2021年5月12日,美国总统拜登签署《关于加强国家网络安全的行政命令》(以下简称“行政命令”),旨在采用大胆举措提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的整体抵御能力。该行政命令承认美国需要彻底改变其处理网络安全和保护国家基础设施的方式,对网络事件的预防、检测、评估和补救是国家和经济安全的首要任务和必要条件,也是拜登政府网络安全政策的当前核心。同时明确指出联邦政府必须以身作则,所有联邦信息系统应达到或超过该命令规定和发布的网络安全标准和要求。

一、《行政命令》的出台背景

该《行政命令》的出台是美国政府对近期发生的SolarWinds供应链攻击、微软Exchange漏洞攻击,以及Colonial Pipeline输油管道等一连串备受瞩目的重大网络安全事件的响应,这些事件使美震惊地发现,其公共和私营部门实体越来越多地面临来自国家行为者和网络犯罪的持续且日益复杂的恶意网络攻击。这些事件也充分暴露了美网络安全防御能力的严重不足。在签署该《行政命令》之前,拜登政府以及国会已拨款10亿美元,用于改善联邦政府的IT基础架构并使其现代化。该《行政命令》充分体现了拜登政府试图采取关键步骤来解决美在上述事件中所暴露出的安全问题的决心,明确指出需要做出大胆改变并进行大量投资,为联邦政府提出一系列全面行动,以改善并捍卫支撑美国重要机构以及国家网络的网络安全性。

二、《行政命令》的主要内容

该《行政命令》是美国政府为实现国家网络防御现代化而采取的众多雄心勃勃措施中的第一步。长达34页的行政命令涵盖了许多网络安全问题,其重点内容主要包括如下七个方面:

(一)消除共享威胁信息的障碍

《行政命令》要求消除政府和私营部门之间共享威胁信息的障碍。行政命令确保信息技术服务提供商能够与政府共享信息,并要求他们共享某些违规信息。信息技术提供商通常会犹豫不决,或者无法主动分享受损信息。有时这可能是由于合同义务;在其他情况下,提供商可能只是不愿意分享他们自己的安全漏洞信息。消除任何合同障碍,要求提供商共享可能影响政府网络的违规信息,对于联邦部门实现更有效的防御以及提高整个国家的网络安全是必要的。

(二)联邦政府网络安全现代化

为适应当今动态和日益复杂的网络威胁环境,联邦政府必须采取果断措施,使其网络安全方法现代化,包括提高联邦政府对威胁的可视性,同时保护隐私和公民自由。为此,要求在联邦政府中更新和实施更强的网络安全标准。该《行政命令》有助于推动联邦政府保护云服务和零信任架构,并要求在特定时间段内部署多因素身份验证和加密。过时的安全模型和未加密的数据导致公共和私营部门的系统遭到破坏。联邦政府必须走在前面,并提高其对安全最佳实践的采用,包括采用零信任安全模型,加快向安全云服务的转移,并始终如一地部署多因素身份验证和加密等基础安全工具。

(三)提高软件供应链的安全性

当前商业软件的开发缺乏透明性,不关注抵抗攻击的能力,以及防止恶意行为者篡改的能力。因此,迫切需要实施更加严格的机制,以确保产品的安全运行。“关键软件”的安全性和完整性是一个特别需要关注的问题。“关键软件”指的是执行关键功能的软件。因此,联邦政府必须要采取行动,迅速提高软件供应链的安全性和完整性,并优先解决关键软件问题。该行政命令将为出售给政府的软件开发建立基线安全标准来提高软件的安全性,包括要求开发人员保持对其软件的更大可见性,并公开安全数据,且建立了一个并行的公私合作过程来开发新的和创新的方法来保护软件开发,并利用联邦政府的购买力来推动市场从头开始将安全性构建到所有软件中。

(四)建立网络安全审查委员会

该《行政命令》设立了一个由政府和私营部门领导共同主持的网络安全审查委员会,该委员会负责审查和评估影响联邦信息系统或非联邦系统的重大网络事件、威胁活动、漏洞、修复活动和机构响应。委员会成员包括联邦官员和私营企业的代表,具体包括国防部、司法部、CISA、NSA和FBI的代表,以及国土安全部长确定的适当私营网络安全或软件供应商的代表。当审查中的事件涉及国土安全部部长确定的FCEB信息系统时,OMB代表也应参加委员会活动。国土安全部部长可根据审查事件的性质和具体情况邀请其他人参与。

(五)使《联邦政府应对网络安全漏洞和事件的行动手册》标准化

该《行政命令》为联邦部门和机构的网络事件响应创建了标准行动手册。最近的事件表明,用于识别、补救和恢复网络安全漏洞和事件响应程序因机构而异,阻碍了牵头机构更全面地分析各机构的漏洞和事件的能力。该行动手册将确保所有联邦机构达到一定的门槛,并准备采取统一的步骤来识别和减轻威胁。标准化响应过程确保了网络安全漏洞和事件应急响应更协调和集中化记录,可以帮助机构进行更加成功的应急响应。该标准行动手册应包含所有对应的NIST标准;可以被所有联邦文职行政部门(FCEB)使用;在事件响应的所有阶段阐明进度和完成情况,同时允许一定的灵活性,以便用于支持各类应急响应活动。

(六)加强联邦政府网络中网络安全漏洞的检测能力

联邦政府应动用一切适当资源和权力,最大限度地及早发现其网络中的网络安全漏洞和事件。联邦文职行政部门(FCEB)应部署端点检测和响应(EDR)计划,以支持在联邦政府基础设施内的网络安全事件主动检测、主动网络扫描、遏制和修复以及事件响应。联邦政府应在网络安全方面发挥领导作用,而强大的政府范围端点检测和响应部署以及强大的政府内部信息共享至关重要。

(七)提高联邦政府的调查和补救能力

该《行政命令》认为联邦信息系统的网络和系统日志信息对调查和补救而言都是无价的。各机构及其IT服务提供商必须收集和维护此类数据,并在处理FCEB信息系统上的网络事件时,根据适用法律,要求通过基础设施安全局(CISA)向国土安全部和联邦调查局提供这些数据。

三、几点思考

(一)美国缺少“吹哨人”, 鼓励勇做并保护“吹哨人”

该行政命令强烈要求消除信息障碍,致力于解决美国政府与私营部门之间长期存在的信息共享问题,从合同入手,要求消除当前禁止联邦机构和私营部门共享威胁情报和其他与网络安全相关的信息的合同障碍。应该说,SolarWinds供应链事件,给美国所有科技公司和政府机构狠狠上了一课。为深刻反思该事件,美国国会曾连开两场听证会来复盘。会中,最早发现入侵证据的火眼(FireEye)公司CEO 提出了灵魂反问:“我们美国的吹哨人呢?”在SolarWinds攻击事件发生时,美国各大科技公司并没有第一时间预警响应、互通信息,而是开始了“花式拉踩”。

公司间的“花式拉踩”让国会开始反思,为什么不共享威胁情报呢?如果在事件发生时有“吹哨人”对入侵第一时间做出反应,各公司互通持有的情报,应能更早查明原因,缩小影响范围,甚至提前防范。美国认为必须要有一种机制,让感应到攻击的“吹哨人”能迅速共享情报和数据,以保护国家和行业。吹哨人有义务将威胁情报分享给政府机构,同时必须保护吹哨人,使其无畏于各种阻碍和披露。这样才能快速掌握情报,并展开调查。因此,不难理解为什么该行政命令将消除威胁政府与私营部门之间信息共享的障碍放在首位。后续美国很可能还要更新2015年的《网络安全信息共享法案》,促进各部门和科技企业之间的信息流通,以便对入侵事件做出快速反应,同时鼓励勇做“吹哨人”,保护“吹哨人”。

(二)零信任是当务之急,未来将成为美国政府新的网络架构

该行政命令要求联邦机构创建“零信任”环境,要求政府部门向云技术的迁移应在可行的情况下采用零信任架构。零信任架构已成为美国防部寻求的更先进的网络安全架构,并将零信任视为网络安全的未来。紧随该行政命令,2021年5月28日美政府发布《2022财年预算案》,要求拨款6.15亿美元用于与零信任网络安全架构相关的工作。

当前,零信任已成为美国政府及企业的焦点:

(1)美国国防部首席信息官表示零信任作为一种网络安全和技术模型,代表了美国防部思维方式的转变,是一个战略问题。为此,美国防部2021年将推出零信任战略,并已开始进行零信任网络的几个试点项目,以及开始实施新的企业ICAM工具以支持零信任。

(2)美国土安全部以迁移到“云优先”身份来实现零信任。

(3)美国国防信息系统局 (DISA) 为国防部发布零信任参考架构,DISA 的163页参考架构列出了国防部大规模采用零信任的战略目的、原则、相关标准和其他技术细节,零信任从基于网络的防御转变为以数据为中心的模型,并且不授予隐含的信任用户以防止潜在的恶意行为者在网络中移动。

(4)美空军开发了跨部门零信任的成熟度模型,该模型将帮助整个空军的网络管理员和IT专业人员使其架构符合零信任。该模型突出了流程的关键要素,例如确保正确的数据标记和访问管理。空军还在研究企业身份、凭证和访问管理 (ICAM) 认证,以便能够更安全地识别用户。

(5)美国国家标准与技术研究院(NIST)推出特别出版物800-207零信任架构。

(6)零信任产品在2021年5月17日召开的RSA大会上也成为业界关注的焦点,其中IBM、微软、黑莓、One Identity、CrowdStrike等都展示了其零信任蓝图、方案及产品。种种举措和行动表明,零信任未来将成为美国政府新的网络架构。

(三)推出迄今为止为保护软件供应链安全而采取的最强劲措施

该行政命令明确提出要增强美国联邦政府的软件供应链安全,要求向美国联邦政府出售软件的任何企业,不仅要提供软件本身,还必须提供软件物料清单(SBOM),明确该软件的组成成分。要求所有联邦政府软件供应商都遵守有关网络安全的严格规则,否则有被列入黑名单的风险。最终,该总统命令计划创建一个“能源之星”标签,以便政府和公共购买者都可以快速轻松地查看软件是否遵循了安全开发规范。同时要求NIST在6个月内发布软件供应链安全指南,并在1年内发布最终指南。

SolarWinds供应链黑客攻击事件大大突破了当今美国顶级安全公司及政府机构所具有的防御能力,对美国供应链和关键基础设施安全防御体系富有极大的冲击性,充分暴露了美国网络防御能力建设的相对滞后乃至不足。因此,该行政命令彰显了美国致力于保护软件供应链安全的决心和强劲措施,并且首次引入“关键软件”概念,侧重于网络安全影响,主要是与系统特权或直接访问网络、计算机资源相关的软件,将供应链安全问题深化和细化,关切点正在聚焦到特定IT产品和服务。反观我国,当前在软件供应链安全方面的基础比较薄弱,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力,整体提升软件供应链安全管理的水平。

(四)行政命令的具体政策如何落地成为美网络安全行业讨论的焦点

近期美国各大主要媒体均刊登了美国网络安全业内专家对该行政命令的一些看法。总体上持欢迎态度,但对具体政策的落地效果持保留意见。美国参议院情报委员会主席认为:“这项行政命令是迈出良好的第一步,但行政命令只能走得那么远。”信息技术产业委员会主席兼首席执行官说:“我们赞赏在此行政命令中对公私合作的关注,以及为使联邦信息系统,网络和供应链现代化和简化而采取的有意义的步骤。”Tenable公司CEO认为:“虽然很高兴看到网络安全在拜登总统的政策倡议中发挥了突出的作用,但现在必须把注意力集中在该行政命令的可操作性上。”埃森哲安全事业部高级董事总经理认为:“有了这一行政命令,政府和企业可以针对出现的威胁做出更快、更明智的决策。明天,艰苦的工作就开始了。” BlueVoyant全球专业服务负责人认为:“尽管该命令突出了我们国家安全中的许多弱点,但它实在是太冗长了,而且提出的行动通常是无法实现的。例如,情报信息共享已经讨论了多年,但我们还没有看到一个真正可行的计划产生结果。投资的回报率是多少?”

大部分专家认为该行政命令的范围很广,而且美国政府制定的时间表也很激进,下一步如何实施、贯彻以及执行将是绝对关键。美国政府必须改善与行业合作的方式,各机构还需检查其是否有足够财力和人力来执行该行政命令的任务,同时代理商可能需要根据该行政命令制定新的法规,私营科技公司还必须做出重大改变以满足联邦政府的要求等,这些还需要白宫进一步采取行动,包括美国土安全部预计将在未来几个月内根据行政命令制定新的立法。

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。