拜登总统于本周签署“改变游戏规则”的立法,要求关键基础设施实体和联邦机构必须在72 小时内向网络安全和基础设施安全局(CISA)报告重大网络事件,并在 24 小时内向 CISA 报告勒索软件攻击。
美国众议院通过了 2022 年关键基础设施网络事件报告法案的关键条款,该法案要求关键基础设施运营部门在遭到黑客攻击或向威胁行为者支付赎金时向政府发出警报。这是众议院周三通过的 1.5 万亿美元综合支出法案的一部分,该法案为联邦政府提供了今年剩余时间的资金。该法案中包含的事件报告条款是更广泛的加强美国网络安全法案的一部分,去年未能成为法律,但于 3 月1 日在参议院一致通过。拜登总统于本周签署。
该立法是在勒索软件攻击和其他关键基础设施组织面临的网络威胁激增的情况下起草的,而当前的俄罗斯-乌克兰冲突加剧了这一威胁。
除了阻止组织进行勒索软件付款外,这些措施还旨在为网络攻击和威胁参与者计划提供更多情报。反过来,这将有助于司法部(DoJ) 和 FBI 等联邦机构之间的信息共享,帮助确保有一种标准化的方法来处理关键基础设施网络攻击。
新的报告要求将适用于属于 CISA 定义的 16 个美国关键基础设施部门的组织。这些公司必须报告“重大”网络事件,例如对操作系统或流程的安全性和弹性造成危险或扰乱商业或工业运营的事件。
72 小时报告事件,24 小时报告赎金支付
法案中包含的事件报告要求要求关键基础设施实体和联邦机构在涵盖实体合理认为涵盖的网络事件发生后 72 小时内向 DHS 的网络安全和基础设施安全局 (CISA) 报告重大网络事件和勒索软件付款。如果他们进行勒索软件付款,则在 24 小时内发生。值得注意的是,综合法案中的勒索软件支付报告要求“即使勒索软件攻击不是符合报告要求的涵盖网络事件,也应适用。”未报告事件或勒索软件付款的关键基础设施组织和联邦机构将收到 CISA 主任的传票,CISA 主任将能够将此事提交给司法部长,以便在美国地方法院提起民事诉讼 执行传票。法院可以惩罚不遵守作为藐视法庭发出的传票的行为。
CISA 还可以以匿名方式提供事件报告,并采取防御措施将其传播给适当的利益相关者,包括部门协调委员会、信息共享和分析组织、州、地方、部落和地区政府、技术提供商、网络安全和网络事件响应公司和安全研究人员,视情况而定。
勒索软件试点计划
CISA 还需要建立一个勒索软件漏洞警告试点计划,“以利用现有的权威和技术来开发流程和程序,并投入资源来识别包含与常见勒索软件攻击相关的安全漏洞的信息系统,并通知 那些易受攻击系统的安全漏洞的所有者。” 该试点计划将识别勒索软件攻击和缓解技术中最常见的安全漏洞,并使用现有权限来识别包含安全漏洞的信息系统。该试点计划定于颁布之日起四年后终止。
协调打击勒索软件攻击活动的工作组
在颁布后的 180 天内,该法案还要求 CISA 局长与国家网络局长、司法部长和联邦调查局 (FBI) 局长协商,建立并主持一个联合勒索软件工作组,包括联邦机构参与者,以协调正在进行的针对勒索软件攻击的全国性运动,并确定和寻求国际合作的机会。
该工作组将优先考虑情报驱动的行动,以破坏特定的勒索软件参与者,与私人、地方政府和国际利益相关者协商以确定需求,并建立向联合勒索软件工作组提供意见的机制。
CISA主导,但 FBI 被排除在外
毫不奇怪,CISA 主任 Jen Easterly 称赞报告任务是保护国家免受网络威胁的过期手段。 Easterly 和 CISA 长期以来一直抱怨缺乏事件报告要求使联邦政府对网络威胁和事件一无所知。
然而,副总检察长丽莎摩纳哥最近表示,该立法将使该国“不那么安全”,联邦调查局局长克里斯托弗雷表示,它存在“严重缺陷”,因为它将联邦调查局从事件报告链中剔除,使该局失去能力 打击网络犯罪团伙。
在本月早些时候的众议院情报委员会听证会上,Wray 说:“我们在现场有特工,他们通常在一个小时左右的时间内对一家受到打击且每年发生数千次的企业做出回应,所以我们需要以确保信息流受到保护。” 拜登政府站在 CISA 一边,白宫国家网络主管 Chris Inglis 支持该法案,但没有做出任何反映 FBI 担忧的改变。1.5 万亿美元的支出计划为 CISA 拨款 25.9 亿美元,比拜登政府在其预算提案中要求的多 3 亿美元。
官员们的普遍反应积极
其他政府官员对众议院通过该法案的反应是积极的。众议院国土安全委员会的两党领导人在一份新闻稿中表示:“要求所有者和运营商向 CISA 报告重大网络事件和勒索软件攻击将意味着联邦政府的可见性更高,恶意网络活动的更早中断,以及更好的信息和威胁 情报返回到私营部门,因此他们可以防御未来的攻击。该法案中提供的权限和资源不能很快到来,因为 CISA 致力于在不断变化的地缘政治环境中应对迅速演变的网络威胁。” 美国参议员马克·华纳(Mark Warner)和蒂姆·凯恩(Tim Kaine)(均为 D-VA)赞扬了综合法案的通过,并指出华纳是 2022 年加强美国网络安全法案的发起人之一,该法案包含了事件报告措施。22 年 3 月 11 日参议院批准了综合法案,拜登总统已经签署。
CISA 主任 Jen Easterly 在评论新法律时说:“作为国家的网络防御机构,CISA 对网络事件报告立法的通过表示赞赏。由于我们在国会的许多合作伙伴的支持,CISA 将拥有我们需要的数据和可见性,以帮助更好地保护全国的关键基础设施和企业免受网络攻击的破坏性影响。
“CISA 将利用我们私营部门合作伙伴的这些报告,就我们的对手如何针对美国网络和关键基础设施建立共识。这些信息将填补关键信息空白,使我们能够快速部署资源并向遭受攻击的受害者提供援助,分析跨部门传入的报告以发现趋势,并快速与网络防御者共享该信息以警告其他潜在受害者。CISA 致力于与我们的行业和联邦政府合作伙伴以透明的方式合作,以提高我们国家网络和关键基础设施的安全性和弹性。
“坦率地说,这项立法改变了游戏规则。今天标志着我们国家的集体网络安全向前迈出了关键一步。”
该法案是拜登政府发布的最新联邦网络安全倡议,于 2021 年初上任。其他包括旨在提高供应链安全、事件检测和响应以及对威胁的整体弹性的行政命令,以及创建勒索软件任务 由司法部强制执行。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。