近日,美国总统拜登签发了业界期待已久的行政命令(EO),旨在采用“大胆的举措”提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的整体抵御能力。
总统令提出六大举措:
- 政策支持。拜登指出,渐进式的改进不会给我们提供所需的安全性;相反,联邦政府需要做出大胆的改变并进行大量投资,以捍卫支撑美国生活方式的重要机构。
- 消除威胁信息共享的障碍
- 联邦政府网络安全现代化
- 增强软件供应链安全
- 成立网络安全审查委员会
- 联邦政府网络安全事件预案标准化
拜登总统令强调了联邦政府网络安全现代化的关键举措和最佳安全实践:
- 迈向零信任架构。(政府部门)向云技术的迁移应在可行的情况下采用零信任架构。CISA应对其当前的网络安全计划,服务和功能进行现代化升级,使其能够在具有零信任架构的云计算环境中完全发挥作用;
- 云服务中静态和传输中的多因素身份验证和数据加密;
- 加快向安全云服务的转移,这些云服务包括软件即服务(SaaS)、基础架构即服务(IaaS)和平台即服务(PaaS);
- 集中和简化对网络安全数据的访问,以加强分析、识别和管理网络安全风险的能力;
- 在技术和人员进行投资以实现上述现代化目标。
尽管近年来每位美国总统都下达了加强国家网络安全的命令,但专家们认为,与以往的形式化总统命令相比,拜登的总统令更为详尽,而且成功的机会也更大。拜登的总统令选择了一个“绝佳”的时间点,数天前美国关键基础设施遭遇了前所未有的网络攻击,导致Colonial Pipeline输油管道中断,而余波未平的SolarWinds、Exchange Server网络攻击也都被看作是美国政府遭遇的最严重的网络攻击。
拜登总统行政命令的一大关键措施是强化供应链安全,要求所有联邦政府软件供应商都遵守有关网络安全的严格规则,否则有被列入黑名单的风险。最终,该总统命令计划创建一个“能源之星”标签,以便政府和公共购买者都可以快速轻松地查看软件是否遵循了安全开发规范。
其他措施还包括成立“空难调查式”网络安全安全审查委员会,该委员会将在重大事件发生后提出改进建议,以及针对政府事件响应的标准化手册。
总统令还给出以下方面的规定:政府范围内的端点检测和响应(EDR),改进的政府内部以及公共部门和私营部门之间的信息共享,以及联邦政府部门进行事件记录的要求,以加强调查和补救。
该行政命令受到了安全专家的欢迎。
Sonatype的首席技术官兼创始人Brian Fox认为,这将要求供应商和软件公司对他们的代码安全性承担更大的责任。
他补充说:“虽然不应该采取政府干预措施来使企业采取适当的软件安全措施,但拜登充分利用联邦政府的购买力来提高软件安全性,这是所有国家都可以借鉴并从中受益的。”
Illumio首席执行官Andrew Rubin也赞扬了拜登对分布式计算环境安全最佳实践零信任模型的支持。
他说:“拜登政府发布了一份全面的行政命令,最终承认了过时的联邦网络安全模型的失败,并揭开了新安全设计的第一个迭代——建立在零信任中的全新政府网络安全架构。”
“安全(过度)自信并不只是美国的问题,联邦的问题或政策问题,而是全球性问题。因此,我强烈支持这项行政命令。这是对全球政府采取行动的呼吁,我们需要改变保护自己的方式。有了这个新的行政命令、这个新的零信任蓝图,我们将朝着更安全的未来迈进。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】