上周,美国总统拜登在白宫发布了最新的《国家网络安全战略》(以下简称《安全战略》),阐述了美国未来十年的数字生态体系的发展计划,其核心目的是网络防御和网络弹性。
拜登进一步指出,这份长达 35 页的《安全战略》旨在“更好地保护网络空间,并确保美国处于最有利的地位,以实现数字未来的所有好处和潜力。”
《安全战略》认为,美国在网络空间分配角色、责任和资源的方式发生根本性转变,是新战略背后的推动力;并强调制定强制性的关键基础设施网络安全政策要求,政府须以协调的方式使用国家权力的所有工具来保护国家安全、公共安全和经济繁荣。
同时,该战略也是美国政府针对日益严峻的黑客攻击和数字犯罪,所提出的加强防御的最新举措,并且将我国和俄罗斯列为美国最突出的网络安全威胁,值得我们警醒。
五大支柱
为了重塑美国网络空间,该战略通过概述五个基本支柱来完成这项任务,这些支柱将导致加强美国境内的基础设施和与海外盟友的联系。
总体而言,该战略旨在重新平衡网络安全的责任,使其在政府、私营和公共部门之间平均分配,而不是严重依赖小公司和个人。
Quest Software 的首席解决方案顾问 Bryan Patton 表示,白宫新的国家网络安全政策为美国所有人提供了一个基础,以发展企业安全最佳实践并进一步提高网络弹性。而公共部门和私营部门之间的合作进一步放大了优势,涉及开发设计安全的软件,投资网络安全人才管道,为政府支持网络保险创建等。”
支柱1:保护关键基础设施
根据《安全战略》,首个支柱就是保护关键基础设施,这对美国的国家安全、公共安全和经济繁荣至关重要。为此,拜登计划将有助于制定和实施不同关键基础设施部门的法规,促进私人和公共伙伴关系,并加强已经建立的最佳实践。
身份安全管理公司Venafi的副总裁 Kevin Bocek 表示:“国家网络战略早该出台了,非常欢迎看到白宫领导层将网络安全视为本世纪世界自由和秩序的基本风险。”
此外,该计划将建立新的合作,旨在通过建立创新的安全能力、改进协调的事件响应以及在全国建立新的联邦网络安全中心来保护和保护国家的关键基础设施。
该目标的一部分是优先考虑联邦网络系统的现代化。美国管理和预算办公室(OMB)将与CISA合作制定一项行动计划,通过集体作战防御、扩大集中式共享服务的可用性和软件供应链风险缓解来确保联邦系统的安全,更换或更新无法抵御复杂网络威胁的IT和OT系统。
支柱2:打击和摧毁威胁行为体
知名安全专家Foster认为,《安全战略》的第二支柱——扰乱和消除威胁行为者,是“全面的整体网络战略的重要组成部分”。
在面对媒体时,他补充道,随着现代威胁行为者扩大他们的攻击活动并变得足够复杂以绕过传统的防御安全,追踪检测到的威胁就像在原地打转一样。网络犯罪分子只需稍有失误,便可乘虚而入。
该战略将利用所有途径:包括外交、军事、金融、情报和执法能力等,并再次促进联邦和非联邦合作,以保护公共和国家安全。Foster认为,优先破坏威胁行为者将我们的安全战略从被动转变为主动,这是美国人对网络安全整体看法的微妙而重要的变化。
同时,联邦政府将继续加强CISA与其它SRMA之间的协调,投资于SRMA能力的发展,并以其它方式使SRMA能够积极响应其行业关键基础设施所有者和运营商的需求。联邦政府将与工业界合作,逐个确定行业需求,并评估当前SRMA能力方面的差距。联邦政府在建设SRMA能力方面的投资将使关键基础设施的安全和弹性得到改善。SRMA将与CISA协调,以提高其主动应对行业需求的能力等。
值得一提的是,第二支柱将网络犯罪和勒索软件列为国家的主要目标,该目标将整合资源、新技术并开发快速通道,以支持在国家和全球所有部门之间即时共享有关威胁和受害者的信息。
鉴于勒索软件对关键基础设施服务的影响,美国将利用国家权力从以下四个方面应对威胁:(1)利用国际合作破坏勒索软件生态体系,孤立那些为罪犯提供安全避难所的国家;(2)调查勒索软件犯罪,利用执法部门和其它权力机构破坏勒索软件基础设施和行为体;(3)加强关键的基础设施弹性,以防御勒索软件攻击;(4)解决滥用虚拟货币进行勒索软件支付的问题。
但是,身份安全管理公司Venafi的副总裁Bocek依旧认为,即使是有联邦国家大力支持网络安全产业,企业依旧不能放松警惕:“我们不能自欺欺人,保护企业自身和客户的安全,依旧是重要任务,没有任何政府的力量可以让企业从网络攻击的漩涡中拯救出来,这是我们必要认清的现实。”
支柱3:塑造市场力量以推动安全性和弹性
《安全战略》第三个支柱是“塑造市场力量以推动安全性和弹性”,不仅会促进个人的数据隐私,还会推动企业承担开发安全软件、产品和服务的责任,这其中还包括当下及未来极为重要的物联网设备安全。
第三支柱还计划利用联邦采购机制来加强问责制度。CCFI将追究那些通过故意提供有缺陷的网络安全产品或服务,故意歪曲其网络安全实践或协议,或故意违反监控和报告网络事件和违规行为的义务而使美国信息或系统面临风险的实体或个人的责任。
同时还积极探索以联邦网络保险为后盾的新机制。当发生灾难性事件时,政府有责任在不确定的时期稳定经济并提供确定性。如果发生灾难性的网络事件,可以要求联邦政府稳定经济并帮助复苏。
Snyk 的首席执行官 Peter McKay 对此表示不认可,他认为这种类似对开发人员喊“集会口号”的安全形式,应该是企业在规则和处罚确定之前就需要解决的问题。
“Snyk 已经观察到,许多企业/组织从一开始或最初的代码行,就已经将安全软件最佳实践嵌入到他们的开发周期中。通过授权开发人员以无缝和负责任的方式,创建安全的应用程序来做到这一点。”
McKay进一步指出,通过将安全软件开发实践集成并自动化到开发人员的工作流程中,他们正在部署各种方法来查找、修复和补救预生产和生产应用程序中的漏洞,从而将开发人员、IT 和安全团队整合成一个团队。
但Strategic Security Solutions (S3) CTO Paul Kohler 认为,《安全战略》对网络安全产业实质性的影响有限。他认为,目前绝大多数的违规行为都与人为因素有关。
“很多安全问题是由凭证丢失、配置错误、未能遵循流程等人为因素引发,与产品缺陷没有直接关系。作为一个组织或个人,我不能将我的风险外包给另一个实体,因此很多知名科技公司已经在采取合理措施来保护他们的产品和服务。”
该观点获得了部分网络安全专家的同意,企业安全中的这些变化并不会因为新指令而改变。他认为建立高安全性,如建立强化客户或设备身份认证措施等,依旧是企业通往未来和成功的唯一途径。
“好消息是,部分领先的企业已经认识到这种需求,某些时候安全工程师最终决定不仅是他们自己企业的成败,还有其他企业的成败。”
支柱4:塑造市场力量以推动安全和弹性
《安全战略》第四个支柱是塑造市场力量以推动安全和弹性。未来我们需要建设安全和安全富有弹性的未来,将责任寄托在数字生态系统中,而这些生态体系最有能力降低风险。为了实现这一目标,那么需要引导市场进行长期投资,以减少系统性技术漏洞、增强安全弹性并培养强大的网络劳动力。
《安全战略》指出,这些投资将优先考虑下一代技术的网络安全研究和开发,并为人工智能和量子计算带来的技术面貌的革命性变化做准备。其中包括保护互联网的技术基础、重振联邦层面的网络安全研发、为后量子时代做好准备、清洁能源基础设施和数字身份解决方案等。
全球最大的量子计算公司 Quantinuum 首席法律顾问 Kaniah Konkoly-Thege 表示,“该战略是在拜登总统于 12 月签署的量子立法之后制定的,旨在帮助联邦机构主动转向后量子安全态势,优先在整个政府范围内采用后量子密码学标准”。
他认为,新的国家网络安全战略将进一步支持这些变化,并帮助联邦机构“加强抵御来自未来几代的更强大的量子计算机的网络攻击。联邦政府与量子相关的公告和要求的新形势也给许多供应商和政府承包商带来了紧迫感,因为那些不合规的人将在报告中被点名,并可能遭受声誉和经济后果。
“《安全战略》虽然没有深入探讨为后量子未来做准备的步骤,但 NIST 目前正在使用将于 2024 年发布的最终标准对这些算法进行标准化。”
支柱5:建立国际伙伴关系以实现共同目标
《安全战略》的第五支柱是建立国际伙伴关系以实现共同目标。该支柱更侧重于加强与美国盟友的关系,制定参数以定义全球范围内的正常网络行为,并建立让其他民族国家对危险行为负责的方法。
在这个支柱中,我国以及俄罗斯被重点提及,并污蔑我们有组织的网络犯罪活动,公开压制言论自由和其他基本人权等,显示出美国《安全战略》的极大全球化野心,值得我们警醒。
