美国总统拜登19日发布了一份国家安全备忘录(NSM),该备忘录致力于加强国家安全系统、国防部(DoD)和情报界的网络安全。备忘录是在去年的行政命令(EO)14028基础之上,进一改善和加强国家安全系统网络安全的重要举措。总体来看,该NSM将在强化NSA在网络安全工作上的指导地位、推动国家安全系统应用零信任、抗量子密码算法、跨域解决方案等新兴技术以及网络事件报告、网络威胁情报共享等方面发挥积极作用。
该备忘录有三个关注点。
一是明确了新兴网络安全技术落地应用的时间表和指南;比如推动各机构采用零信任架构,同时制定适当的实施计划、广泛的密码互操作性、最低安全标准和与云迁移和操作相关的控制,实施多因素身份验证和加密,并开发一个框架来协调和协作网络安全和事件响应活动。为机构提供了六个月的时间来识别任何不符合NSA批准的抗量子算法或CNSA(商用国家安全算法)的加密实例。要求机构保护跨域解决方案,包括在机密和非机密系统之间传输数据的工具。对手可以寻求利用这些工具来访问美国机密网络,而NSM会采取果断行动来减轻这种威胁。NSM要求机构清点他们的跨域解决方案,并指示NSA建立安全标准和测试要求,以更好地保护这些关键系统。
二是进一步强化了NSA在国家安全系统,即军方和情报界的网络安全方面的指导地位。各机构还必须识别其国家安全系统,并将其上发生的网络事件报告给国家安全局(NSA),NSA是美国政府机密系统的“国家经理”。该行动将提高政府识别、理解和减轻国家安全系统网络风险的能力。以这种身份,NSA还将制定具有约束力的行动指令,要求各机构针对已知或可疑的网络安全威胁和漏洞采取具体行动。该指令以DHS对民用政府网络具有约束力的运营指令授权为蓝本。
三是国家安全系统与政府民事机构之间的网络情报共享成为一个历久弥新的老大难问题。NSM指示NSA和DHS共享指令并相互学习,以确定一个机构指令中的任何要求是否应被另一个机构采用。各种层面的网络情报共享是一个长期以来的困扰,军方和情报界与民事机构的情报共享也不例外,也是最为政府和军方头痛的问题,也多次受到立法者的诟病。
NSM发布后,政府和网络安全行业对其反响不一。总体上看大部分还是支持的态度。不同意见者强调的是,不能因为是国家安全系统它就天然地比民用机构更安全,特别是这些军方和情报机构不能享有特权。
NSA局长/网络司令部司令中曾根
“作为国家密码领域的领导者,国家安全局将通过在NSS上使用的密码标准,在确保国家安全系统用户之间的密码互操作性方面发挥重要作用。”
“我们随时准备履行我们的角色和责任,保护我们的国家免受外国恶意行为者的侵害,以及任何利用我们国家安全系统的企图”
NSA网络安全主任兼国家安全系统副国家经理罗布.乔伊斯
NSM将为我们提供对我们最重要系统的必要网络安全可见性。
参议院情报特别委员会主席Mark R.Warner
“我为拜登总统签署这项旨在改善我国网络安全的命令而鼓掌。这份《国家安全备忘录》(National Security Memorandum, NSM)要求联邦机构报告网络犯罪分子和政府资助的黑客入侵其系统的行为。现在,国会是时候采取行动,通过两党立法,要求关键基础设施所有者和运营商在72小时内报告此类网络入侵。”
Tripwire战略副总裁Tim Erlin
该备忘录涉及去年行政命令的许多方面,包括推广零信任架构、实施加密和改进有关事件的数据共享。“备忘录是去年发布的行政命令的后续行动,表明政府对网络安全的坚定承诺仍在继续,” “它为美国国家安全局、国防部和情报界系统设定了一些额外的、更具体的最后期限。”
“普通人可能很难解析这里发生的事情,但这些类型的工件、备忘录和行政命令是有效实施广泛适用的政策变化的关键组成部分”
安全运营公司Arctic Wolf Networks Inc.安全服务副总裁Mark Manglicmot
“机构被要求识别其国家安全系统并向NSA报告涉及它们的网络事件,这与业界经常告诉客户的建议一致。”。“要捍卫某些东西,您需要拥有资产清单,以了解您最关键的系统和数据是什么。该指令规定了这种最佳实践。”
“拥有一个众所周知的标准设定了一个可以执行和改进的基线,”Manglicmot解释说。“测试是成熟安全计划的一部分,用于测试其有效性和技术控制。如果不进行测试,就不清楚这些控制措施的实施有多有效——更不用说随着威胁形势的发展如何改进它了。”
KnowBe4公司安全意识倡导者James McQuiggan
该命令缺少的一件事是围绕用户进行教育和在用户中建立稳固的安全文化。“当用户能够发现社会工程攻击,接受在网络或安全运营中心工作的必要培训并了解开发安全代码的重要性时,它可以增强组织或政府系统的弹性并显着降低网络攻击的风险”
Kudelski Security公司CEO安德鲁·霍华德
这些基线标准已经在政府的NIST 800-37风险管理框架下存在了很长一段时间,但除非计算机系统有重大的机密性、完整性或可用性问题,否则并不总是部署。在政府系统中更普遍地部署多因素身份验证和硬盘加密是一个谨慎的步骤。政府系统范围是巨大的,一个强大的基线是个好主意。”
Digital Shadows公司首席信息官兼战略副总裁Rick Holland
摧毁政府网络的SolarWinds入侵发生在2020年12月。拜登政府于2021年5月发布了14028号行政命令(改善国家网络安全),但我们现在才看到关于国家安全系统的指导意见。考虑到目前的威胁状况以及建立可防御的、有弹性的政府网络的紧迫性,我很惊讶这项指令花了这么长时间才出台。
读者不应想当然地认为,仅仅因为一个项目被指定为国家安全系统(NSS),它就会比非机密或私营部门的系统安全得多。“军用级别”并不总是更好或更安全的同义词。保护机密系统有许多我们都面临的挑战。备忘录强调了资产发现、日志记录、零信任、事件响应,这些都是普遍和长期的改进机会。
异常管理过程将决定该备忘录的成败。关于多因素身份验证和加密,有许多崇高的目标。如果一个机构不能满足时间表,他们可以请求例外。如何评估和验证这些异常至关重要;如果国家经理不挑战例外情况,让相关机构承担责任,这份备忘录的大部分内容将成为纸老虎。”
Netenrich公司的首席威胁狩猎专家John Bambenek
“这似乎是一个直接的指令,建立单独的权力和控制这类系统,这样一个人可以审核和负责保护它。这些系统包含了最敏感的信息,重要的是,当出现故障时,要有“一个咽喉来堵住”。
ThycoticCentrify公司首席安全科学家和CISO Joseph Carson
“现实情况是,网络攻击正在发生,我们必须迅速采取行动,以降低重大灾难发生的风险。拜登政府最近提出的倡议是伟大的,但是,我们必须优先考虑我们现在能做的和我们将来必须做的。我们必须加快对网络安全技术人员的教育,并迅速让他们进入该行业,因为技术短缺的情况只会越来越严重。网络安全不再只是一个行业问题。它可以影响整个社会,这意味着每个人都需要进行网络安全培训,以减少网络攻击的风险。网络安全不再仅仅是一条职业道路。这是当今数字社会的一项基本技能。”
Fortinet公司公共事务部CISOJim Richberg
“国家安全系统(NSS)经常被排除在总统关于网络安全的指示之外;他们有不同的关注点,由不同的法律机构管理。人们通常认为,因为这些数据处理的是国家安全数据,所以它们本质上更安全,受到的保护程度更高——或者至少是同等程度的保护。今天的国家安全备忘录(NSS)明确指出,EO14028规定的与非NSS政府网络相同的基本网络卫生要素也存在于国家安全网络中,以确保能力的互操作性。考虑到联邦机构面临的网络优先事项的数量,这是有用的。
你不能夸大保护自己不受无法察觉的威胁、无法预见的威胁或影响到你不知道自己拥有的资产的威胁的难度。该指令加强了国家安全局作为国家安全系统的国家管理者的职能,以统一这些重要系统及其支持的任务。它要求各机构创建并与国家安全局共享清单,并报告网络事件。它还允许国家安全局发布有约束力的行动指令(bod),要求服从国家安全局的机构采取指定的行动。这与国土安全部对非国家安全局民用网络的授权类似,确保整个政府对潜在威胁或漏洞采取行动。
底线:通过将重点放在NSS上,它阐明了保护级别和对这些关键系统的关注必须等于或超过非NSS联邦网络。此外,它还促进了识别和保护联邦网络免受各种威胁的互操作性和协作。”
Stairwell公司创始人兼首席执行官Mike Wiacek
“这份指南似乎有助于国家安全局在管理美国政府网络中的机密系统方面发挥作用,进一步推动各机构采用零信任原则,并帮助确保各机构在紧急情况下有全面的计划。”
虽然零信任为确保网络安全提供了关键原则,但一个重要的警告是,它并不总是能够防止漏洞(如Log4j)的利用。这将大大降低攻击者横向移动和转向其他系统的能力——给防守者更多的时间做出反应。”
参考资源
1、https://www.securityweek.com/industry-reactions-biden-cybersecurity-memo-feedback-friday
2、https://siliconangle.com/2022/01/19/biden-memorandum-sets-new-cybersecurity-requirements-national-security-systems/
3、https://industrialcyber.co/news/biden-administration-scales-up-efforts-to-safeguard-national-security-systems-dod-intelligence-community/
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。