的沟通与合作;在组织机构建设方面采取的多种举措等。

然而,CISA自成立以来,一直以“加强联邦网络和美国国家关键基础设施的安全性”为工作重点,但内部人士担心 CISA 过于关注关键的网络任务,一些关系尚未理顺。CISA为内部分歧、士气问题以及对领导优先事项等问题担忧。

近日CyberScoop、FedScoop网站对14名现任和前任CISA员工以及另外18名熟悉CISA内部运营的人士进行了采访。大多数人认为CISA存在一些问题:

  • 一是缺乏明确战略方向,更关注其公众形象,不而是处理国家最棘手的网络安全问题;

  • 二是CISA不注重内部交流。内部人员和最近离职人员抱怨领导层没有明确说明优先事项,常常与员工隔绝,进行的外部交流远多于内部交流;

  • 三是面临着诸多生存挑战。美国需要网络安全援助的实体数量众多,CISA无法聘请合适的网络人才,在招聘高技能技术人才方面尤其困难,近150个网络安全职位空缺,严重损害了执行任务能力;

  • 四是CISA局长Jen Easterly的工作风格使其与国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 关系紧张,得到国土安全部领导层的支持很少;

  • 五是内部组织结构问题。CISA 被划分为六个部门,各个部门管理自己的基础设施,缺乏凝聚力,缺乏监督,分裂的组织结构和CISA获取技术的能力受限限制了新软件的部署;

  • 六是CISA 将过多的精力集中在与主要行业参与者和大型企业合作伙伴建立联盟上。这些类型的组织拥有资源充足的网络安全团队来捍卫他们的利益,通常不会与CISA共享有关当前威胁的重要信息。

参考文献

1.https://insidecybersecurity.com/daily-news/cisa-year-review-highlights-2022-accomplishments-operational-collaboration-workforce

2.https://www.cisa.gov/sites/default/files/publications/CISA-YearInReview_v1_508.pdf

3.https://www.fedscoop.com/insiders-worry-cisa-is-too-distracted-from-critical-cyber-mission/

文章内容编译自网络,本文观点不代表本公众号立场。欢迎交流讨论,批评指正。

声明:本文来自网络安全跟踪,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。