编者按:美国总统拜登近日将签署任内第二份网络安全行政命令,寻求为联邦首席信息官和首席信息安全官提供更多要求和工具,指导联邦机构解决云安全、人工智能、访问管理、安全软件、后量子密码等广泛问题,以应对不断变化的网络安全威胁。
该行政命令将强制要求民事机构执行美国网络安全和基础设施安全局(CISA)的持续访问能力(PAC)计划,从而使CISA能够关闭任何可能遭受攻击的网络或设备。PAC计划是端点检测和响应(EDR)工具推出的一部分,可提供持续的威胁搜寻能力。CISA已在54家机构部署了超过75万个EDR许可证,36家机构正在使用PAC工具开展持续威胁搜寻活动。该行政命令草案并未特别提到PAC,但要求CISA、首席信息官和首席信息安全官委员会共同努力开发此类EDR相关能力,以实现:及时搜寻和识别美国联邦民事体系中的新型网络威胁和漏洞;识别同时针对多个机构并在整个美国联邦体系内横向移动的协调网络活动;协调美国政府范围内的信息安全政策和实践努力,包括汇编和分析威胁信息安全事件的信息。有外界人士担忧,此项权限或将使CISA在不清楚行为后果的情况下关闭网络或设备。
新的行政命令将要求美国白宫行政管理和预算局在未来三年修订2016年版A-130号通告,使该通知更加注重采用现代网络安全实践。修订后的通告应:概述对机构网络安全信息共享和交换、体系可见性和机构首席信息安全官对体系范围网络安全计划责任的期望;在适当情况下减少关键领域的技术规定性,更明确地推动整个联邦系统采用不断发展的网络安全最佳实践,包括迁移到零信任架构和实施关键要素,如端点检测和响应功能、加密、网络分段和防网络钓鱼多因素身份验证;解决机构应如何识别、评估、应对和减轻因IT供应商和服务集中而对任务基本功能带来的风险。
新行政命令还覆盖其他广泛议题,包括:要求CISA及首席信息官和首席信息安全官委员会发布一份运营概念,其中应包括对高度敏感的机构数据的具体保护,同时确定并解决美司法部提供设备遥测数据的具体用例,制定CISA访问EDR工具前通知机构的流程;要求美国国家标准与技术研究所、CISA和总务管理局制定云服务提供商使用的访问令牌和加密密钥的安全管理指南并根据指南更新云安全计划,要求上述机构制订政策以指导民事机构采用有关保护和管理硬件安全模块、可信执行环境以及云服务提供商使用的访问令牌和加密密钥的其他隔离技术的最佳实践;重点关注人工智能保护,要求开展“加速下一代网络防御人工智能模型”的试点项目;要求落实透明度并部署符合2021年行政命令中规定标准的安全软件,要求承包商在与联邦机构开展业务前必须遵守安全规则且证明遵守安全软件开发实践;要求以美国国家标准与技术研究所最新发布的标准为基础为后量子密码做准备;要求推进联邦身份认证和访问管理的现代化,涉及登录机构系统的安全性以及系统或数据访问的控制;要求保护联邦通信和互联网路由,提高基于互联网路由的网络工具的安全性和弹性。
奇安网情局编译有关情况,供读者参考。
预计美国总统拜登本周将签署其第二份网络安全行政命令,为重大网络事件定义的术语划上句号。
拜登入主美国白宫之际,公共和私营部门开始感受到SolarWinds网络事件的影响。在拜登即将离任时,各机构和电信公司正在努力解决最新的黑客事件。在此期间,各机构应对了针对医疗保健、学校系统和其他部门的勒索软件使用量大幅增加、Log4j威胁和众多其他网络攻击,这些都让他的网络领导人忙得不可开交。
而这项新的行政令将试图为美国联邦首席信息官和首席信息安全官提供更多要求和工具,以应对不断变化的威胁。拜登于2021年5月发布了其第一项网络行政令。
据悉,新的行政命令草案包括要求美国白宫行政管理和预算局重写A-130号通告。该命令还包括新的软件认证要求、有关如何保护人工智能和为后量子密码学做准备的新规定以及边界网关协议和路由来源授权要求,以提高基于互联网路由的网络工具的安全性和弹性。
但该行政命令草案中最令一些美国联邦行政人员担忧的部分是,该行政令将强制要求民事机构执行美国网络安全和基础设施安全局(CISA)的持续访问能力(PAC)计划。
但除了行政令草案的具体内容外,一些美国联邦行政人员还对其发布的时间提出了质疑。
虽然该第二份行政令已酝酿数月,但几位不愿透露姓名的联邦消息人士表示,美国政府这么晚才发布行政令似乎有点白费力气。官员们表示,鉴于美国政府内部网络领导人的更替,这一举措尤其令人担忧,而这些领导人通常会支持这样的举措。
一位美国联邦网络官员表示,“在网络安全这样复杂的问题上发布行政命令并要求开展具体活动,几乎或根本不考虑政治和政策环境,这种做法令人担忧。当必要的高级管理人员和决策者不在位,更不用说还没有被任命时,如何能期望及时和有意义的实施?但除政治因素外,所需的工作量和所包含的时间表使得有效有意义的实施变得不切实际,因为来来去去的高级网络人员数量太多。”
另一位美国联邦技术主管也表达了类似的担忧。这位官员表示,“并不是说这里面没有好东西,但我们不应该在本届政府任期即将结束时这样做。”
机构级网络保持不变
与此同时,其他美国联邦官员认为,网络安全是一个无党派问题,下一届政府将会采纳行政令草案中的许多(即使不是全部)目标。
某美国联邦官员表示,“我认为,如果拜登政府不认为我们会以这种方式前进,他们就不会发布行政令。我认为他们认识到这会浪费大家的时间,业界经常问我网络的未来会是什么样子,在与白宫行政管理和预算局和过渡团队成员的对话中,有一件事是一致的:原则上,网络不是一个政治话题。是否会放弃或转变零信任?答案是否定的。如果我们看看第一届特朗普政府制定了零信任战略和计划,拜登的支持者也同意这一事实,那么新一届特朗普政府因为另一届政府触及了它而说零信任是错误的,这将是奇怪的。”
该官员补充称,在最新的黑客事件后,肯定会与新政府就网络监管进行一些有趣的对话,但他们预计机构层面不会发生根本性的转变。
然而,对于一些美国联邦官员来说,该行政命令草案的重大转变将使美国网络安全和基础设施安全局(CISA)的持续访问能力(PAC)计划成为强制性要求。持续访问能力(PAC)计划是端点检测和响应(EDR)工具推出的一部分,可提供持续的威胁搜寻能力。
美国白宫行政管理和预算于2024年7月向国会提交的年度《联邦信息安全现代化法案》(FISMA)报告中指出,76家机构已达到标准,至少80%的已知端点已被持续诊断和缓解(CDM)计划覆盖。在这76家机构中,有36家正在使用持续访问能力(PAC)工具来开展持续威胁搜寻活动。自2021年以来,美国网络安全和基础设施安全局(CISA)已在54家机构部署了超过750000个端点检测和响应(EDR)许可证。
该行政命令草案并未特别提到持续访问能力(PAC),但要求美国网络安全和基础设施安全局(CISA)、首席信息官(CIO)和首席信息安全官(CISO)委员会共同努力开发此类EDR相关能力。
这些工具将实现:
及时搜寻和识别美国联邦民事体系中的新型网络威胁和漏洞;
识别同时针对多个机构并在整个美国联邦体系内横向移动的协调网络活动;
协调美国政府范围内的信息安全政策和实践努力,包括汇编和分析威胁信息安全事件的信息。
在行政命令发布后的180天内,美国网络安全和基础设施安全局(CISA)和相关委员会必须发布一份运营概念,其中应包括对高度敏感的机构数据的具体保护。它还应确定并解决美国司法部提供设备遥测数据的具体用例,但不允许美国网络安全和基础设施安全局(CISA)直接访问这些数据。
某些机构有顾虑
据多位消息人士称,这份行政命令草案的这一部分有一个很大的担忧,那就是是否允许美国网络安全和基础设施安全局(CISA)深入访问机构网络和设备。持续访问能力(PAC)工具目前所做的事情和根据这份行政命令将做的事情间的巨大区别在于,持续访问能力(PAC)工具将允许美国网络安全和基础设施安全局(CISA)关闭任何可能受到攻击的网络或设备。
某技术高管表示,“首席信息官每天都要承担风险。他们管理和衡量他们愿意接受的风险,但为了达到这种详细程度,美国网络安全和基础设施安全局(CISA)必须为每个机构配备大量人员,才能了解风险级别。我不希望CISA终止他们不明白这样做的后果是什么的事情。我对此感到担忧,这是CISA试图证明和强调其重要性的另一种方式。别误会我的意思,我确实很重视我们与CISA的关系,如果出现问题,我喜欢他们给予我们的匿名性。但我担心,如果他们在我的环境中,他们会开始代表我的机构回答问题,而不了解影响或环境。如果CISA管理和监控我的网络或设备,并且他们做出的决策可能会影响我完成任务的能力,会发生什么?”
一位熟悉持续访问能力(PAC)的业内人士表示,美国司法部正在竭力阻止美国网络安全和基础设施安全局(CISA)获得持续访问权限。该消息人士称,美司法部是如此“强硬”,以至于他们可能能够迫使改变这种做法。
该消息人士称,“一些首席信息官和首席信息安全官认为他们已经有足够的风险需要管理,而这会增加风险。持续访问能力(PAC)可以作为一个传感器,提醒CISA一些不好的事情正在发生。如果他们想以这种方式使用它,CISA就需要对机构设备拥有更多的权限,而这正是司法部所担心的。关于这个传感器有多大能力的讨论一直在进行中。”
另一位消息人士称,在正确的治理、政策和监督下,许多机构将大力支持高级威胁搜寻工具。
另一位机构技术官员表示,“大多数首席信息安全官都欢迎另一套眼光和能力。绝大多数人都表示愿意接受一切帮助。如果CISA带来更多资源,情况将尤其如此。少数人对此表示担忧。其中一些担忧与数据访问有关,特别是在数据受到某些保护的统计界。有些人不希望 CISA 拥有全权访问网络数据的权限。”
CISA 将领导运营概念工作
该行政命令草案确实要求美国网络安全和基础设施安全局(CISA)和首席信息官/首席信息安全官(CIO/CISO)委员会制定一个流程,作为运营概念的一部分,以便 CISA 在访问机构的端点检测和响应(EDR)工具前通知机构。该文件还需要包括高级技术和政策控制要求,以管理CISA对符合最低特权访问和职责分离网络标准的机构端点检测和响应(EDR)解决方案的访问。
该技术官员表示,“如果我们遵循规定并通过委员会程序,制定合作规则,并且平台是安全的,我认为我们可以让大多数(如果不是全部)反对者接受,并对这种方法感到满意。6个月前,我认为大多数人都有顾虑,但我认为我们已经做得更好了,CISA可以在不破坏关系的情况下实现这一目标。”
该官员补充说,过去几年,CISA 在支持和提供服务方面的声誉不断提高。各机构可能仍对完全信任该机构持谨慎态度。
另一位官员表示,“有时我们会面临压力,要求使用一套可能不是最好的工具。我们必须逐步采用我们被强烈鼓励使用的方法。我的要求是为其生命周期提供资金,而不仅仅是给我们种子资金。我还希望我们能在整个政府范围内进行更多的协调和合作,以免陷入必须将这些工具纳入我们非同质环境的境地。”
该行政命令草案的另一个关键部分是要求美国白宫行政管理和预算局在未来三年内修订A-130号通告,使其不再过于规范,而更加注重采用现代网络安全实践。美国白宫行政管理和预算局上一次更新A-130号通告是在2016年,其中包括一种更加基于风险的网络安全方法和广泛的IT政策更新。
该行政命令草案称,重写应:
概述对机构网络安全信息共享和交换、体系可见性和机构首席信息安全官对体系范围网络安全计划责任的期望;
修改美国白宫行政管理和预算局A-130号通告,在适当情况下减少关键领域的技术规定性,更明确地推动整个联邦系统采用不断发展的网络安全最佳实践,包括迁移到零信任架构和实施关键要素,如端点检测和响应(EDR)功能、加密、网络分段和防网络钓鱼多因素身份验证;
解决机构应如何识别、评估、应对和减轻因IT供应商和服务集中而对任务基本功能带来的风险。
该行政命令草案还试图解决云服务的安全问题。
该行政命令要求美国国家标准与技术研究所、网络安全和基础设施安全局和总务管理局在行政命令发布后的270天内制定云服务提供商使用的访问令牌和加密密钥的安全管理指南。
然后,在行政命令发布后的60天内,美国国家标准与技术研究所、网络安全和基础设施安全局和总务管理局的联邦风险授权管理计划(FedRAMP)将更新云安全计划的要求以纳入这些新指南。
最后,美国白宫行政管理和预算局将与国家标准与技术研究所、网络安全和基础设施安全局和联邦风险授权管理计划(FedRAMP)合作,发布一项政策,指导民事机构采用有关保护和管理硬件安全模块、可信执行环境以及云服务提供商使用的访问令牌和加密密钥的其他隔离技术的最佳实践。
覆盖广泛主题
据消息人士透露,该行政命令涵盖美国联邦机构需要处理的广泛主题,包括人工智能、安全软件、云安全、身份认证和后量子密码学。
美国白宫负责网络和新兴技术的副国家安全顾问安妮·纽伯格曾表示,“在我们制定拜登政府可能出台的第二项网络安全行政命令的过程中,我们希望将人工智能领域的一些特定工作纳入其中,以便我们在编写更安全的代码、查找漏洞、生成补丁以及从取证和日志中收集信息等领域取得突破,成为联邦政府的领导者。”多位消息人士称,人工智能实际上是该草案的重点。一位消息人士称,草案包含“加速下一代网络防御人工智能模型”的试点项目。
另一部分涉及透明度和部署符合拜登第一项行政命令中规定的标准的安全软件。该命令试图利用美国联邦政府巨大的购买力,要求承包商在与机构开展业务前遵守某些安全规则,希望在整个私营部门推广这些标准。根据第一项命令,公司必须证明他们遵守安全软件开发实践。消息人士称,第二项命令将涉及公司提交证明时的宣传,“以便其他人知道,这是符合安全标准的软件”,并允许“其他使用相同软件的用户获得更广泛的利益”。
消息人士称,后量子密码部分将以美国国家标准与技术研究所今年早些时候发布的标准为基础。
消息人士称,其中还有一个部分是关于现代化联邦身份认证和访问管理的,涉及美国联邦人员如何登录机构系统的安全性以及控制谁可以访问哪些系统或数据。
消息人士称,其他部分涉及软件物料清单、开源网络安全以及保护联邦通信和互联网路由、协调政策实践和为国家安全系统机构提供现代化指导。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
