编者按
拜登政府即将发布第二份网络安全行政命令,旨在巩固本届政府的网络安全政策遗产,并为下一届白宫提供应对外国网络攻击的蓝图。
该行政命令已经酝酿了数月,预计将于1月10日或下周初签署。该行政令以拜登2021年5月签署的行政命令为基础,并吸取了此后近4年来重大网络攻击事件的经验教训,包括已验证有效方法以及需要改进的方面。部分美国政府高层人士评价称,该行政令技术性水平尤其令人满意,较其他行政令更具可操作性,是保护国家网络资产的必要步骤;该行政令内容综合全面,不仅纳入广受外界关注的人工智能议题,涵盖了后量子密码学、边界网关协议等特定非热门领域,真正强调了“协作、行动和结果”。由于该行政令的出台时机临近美国政府的权力交接,外界担心特朗普政府上任后是否会废除该行政令。但有知情人士透露,特朗普团队人员参与了行政令的审查,并试图删除其中所不赞成的内容;两党在美国网络安全和基础设施安全局的地位上持截然不同的立场,行政令进一步加强了该机构作为联邦民事网络安全的牵头机构的地位,而共和党则批评该机构未将工作重点聚焦到核心网络计划上。参与行政令起草工作的政府官员和私营部门人员认为,拜登政府可能会放宽该行政令的约束性,放弃彻底的变革,以增加其“生存机会”。
根据美媒获取的文件草案,该行政令的关键内容包括:一是保障软件安全,指示各机构遵守更严格的软件采购程序,要求各机构及其行业客户更加认真地考虑软件来源以及软件安全性审查方式,要求加强对承包商提交的安全软件认证文件的监督;二是启用网络信任标志,要求美国政府在2027年前必须采购带有新推出的网络信任标志认证标签的设备;三是强化网络威胁检测和响应,要求各机构将其系统纳入端点检测和响应(EDR)解决方案,并将EDR数据链接回美国网络安全和基础设施安全局,以便将累积的信息用于整个联邦范围内的威胁搜寻和事件响应;四是研究太空系统安全状况,要求美国国家网络总监研究现有的太空连接地面系统及上述系统管理的信息并提交改进其网络防御的建议;五是加强互联网和通信安全,要求各机构在区域互联网注册机构注册其IP地址资源,并发布路由来源授权,以通过边界网关协议确保互联网路由安全,同时要求各机构必须加密其互联网流量,使用加密和身份验证保护电子邮件连接,并为语音通话、视频会议和消息应用程序等工具启用加密;六是推进和推广后量子密码,要求美国国土安全部和网络安全和基础设施安全局牵头定期更新支持后量子密码学的软件产品类别列表,要求美国务院将与商务部合作在国际上推广由美国国家标准与技术研究所推出的标准化后量子密码学算法,要求各机构采用混合或完全后量子密码学方法生成和共享密钥,使用标准化算法来保护数据免受量子计算机攻击,同时保持与当前系统的兼容性;七是利用人工智能促进网络安全,要求美能源部、国防部和国土安全部与关键基础设施运营商合作启动一项试点计划,将人工智能融入可检测能源领域网络漏洞和威胁的系统中,要求美国国防部长、国土安全部部长、国家情报总监和白宫行政管理和预算局局长将人工智能软件漏洞管理和事件响应实践纳入其机构的治理框架;八是保护云安全,指示美国政府制定指导方针,以更好地保护云软件承包商使用的加密密钥,包括将密钥存储在硬件安全模块中,要求美国国家标准与技术研究所为联邦云提供商制定新的安全要求。
奇安网情局编译有关情况,供读者参考。
据知情人士透露,拜登政府即将在任期的最后阶段发布一项行政命令,旨在加强其任期内最后的美国网络安全,为下一届白宫提供应对外国网络攻击的蓝图。知情人士透露,这项行政命令已扫清了一些内部障碍,即将发布,其中吸取了拜登政府期间一系列重大攻击事件的教训,包括最近的美国财政部黑客攻击事件。
行政令出台背景和前景
据知情人士透露,该文件已经酝酿了数月,预计将于本周五(1月10日)或下周初签署。该文件以拜登政府在2021年5月签署一项旗舰行政命令后吸取的网络经验教训为基础,而该命令是由著名的Colonial Pipeline和SolarWinds黑客攻击引发的。自此以后,美国政府仍然面临无数来自国家级黑客的攻击事件。
具体来说,2021年的行政命令的重点集中在以下七大方面:
消除政府与私营部门之间威胁信息共享的障碍,包括解除供应商合同义务约束以及强制其提供网络威胁信息等;
在联邦政府中现代化和实施更严格的网络安全标准,增加对最佳安全实践的采用,包括推动联邦政府迈向安全云服务和零信任架构以及强制部署多因素身份验证和加密等;
改善软件供应链安全,包括设立软件开发基线安全标准、创建软件安全标签试点计划、利用联邦购买力激励市场等;
建立网络安全事务安全审查委员会,在重大网络事件发生后召集会议,以分析事件情况并提出改善网络安全的具体建议;
创建用于应对网络事件的标准手册,确保政府内部应对计划成熟度,并为私营部门提供应对工作的模板;
改进对联邦政府网络上网络安全事件的检测,包括启用整个政府范围内的终端检测和响应系统以及改善联邦政府内部的信息共享;
提高调查和补救能力,向联邦部门和机构提出创建网络安全事件日志要求。
美国负责网络安全和新兴技术的副国家安全顾问安妮·纽伯格本周在描述即将采取的行政措施时表示,“过去四年,我们从……看到外国攻击渗透中学到了很多教训。我们已经了解了哪些方法有效,也了解了哪些不足之处,我们的目标是真正为下一届政府奠定尽可能好的基础,并在此基础上取得成功。”
一些政府高层人士对该法令的最终内容表示满意,尤其是其技术性水平。 某高级网络安全官员表示,“这份行政令是保护国家网络资产的必要步骤,我认为这份行政令的优势在于它比其他行政令更具可操作性。它指出了并不总是受到关注的特定领域,例如后量子密码学(PQC)和边界网关协议(BGP),尽管人工智能理所当然地受到媒体关注。这份行政令真正强调了协作、行动和结果。”
专家担心,由于该行政命令的出台时机非常接近权力交接,可能会使其在发布时就失效。目前尚不清楚特朗普政府上台后该命令是否会继续有效,特朗普已表示他打算废除拜登政府的另一项旨在为人工智能提供保护的命令。
据一位知情人士透露,在整个制定过程中,与特朗普有关的工作人员一直试图与拜登官员一起审查该命令,并废除他们不喜欢的内容。目前尚不清楚这些讨论如何进行。尽管具体方法可能有所不同,但确保政府系统免受网络威胁的必要性往往是美国两党的共同目标。
行政令草案显示,拜登政府通过加强权力,进一步巩固了美国网络安全和基础设施安全局(CISA)作为联邦民事网络安全的牵头机构的地位。参与起草该文件的几名不愿透露姓名的官员强调,现任政府和新政府在网络安全和基础设施安全局(CISA)问题上的态度截然不同。该机构已成为共和党批评的焦点,主要原因是其在选举安全方面的作用以及过去打击虚假信息的努力。
新上任的共和党人似乎计划推动全面改革,包括削减预算和改变该机构的使命。一位前美国CISA官员表示,该命令的未来可能取决于政治反应。当选总统特朗普可能会在1月20日上任后仅仅因为该命令的出处而将其废除。该官员称,“如果这件事在一年前就公布,我们可能会更兴奋,因为那将是在政府执政期间。时机很棘手,最好的时机是三年前,但下一个最佳时机就是现在。”
参与起草该行政令的官员和私营部门合作伙伴担心,拜登政府可能会先发制人地放宽该行政令,以增加其生存的机会。该行政令的一些常规任务,例如通过联邦首席信息官和首席信息安全官委员会加强端点检测和威胁搜寻,更接近于内部管理措施,而不是任何彻底的变革。
一位参与起草该行政令的前官员表示,“对于特朗普政府应该在国家网络安全方面做些什么,我们都有自己的想法。但他们未来四年的计划究竟如何,谁也说不准。”
行政令关键议题和内容
根据美国媒体获得的行政令草案,该命令将指示各机构遵守更严格的软件采购程序,在联邦计算机系统上安装检测响应工具等等。该命令草案称,“在某些情况下,联邦政府的软件提供商承诺遵守网络安全实践,但却没有修复其软件中众所周知的可利用漏洞,这使政府面临被入侵的风险。”
草案要求各机构及其行业客户更加认真地考虑软件来源以及软件安全性审查方式。例如,联邦采购监管委员会将被要求与关键技术和国防机构合作,加强对承包商提交的安全软件认证文件的监督。
根据该命令,美国政府必须在2027年前采购带有新推出的网络信任标志认证标签的设备。该标志旨在告知消费者适用产品符合某些政府审查的网络安全标准。
各机构还需要将其系统纳入端点检测和响应(EDR)解决方案,这些解决方案是专门用于监控和响应网络入侵威胁的网络安全产品。各机构还必须将其 EDR 数据链接回美国网络安全和基础设施安全局(CISA),以便将累积的信息用于整个联邦范围内的威胁搜寻和事件响应。
太空系统也在该命令中受到重视。例如,美国国家网络总监将被要求起草并提交一份研究报告,对现有的太空连接地面系统、上述系统管理的信息以及改进其网络防御的建议进行盘点。
美国防部一位高级官员2024年5月曾表示,地面太空资产(例如任务控制中心、发射设施和用于传输数据的网络设备)最容易受到攻击,因为保护它们免受入侵通常需要许多组织未实施的基本网络安全措施。
此外,各机构还需要加强互联网和通信安全。它们需要在区域互联网注册机构注册其IP地址资源,并发布路由来源授权(ROA),这有助于通过边界网关协议确保互联网路由安全。
边界网关协议(BGP)是一种骨干数据传输算法,用于确定数据包在网络中传输的最佳路径。几个月来,美国白宫一直在努力确保互联网的这一部分安全,因为人们越来越担心BGP劫持攻击,即黑客通过破坏路由路径来接管互联网地址组。
在通信方面,各机构必须加密其互联网流量,使用加密和身份验证保护电子邮件连接,并为语音通话、视频会议和消息应用程序等工具启用加密。该命令称,应尽可能使用端到端加密来保护敏感对话的私密性。
美国及其盟国全球电信网络遭外国黑客攻击事件,促使官员们鼓励美国人(尤其是政客和政府官员等高价值人士)改用加密信息服务,这样黑客就无法从他们的对话中获取更多敏感情报。美国政府各机构最近也发布了内部通信指南。
草案还涉及后量子密码学(PQC)前沿。为了加强整体网络加密并为容错量子计算机做好准备,美国国土安全部(DHS)和网络安全和基础设施安全局(CISA)被要求带头定期更新支持后量子密码学的软件产品类别列表。
后量子标准旨在保护当今的计算机免受未来可能突破当前加密方法的量子设备的攻击。该命令草案指示各机构采用混合或完全PQC方法生成和共享密钥,使用标准化算法来保护数据免受量子计算机攻击,同时保持与当前系统的兼容性。
后量子领域的国际合作也是其中的一个重要组成部分。美国务卿将与商务部领导层合作,确定并接触特定国家的外国政府和行业团体,以鼓励他们过渡到由美国国家标准与技术研究所(NIST)标准化的PQC算法。
该命令还强调了人工智能在网络防御中的作用。其中一部分重点是利用人工智能软件快速识别和帮助修补网络漏洞,从而加强网络安全工作。
例如,草案称,在美国防高级研究计划局(DARPA)于 DEF CON 2025黑客大会上主办的人工智能网络挑战赛结束后,能源部、国防部和国土安全部的领导层将与关键基础设施运营商合作,启动一项试点计划,将人工智能融入可检测能源领域网络漏洞和威胁的系统中。
此外,该行政命令还要求美国国防部长、国土安全部部长、国家情报总监和白宫行政管理和预算局局长将人工智能软件漏洞管理和事件响应实践纳入其机构的治理框架。
草案还包含一些数字身份项目,而几年前拜登曾承诺发布行政命令,专门针对公共福利中的欺诈和身份盗窃。该命令尚未发布,但即将出台的网络法令将推动各机构加大使用移动驾驶执照的力度,以核实人们是否有资格获得公共福利。
该行政命令草案还指示美国政府制定指导方针,以更好地保护云软件承包商使用的加密密钥,包括将它们存储在硬件安全模块中,这是一种存储数字密钥以确保其安全的物理设备。根据该行政命令,美国国家标准与技术研究所(NIST)将为联邦云提供商制定最新的安全要求。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。