本周,美国国土安全部 (DHS) 发布延迟多时的《网络安全战略》。国会曾要求在2017年3月发布,但它最终在2018年5月15日才现身。
五大内容七大目标
这份网络安全战略文档长达35页,目的是为“国土安全部提供未来五年执行网络安全责任的框架,通过减少漏洞和构建弹性的方式跟进不断演进的网络风险局势、应对网络空间的恶意者、响应安全事件并促使网络生态系统更加安全和更具弹性。”
DHS 发布的网络安全框架由五大部分组成,包含七个独立目标。这五大部分包括识别风险、减少漏洞(包括保护联邦系统和关键行业的双重目标)、积极降低风险、缓解后果(即改进事件响应)以及赋能网络安全结果。最后一部分是增强网络生态系统的安全性和可靠性以及改进活动管理。
DHS 部长 Kirstjen Nielsen 指出,“网络威胁局势实时不断变化,而我们已到达一个历史性转折点。目前,数字化安全已经和个人及物理安全融合在一起,而且很明显我们的网络竞争对手现在能够威胁到我们国家的核心安全。而这就是 DHS 为何通过采用更加综合的网络安全策略来重构其方法的原因。在安全泄露事件不断涌现的时代,我们思考的内容必须超越对具体资产的防御,应对影响从网络巨头到家庭的全方位系统风险。我们的战略勾勒了 DHS 如何在数字化战场上利用其独特能力防御美国网络的安全并走在新型网络威胁的前面。”
具体方法涉及少
然而,这五大内容以及七大目标有必要以非常基础的术语进行定义。它们定义了目标、子目标以及结果,不过对方法谈之甚少。例如,在谈到第一个目标(识别风险部分)评估不断演进的网络安全风险时指出,可通过和“利益相关者,包括具体行业机构、非联邦网络安全企业和其它联邦及费联邦实体协作,以正确理解国家网络安全风险态势、分析不断演进的相互依赖型和系统风险以及评估恶意者不断变化的技术”实现。
然而,无人能够预测、检测或阻止俄罗斯对2016年美国总统大选的干预或“想哭 (WannaCry)”和 NotPetya 攻击的爆发。这说明要实现真正的风险识别目的,除了加强机构间合作之外还需要应用新型方法。
第三部分降低风险以及第四个目标(阻止并摧毁犯罪分子对网络攻击的使用)也值得一提。战略写到,“我们将通过应对跨国犯罪组织和复杂的网络犯罪分子来降低网络威胁。”这里又涉及一个显而易见“如何做”的问题。战略还指出,“我们的执法管辖范围广”。但它并未抵达那些通常被认为是严重网络犯罪活动的主要发动者所在国家:俄罗斯、中国、伊朗和朝鲜。
确实,美国政府目前未能让俄罗斯将爱德华・斯诺登遣返回国,甚至未能在欧盟逮捕朱利安・阿桑奇。很难想象 DHS 如何能够在不使用新技术如基于“黑回去 (hacking back)”更加激进的积极防御手段阻止并摧毁高阶的国外网络犯罪分子。而战略文档中并未提及“积极防御”或“黑回去”的内容。
Virsec 公司的首席运营官 Ray DeMeo 也有同样的担忧。他指出,“网络安全是天然的全球问题,DHS 认识到需要‘国际努力的积极参与’这一点很好。但是,目前尚不清楚受国内管治的机构如何有效地在全球范围内参与。现实情况是大量互联网犯罪活动受国际‘西大荒’驱动,这些地方执法不严或受国家支持。这个问题既是技术问题也是外交问题。”
明确 DHS 的职责
瑕不掩瑜。这份网络安全文档作为正式的战略目标,涵盖了 DHS 在清晰目标下的整体责任:“到2023年止,国家安全部将通过提升政府网络和关键基础设施的安全性和弹性来改进国家网络安全风险管理;降低不合法的网络活动;改进对网络安全事件的响应;并通过统一的部门行动、强大的领导以及和其它联邦及非联邦实体的密切合作来构建更加安全更加可靠的网络生态系统。”
Demisto 公司的联合创始人 Rishi Bhargava 指出,“这份由 DHS 提出的战略非常全面且计划周密。‘缓解后果’部分包含响应计划协作是降低攻击损失的关键内容。任何战略在执行前都是好的。我很期待看到各个部门和政策机构的实际执行情况。”
提倡使用现有的网络安全框架
令人欣慰的是,DHS 并不计划开发自己的新框架,而是提倡使用现有的相关框架。文档指出,“DHS 必须积极推动应用可适用的网络安全最佳实践,包括国家标准与技术协会 (NIST) 颁布的《改进关键基础设施网络安全的框架》。”
然而,有点让人惊讶的是,虽然提到了 NIST,但并未提到 DMARC (Domain Message Authentication Reporting & Conformance,域消息认证报告和一致性)协议。2017年10月,DHS 发布具有法律约束力的业务指南,要求所有联邦机构开始使用 DMARC。截止2018年1月,据报道,约一半的机构已经执行 DMARC,不过仅达到最低要求。
行动最重要
批评一份高规格的战略文档很容易。魔鬼在细节。执行细节才能体现出战略的有效性。目前而言,这份文档是对统一并加强 DHS国内网络安全影响范围的重要方法。Cavirin 公司的工程副总裁 Brajesh Goyal 评论称,“DHS 在管理国家级别的网络安全风险上采用的方法很好地比对了组织机构管理自身网络态势所需要做的事情。其中一个比较好的框架就是 NIST 网络安全框架 (CSF)。它可被视作其它深入的安全行动的基石。”
DeMeo 解释称,“DHS 最终发布了网络安全战略这一行为起着重要作用。但它是高规格的。文档的大部分恩日欧冠呢都是合理的推荐内容。目前很重要的事情是践行战略内容。文档的其中一个指导原则是培育创新和敏捷性,这是一个很大的问题,现有的时间跨度必须从年减少到月。如果我们计划更改当前威胁局势的不对称性,我们需要加强和私营奇机构的协作,因为私营机构每天都在发生有意义的安全创新。”
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。