拜登-哈里斯政府最近公布了《国家网络安全战略》,以应对数字世界日益增长的互联性和软件系统的复杂性。该战略旨在保障一个安全可靠的数字生态系统,让所有美国人都能利用并从中受益。现在,数字连接几乎渗透到我们生活的方方面面,将个人和职业领域联系在一起,并在数字和实体领域之间架起了桥梁。随着民族国家和恶意行为者不断发起网络攻击,政府致力于转变应对这些持续威胁的方法,确保我们的数字生态系统稳健、有弹性并符合我们的核心价值观。
虽然美国政府已经为实现这些目标采取了重要措施,但新方法重点关注我们可以建立和加强合作的五大支柱:保卫关键基础设施、瓦解威胁行为体、塑造市场力量以推动安全和复原力、投资于具有复原力的未来,以及建立国际伙伴关系以实现共同目标。所有这些支柱都是至关重要的,通过从保卫关键基础设施开始,我们可以向美国人民保证,我们将致力于保护这 16 个部门及其提供的基本服务。
保卫关键基础设施
我们必须制定网络安全要求(目标 1.1),以支持国家安全和公共安全。这一战略可能会在关键部门制定更多与其他领域现有法规相一致的法规。虽然并非所有部门都需要相同的网络安全要求,但确保法规的一致性和可预测性可以减轻合规负担。现有法规和新法规的目标是鼓励和要求大规模采用更好的网络安全做法。此外,网络安全要求应优先考虑基于经证实的数据证明有效的关键技术--如Deep Content Disarm and Reconstruction (Deep CDR),以消除网络威胁,确保采用全面可靠的网络安全方法--而不是关注网络安全公司如何推销其解决方案。
规模对这一战略至关重要,合作也是如此(目标 1.2)。要有效应对大规模的高阶威胁,就必须加强公私合作。正如战略文件所概述的,与俄罗斯对乌克兰的战争有关的 "举起盾牌 "运动提高了人们的防备意识,并促进了打击恶意活动的有效措施。未来的努力必须复制这种合作,并将国际盟友和平民纳入其中,投资于一个更具复原力的未来,一个不依赖于小型组织和公民个人持续警惕的未来。私营部门实体与联邦机构密切合作,可以更迅速、更协调地做出反应,最大限度地减少关键基础设施受到攻击的影响,甚至最好能防止攻击。我希望这种合作是开放的、合作的,并优先考虑美国公司,以促进国内的增长和创新。
目前已经有多个部门和机构负责支持关键基础设施的防御工作。新战略打算整合联邦网络安全中心(目标 1.3),创建合作节点,推动政府内部协调。位于 CISA 的Joint Cyber Defense Collaborative(JCDC) 是通过整合网络防御规划和行动来实现这一目标的第一步。JCDC 在联邦政府内部并与国际合作伙伴和私营部门合作开展这项工作。虽然还有更多的工作要做,但这些中心提供了更多的合作机会,使各中心能够与私营部门合作伙伴分享及时、相关和实用的信息。我们希望联邦政府能公开这些中心的目标、衡量标准以及非机密和非敏感的活动,这样才能发挥最大的作用。
虽然私营部门通常能够在没有联邦援助的情况下缓解网络事件,但新的目标是在需要时提供统一的响应。这意味着要更新联邦事件计划和流程(目标 1.4),以便各组织知道当它们成为网络威胁的目标时,应与哪个政府机构联系。各组织还必须知道可从联邦政府获得何种形式的支持。为此,CISA 正在牵头更新国家网络事件响应计划(NCIRP),以加强流程、程序和系统。《2022 年关键基础设施网络事件报告法》(CIRCIA)要求关键基础设施中的受控实体在数小时内向 CISA 报告受控网络事件。这种快速通知可加快查明事故原因,并有助于迅速做出知情决策。总体而言,这是一项值得称赞的举措,但我希望所报告的网络事件的某些关键方面能够得到披露,以便我们能够了解如何预防威胁。这种方法将使我们从典型的检测和响应周期转变为以预防为主的更加积极主动的心态。
最后,该战略旨在实现联邦防御现代化(目标 1.5)。联邦政府依靠通信、弹性和安全的信息以及业务技术和服务来履行职责。在这个复杂的数字环境中,这意味着联邦政府系统必须实现现代化,以确保其网络具有弹性和可防御性。这些现代化努力的一部分包括应用零信任原则来应对传统网络边界内外的威胁。这是一项了不起的举措,我希望它能将Deep CDR 、原产国评估等技术纳入其中,并确保零信任方法不仅仅是取代 VPN,而是创建一个更全面、更强大的网络安全战略。
私营和公共部门零信任
通过提高自身系统的防御性和弹性,联邦政府可以确保更有效地防御关键基础设施。首先要实施零信任架构战略,同时对IT 和 OT 基础设施进行现代化改造。零信任方法将防御从基于网络的边界转移到基于资源、用户和资产的边界。包括软件供应链在内的供应链也必须采用零信任原则,并假定不存在基于实体或网络位置的隐含信任。
这种方法更侧重于通过确保在与受保护数据或系统建立连接之前进行身份验证和授权来防止攻击。随着软件变得越来越复杂和相互关联,网络安全必须包括远程用户、自带设备(BYOD)趋势和对云资产的访问等新的现实情况。虽然该方法更注重预防而非检测,但该战略的部分目标是提高整体网络弹性和可靠性--即使在企图攻击发生时也是如此。
所有这些举措都有赖于培养一支有能力的网络队伍,以测试、保护、分析我们的国家网络安全并使之现代化。虽然保护数据和确保关键系统的可靠性是系统所有者和运营商的责任,但技术提供商、关键基础设施系统和联邦机构之间的合作可以帮助我们安全地保存数据,并确保我们作为一个自由和互联的社会运行。
想进一步了解OPSWAT 如何保护关键基础设施? 请联系我们的网络安全专家。
