各国政府正越来越多地关注网络安全,并积极出台各项应对网络威胁的举措。
如今,网络安全已经稳步上升至全球各国政府的重要议程。这也催生了各项旨在解决威胁个人和组织的网络安全问题的举措。Forrester的安全和风险分析师Steve Turner表示,政府主导的网络安全举措对于解决网络安全问题至关重要,例如破坏性攻击、大规模数据泄露、糟糕的安全态势以及对关键基础设施的攻击等等。这些举措为组织和消费者如何保护自身安全提供了统一指导;为缺乏知识和金钱手段保护自身安全的企业提供服务;对采取进攻性行动的民族国家网络间谍组织,以及最重要的是对重大网络事件的调查以及调查之后的关键信息共享,提供可以利用的立法手段。”
以下是2021年世界各国政府推出的一些最值得关注的网络安全举措:
美国国防部发布网络安全成熟度模型认证
2021年1月,美国国防部(DoD)发布了网络安全成熟度模型认证(CMMC),这是在整个国防工业基地(DIB)中实施网络安全的统一标准,其中包括供应链中的300,000多家公司。 CMMC审查并结合了各种网络安全标准和最佳实践,映射了从基本到高级网络卫生的多个成熟度级别的控制和流程。参考整合的各类网络安全标准包括:
- NIST SP 800-171
- NIST SP 800-171B
- NIST SP 800-53
- NIST CSF V1.1
- CERT RMM V1.2
- CIS Controls
- ISO 270001和ISO 27032
- AIA NAS9933
其他成熟的网络安全最佳实践体系(UK NCSC、AU ACSC、FAR等)。
CMMC是建立在现有法规(DFARS 252.204-7012)基础上的,2015年,美国国防部发布了《国防采办联邦法规补充》(称为DFARS),该法规要求私人DoD承包商根据NIST SP 800-171网络安全框架采用网络安全标准,旨在保护美国国防供应链免受国内外网络威胁,并降低该部门的整体安全风险。
不过,由于DFARS 252.204-7012法规的采用速度过慢,实际效果无法满足国家级网络防护的需求,所以国防部又发布了CMMC。除了评估企业实施网络安全控制措施的成熟度外,CMMC还将更广泛地衡量企业的网络安全实践及安全运营过程制度化的成熟度,以确保适当水平的网络安全控制和流程得当并已部署就位,更好地保护DoD承包商系统上的受控未分类信息(CUI)。
Mandelbaum Salsburg P.C.的CIO Tom Brennan表示,CMMC可能是美国2021年最重要的政府网络安全计划。长期以来,国防部一直告诫DIB承包商必须遵守NIST标准,但与此特定控制相关的认证、执法或审计为0,结局可谓一败涂地。CMMC不同,它涉及法律评估,可以从安全角度测试政府承包商是否符合CMMC 1、2、3、4 或5级(取决于项目所需的成熟度级别),如果他们不符合CMMC要求,就无法拿到合同。
如今,CMMC也越来越受到网络安全行业的关注,因为许多审计公司和服务提供商意识到这是一个“摇钱树”。
西班牙政府向网络安全行业投入4.5亿欧元,开设黑客学院
2021年4月,西班牙数字化和人工智能国务秘书Carme Artigas透露,西班牙政府将在三年内投资超过4.5亿欧元,以促进该国的网络安全行业发展。此外,该国政府还将为14岁及以上的西班牙居民开设在线黑客学院,以培训和吸引人才。该培训计划于5月3日至6月25日以在线形式运行,吸引了数百名参与者参加网络安全挑战。
国家网络安全研究所(INCIBE)将负责监督这项网络安全支出的新战略计划,大力吸引人才、加强个人、中小企业和专业人士的网络安全以及巩固西班牙作为国际网络安全中心的地位。
美国政府宣布雄心勃勃的网络安全行政命令
2021年5月,拜登政府宣布了一项大胆的网络安全行政命令,以制定“改善国家网络安全和保护联邦政府网络的新路线”。该文件是在发生SolarWinds和Microsoft重大供应链攻击以及Colonial Pipeline勒索软件攻击事件之后发布的。
该行政命令旨在最大限度地减少此类事件的频率和影响,并提出了一系列加强联邦机构内部网络安全的建议,包括:
- 消除政府和私营部门之间威胁信息共享的障碍;
- 在联邦政府中实现现代化并实施更严格的网络安全标准;
- 提高软件供应链安全性;
- 建立网络安全审查委员会;
- 提高围绕网络安全事件的检测、调查和补救能力;
- 该网络安全行政命令迅速要求各机构通过引入零信任架构、增强技术采购、开发软件物料清单(SBOM)要求、迁移至云等手段来实现安全态势现代化。这将对其他国家和组织产生广泛的下游影响,因为它将迫使许多与政府存在业务往来的供应商和企业采取特定的安全措施,并拥有其他组织能够掌握的特定数据。
澳大利亚政府推出关键基础设施提升计划
2021年5月,澳大利亚政府推出了关键基础设施提升计划(CI-UP),以识别和解决关键基础设施中的漏洞,通过评估现有安全计划和实施建议的风险缓解策略,帮助提供商提高网络安全成熟度。模块化网络安全计划面向作为ACSC合作伙伴的关键基础设施实体开放,旨在:
- 结合网络安全能力和成熟度模型(C2M2)以及Essential 8成熟度模型,评估具有国家意义的关键基础设施和系统的网络安全成熟度;
- 提供优先的脆弱性和风险缓解策略;
- 协助合作伙伴实施建议的风险缓解策略;
- 随着针对电网和管道等关键基础设施的攻击日益增多,这项计划的出台可谓意义重大,可以帮助实体快速提高安全态势。
美国立法者提出美国网络安全素养法案
2021年6月,众议院两党议员提出了一项关于《美国网络安全素养法案》的提案,这是一项旨在提高美国互联网用户的网络安全意识和数据安全认知的新立法。该法案目前正在接受众议院能源和商务委员会的审查,该法案规定美国在促进网络安全素养方面具有国家安全和经济利益,并规定通信和信息部助理部长应制定和开展网络安全素养最佳实践活动,以降低网络安全风险。
事实证明,网络攻击的威胁以及采取高效应对措施的必要性是美国政府获得两党一致认同的少数问题之一。《美国网络安全素养法案》对提高美国公众认知的关注是正确的。很多时候,我们个人面临的威胁与公司面临的威胁是相同的或衍生的。员工个人设备上收到的商业电子邮件妥协(BEC)攻击数量便证实了这一点。如今,工作和生活之间的界限已经愈发模糊,这也导致针对个人的威胁很可能会危及整个企业。
基于身份的攻击是美国企业和个人最常见的攻击类型之一,并且有充分的理由证明——破坏合法身份是绕过个人及其公司实施的安全保护措施的有效方法。因此,令人振奋的是,《美国网络安全素养法案》如果获得通过,将重点关注网络钓鱼的威胁以及每个人都需要尽可能启用和使用多因素身份验证(MFA)。
法国政府发布网络攻击警报系统
2021年7月,法国政府为中小企业启动了新的预警系统,旨在发生网络攻击时为其提供支持,告知企业应对事件应采取的行动。
根据政府新闻稿介绍,当检测到对中小型公司特别重要的漏洞或攻击行为时,国家受害者援助系统和国家安全局(ANSSI)会向企业领导者发布简短易懂的通知。法国政府认为,信息速度和立即采取行动的能力将使公司能够更好地保护自己,从而限制网络攻击对法国经济结构的影响。
英国国防部完成首个漏洞赏金计划
2021年8月,英国国防部(MoD)宣布完成其首个漏洞赏金计划。它与HackerOne合作,邀请道德黑客参加为期30天的挑战,允许他们直接访问其内部系统以调查和识别其数字资产中需要修复的漏洞。该计划旨在帮助国防部更好地保护和捍卫其网络系统和750,000台设备,遵循英国政府的新网络战略(于3月发布),以增强该国在日益数字化的世界中的网络实力。
在项目结束时,英国国防部CISO Christine Maxwell表示,国防部已采用透明设计的安全策略,这是确定开发过程中需要改进的领域不可或缺的一部分。她表示,对我们来说,继续突破数字和网络发展的界限以吸引具有技能、精力和信誉的人员,这一点很重要。与道德黑客社区合作使我们能够建立自己的技术人才平台,并带来更多样化的观点来保护和捍卫我们的资产。了解我们的漏洞所在并与更广泛的道德黑客社区合作来识别和修复它们,是降低网络风险和提高弹性的关键步骤。
同月,国防部还呼吁初创公司设计新一代安全硬件和软件,以帮助军方减少其网络攻击面,待遇是一份为期9个月价值30万英镑的合同。
意大利政府成立国家网络安全机构
2021年8月,意大利议会批准了政府“建立一个新的网络安全机构以打击针对国家的网络攻击”的计划,这是该国创建安全、统一的云基础设施的宏大战略的一部分。意大利政府6月首次宣布,Agenzia per la Cybersicurezza Nazionale(ACN)最初将由300名员工组成,目标是到2027年发展壮大至1,000名员工。它将由信息安全部(DIS)副局长Roberto Baldini负责领导。其需要实现的各种目标包括,在网络安全领域行使国家权力机构的职能,发展国家预防、监测、检测和缓解能力以应对网络安全事件和网络攻击,并为提高信息和通信技术系统的安全性做出贡献。
Blackberry欧洲、中东和非洲地区副总裁Adam Bangle表示,意大利政府新的国家网络安全雄心成功与否将取决于它能否实现关键目标。他说,首先是安全标准化问题。建立安全标准和安全软件开发原则,在整个系统中实行零信任,并确保实施和执行每个安全协议以避免边界防御中的任何盲点,应该成为任何国家网络战略的组成部分。其次,也是最重要的一点,他们必须对网络安全采取主动、基于预防的安全态势。
英国政府启动Cyber Runway业务增长计划
2021年8月,英国政府公布了旨在促进英国网络安全部门增长的Cyber Runway项目。Cyber Runway将助推全国各地的企业家和企业获得商业培训指导、产品开发支持、社交活动以及支持国际贸易和安全投资,从而将他们的想法转化为商业实践。
英国数字基础设施部长Matt Warman表示,该项目将解决增长障碍,增加投资,并为企业提供重要支持,从而将其业务提升到一个新的水平。此外,该计划还将支持来自不同背景的创始人和创新者,主要针对英国网络领域代表性不足的群体,例如女性以及来自黑人、亚洲和少数族裔背景的人等。
Cyber Runway项目的目标是在六个月内支持160家公司,由数字、文化、媒体和体育部(DCMS)资助,并得到CyLon、德勤和安全信息技术中心(CSIT)的支持。如今,英国的网络安全生态系统正处于发展的关键时刻。疫情大流行带来了新的挑战和新的机遇,Cyber Runway项目将支持英国的创新者开发关键的安全技术,以保护其数字经济的未来。
本文翻译自:https://www.csoonline.com/article/3630632/9-notable-government-cybersecurity-initiatives-of-2021.html如若转载,请注明原文地址。