去年12月,SolarWinds大规模供应链攻击被曝光,美国政府正在考虑修改网络安全领域的游戏规则。
路透社披露,现任总统组建的美国政府正在酝酿中的一项总统行政命令草案中要求软件公司向政府披露所遭受的任何安全问题。
美国国家安全委员会发言人对媒体表示:“联邦政府需要能够及早地介入调查,及时地进行修复,保护美国人民免受威胁的侵害”。在提及SolarWinds事件时,发言人指出:“简而言之,我们无法应对未知的问题”。
攻击者利用植入恶意代码的产品更新向众多受害者部署了名为Sunburst的后门,攻击者利用的产品是SolarWinds的Orion网络管理平台。从去年3月开始,Sunburst后门被下发到全球18000个组织,直到12月才被发现。借助Sunburst后门,攻击者在大规模的受害者中选择高价值目标进行渗透,对美国9个政府机构产生了致命威胁,甚至包括微软这样的高科技公司。
据路透社报道,该草案要求政府使用的所有软件都需要列出一份完整的清单,详细解释所有软件和代码的来源,包括所有的开源代码和合作方的代码。此外,草案还将强制要求联邦机构使用多因子认证和数据加密。
该草案还要求,供应商要保留数字痕迹记录,便于协助FBI和网络安全与基础设施安全局(CISA)一起进行事件响应。草案还将致力于创建一个网络安全事件响应委员会,该委员会将承担信息共享的责任。委员会由联邦政府的代表、网络安全研究员与供应商组成,也会建立激励和责任机制来鼓励大家的参与。
美国国家安全委员会发言人表示,该行政命令草案可能会在下周尽快签署发布,但到目前为止还没有最终敲定。
参考来源:ThreatPOST