2026年5月22日,白宫管理和预算办公室(OMB)发布了备忘录M-26-14,主题为《确保有效且高效的机构日志记录与网络可见性,以防御不断演变的网络威胁》,取代拜登于2021年签署的M-21-31备忘录。该备忘录强调确保高效的日志记录与网络可见性,以防御不断演变的网络威胁,标志着联邦政府网络安全日志策略的重大调整。

新备忘录承认M-21-31改善了各机构的基础安全能力,但其要求的保留大量没有明确用途的日志数据对于大多数机构而言不具操作性也不具成本效益。因此,M-26-14转向基于风险的、分优先级的日志记录方法。典型规定包括(1)CISA须在90天内开发日志参考架构(logging reference architecture, LRA),优先考虑持续事件监控(CEM)和威胁狩猎/调查/响应/取证(THIRF)能力。(2)各机构在LRA发布后有90天提交符合该参考的日志计划。(3)建立新的成熟度模型衡量机构实施进展——此前政府监督机构已认定多个机构未达到M-21-31的基准。

备忘录引发了业界不同反映,侧重实务的一些企业认为其聚焦实时威胁检测以及攻击后调查和恢复能力,并认可其赋予机构灵活性以构建符合其特定使命的日志架构和对AI风险的关注。但更聚焦战略和整体风险管理的一些机构认为,撤销旧备忘录的时机不当——在新备忘录全部指令到位之前,机构可能有一个长达六个月甚至更久的空挡,期间缺乏明确的日志编制和预算优先级。本期简报翻译了该备忘录主要内容,供读者参考。

01

背景与动机

正如总统管理议程所确认的,各机构必须“防御并持续打击网络敌人(cyber enemies)”,这些敌人正在规模、速度和复杂度上不断演变。威胁行为者(Threat actors)越来越多的利用自动化和人工智能加速对关键系统的攻击。这些增强的能力可以帮助威胁行为者快速获得对系统的未授权访问、从一个系统横向移动到其他系统,并在相当长的时间内保持未被检测的非法访问。

为了缓解这些日益加剧的数字威胁所带来的风险,各机构需要具备快速检测、响应和分析网络上异常活动的能力。该能力关键是适当的事件日志记录——对信息系统中发生的重大活动进行及时和一致的记录。各机构依赖日志中的信息以了解系统活动、识别需要关注的事件,并支持保护敏感数据和维持运营的分析与响应行动。

2021年,OMB发布了备忘录M-21-31《提高联邦政府与网络安全事件相关的调查和修复能力》,以提升日志基线水平并增强各机构对系统内发生事件的了解。该备忘录的实施改善了各机构的基础能力。然而,一些要求——如保留大量没有明确用途的日志数据——对于大多数机构来说既不具操作性也不具成本效益。为了解决这些低效问题和不断演变的网络威胁环境,本备忘录指示各机构采用基于风险的、分优先级的日志记录方法。

定义说明:就本备忘录而言,“机构”具有44 U.S.C.§3502中给出的含义。本备忘录所确立的要求不适用于44 U.S.C.§3553中定义的国家安全系统,也不适用于44 U.S.C.§3554中描述的国防部或情报界系统。

02

撤销M-21-31与新框架

撤销OMB备忘录M-21-31并立即生效。后续各机构应在一个适应性框架内工作,该框架以支持有效且高效地监控网络,同时最小化繁文缛节和控制成本。

各机构在组织和资源配置其日志活动时,须优先考虑两个目标:

(1)持续事件监控(CEM):日志、日志管理和日志基础设施,使机构能够实时监控网络活动、及时标记异常活动并以适时方式响应。这些日志通常由安全运营中心(SOC)获取和监控。

(2)威胁狩猎、调查、响应和取证(THIRF):日志、日志管理和日志基础设施,以使机构能够在已知或疑似受到入侵后调查和执行网络活动的取证分析,目的是缓解、修复并从威胁行为者活动中恢复。为启用THIRF,机构必须维持足够的热存储和冷存储,以及检索和集中日志数据的能力。

03

CISA日志参考架构(LRA)

在本备忘录发布之日起90天内,网络安全和基础设施安全局(CISA)局长应开发并发布日志参考架构(LRA)。LRA将提供具体指导和选项,帮助各机构实施CEM和THIRF能力的优先级排序。

机构必须收集支持以下活动的日志,以推进CEM和THIRF的最小目标包括(附录二):

(1)确定在应用程序和系统中执行操作的身份。

(2)确定源和目的网络地址信息,包括协议、端口和会话属性。

(3)识别访问、修改或销毁的项目所涉及的对象/资源/数据事件。

(4)确定影响权限级别变更的操作。

(5)识别IT/OT/IoT基础设施的变更(添加/移除/修改端点)。

(6)监控安全工具(如入侵检测系统、终端防护平台、安全网关等)识别的可疑活动。

(7)监控、检测并追踪已知的入侵迹象。

(8)监测、检测并追踪异常系统或用户活动。

(9)确定网络攻击的攻击向量,包括与初始访问和横向移动相关的任何攻击向量。

(10)为上述所有情况生成适当的自动警报。

LRA将涵盖以下关键领域(附录一):

(1)与零信任成熟度模型对齐:LRA将在零信任成熟度模型日志集中化的支持下指导CEM和THIRF的实施。

(2)日志集中化:LRA将提供通过集中化访问部署或集中化架构部署(或两者混合)构建CEM和THIRF能力的选项。集中化和/或集中化访问与可见性应在每个机构最高级别安全运营中心(SOC)进行。

(3)控制附带敏感数据暴露风险的日志采集:LRA将包含确保日志不会获取或暴露违反法律的数据的指南。还将建议机构如何保护敏感日志数据的保密性和完整性。

(4)物联网(IoT)和操作技术(OT):LRA将为机构IoT和OT提供实施日志记录能力的指导,包括没有原生日志功能的IoT设备和OT。

(5)人工智能(AI):LRA将讨论使用AI技术增强CEM和THIRF能力的方法,并援引适用的政府范围AI政策和指南。

(6)自评估:LRA将解释机构如何对其CEM和THIRF能力进行自评估。

(7)数据留存指南:LRA将就超出本忘录所述最低要求的数据保留实践提出建议。

04

机构日志计划

在CISA应在本备忘录发布后90天内(2026年8月20日(+90天))发布LRA,并在5个工作日内通知各机构。在LRA发布后90天内(2026年11月18日(+90天)),各机构应向OMB提交一份日志计划,描述其将如何实施LRA中的指南。计划应详细说明机构的当前日志成熟度水平、目标成熟度水平以及实现这些目标的路线图。

编译:唐梦晨

审核:原浩 朱莉欣 方婷

作者编译观点仅代表个人

不代表密码法治实践创新基地

为方便排版,已略去脚注

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。