美国时间3月28日,白宫公布2023财年美国联邦政府预算提案,在总共5.8万亿美元的预算中,民事机构IT建设预算650亿美元,其中,包括约109亿美元的民事机构网络安全资金,用于包括联邦IT和国家最有价值的信息(包括美国公众个人信息),同比增长11%。
此外,美国国防部还申请了112亿美元的军事网络空间活动预算,以对抗恶意的网空行为体和网空行动。两项合计221亿美元,2020财年是174亿美元,2021财年是188亿美元,2022财年是201亿美元。
一、民事网安预算分析
2023财年,美国政府民事机构网络安全的预算比上一年增长了11%,创下近几年之最。
同时,民事网安预算占整个民事IT预算的比重达到了16.5%,总体呈上升趋势,并创历年新高。
下图展示了根据笔者自己收集的数据所作的统计。
二、预算大幅增长的原因
在其发布的网络安全预算专项分析报告中,白宫列举了近几年来颁布的重要法律法规,以支持该项预算大幅增长的原因。
这些法律法规包括:
2021年5月的14028号总统行政令《改善国家网络安全》。该行政令要求重视和改善政府和私营部门间的信息共享,以增强政府和私营部门的网络安全。同时要求采购相关软件,改进对联邦系统的网络威胁和漏洞的检测,并增强美国在针对网络安全事件的响应能力。该行政命令还提出了采用零信任原则作为实现联邦政府对系统和数据保护现代化的关键举措。
2022年1月,美国行政和预算管理局(OMB)通过了OMB备忘录M-22-09《推动美国政府实现零信任战略和行动计划》。该备忘录制定了一项多年度计划,要求在2024财年末达到特定的网络安全标准和目标。
OMB备忘录M-21-30为机构发布《通过加强安全措施保护关键软件的指南》。该指南要求机构清点关键软件,以确保软件供应链安全,并保护软件在机构运行环境中的使用。
OMB备忘录M-21-31《提升联邦政府应对网络安全事件时的调查和补救能力》,要求机构实施安全日志记录措施,以更好地了解潜在威胁,加快事件响应工作,以更有效地对联邦机构进行防护。
OMB备忘录M-22-01《通过EDR提升对联邦政府系统的网络安全漏洞与事件的检测》,要求机构对所有端点设备(电话、桌面PC、打印机、笔记本PC等)实现实时的持续监测与响应。
此外,预算还体现了供应链风险管理、加大网络安全劳动力建设等方面的努力。
三、民事网安预算组成分析
进一步分析民事网安预算的构成,如下表所示:
可以发现,2023财年,美国国土安全部(DHS)的网安预算高达26.2亿美元,位居所有民事政府机构之首(除DOD),占比为24%;其次是司法部(DOJ),网安预算为12.8亿美元。这两个部门网安预算高的关键原因是这笔预算不仅是用于自身的网安建设,更主要的是服务于整个国家,承担了美国民事网络安全防护的主要职责。
另据美国国土安全部公布的2023财年预算摘要,下属的CISA(网络安全与基础设施安全局)作为联邦政府掌握、管理和降低国家网络和物理基础设施风险的主责部门,提出了25.1亿美元的预算申请,其中,纯网络安全预算申请为15亿美元,占整个DHS的26亿美元网安预算的58%。
这15亿美元中的主要项目包括:
4.07亿美元用于NCPS(也叫爱因斯坦计划,相当于外网态势感知),与去年预算基本持平,累计已经投入32亿美元,其中运营与建设的比例升到了3.5:1,基本以运营为主了。值得一提的是,借助《美国救援法案》,CISA计划投入2100万美元对爱因斯坦计划进行扩展,让NCPS采集和分析新的数据集(譬如EDR、保护性DNS),并将其命名为MSEE(使命系统工程环境)。目前,NCPS的主要供应商是雷神和BAE。
4.25亿美元用于CDM计划(相当于内网态势感知),比去年增加了近1亿美元,里面包括了今年新增的针对联邦民事机构的高优先级主机和终端实施EDR项目的7300万美元。CDM累计已经投入15亿美元,2023财年的预算运营与建设比例在1:3.6,也就是说CDM主要处于建设阶段。此外,2023财年的CDM预算中,网络安全管理的预算(包括边界保护、安全运营等)达到了1.2亿美元,比去年增加了8000万美元。目前,CDM的主要供应商是BOOZ ALLEN HAMILTON,CGI和CACI。
1.47亿美元用于2021年8月新成立的JCDC(联合网络防卫协作组织),支持其制定面向公私实体的网络防卫计划。
威胁狩猎与安全事件响应的运营预算达到1.08亿美元,相较于去年增加了4400万美元。
新的SCuBA项目,预算2700万美元,包括开发eVRF(可扩展可见性参考框架)(譬如日志记录、SOC监测、审计优先级排序);设计安全云业务应用(Secure Cloud Business Applications)的政府运营技术参考架构与指南,以识别支撑安全运营(譬如威胁猎捕、事件响应、安全监测)的云监测能力。
另一方面,根据司法部的预算,将有12.8亿美元用于网络安全,再创新高;美国联邦调查局(FBI)和美国检察署都申请了专门的网络安全预算,以打击网络犯罪。其中,包括近1.5亿美元的网络计划用于加强对联邦机构的保护以免受网络威胁,识别网络攻击者并最终将其绳之以法。
如果将2023财年的民事网安预算映射到联邦政府采用的NIST的CSF(网络安全框架)的IPDRR五个部分,则分布如下:
四、军事网安预算分析
根据美国国防部(DOD)的预算概览,2023财年的网空战略目标是:提升联合部队的网络弹性,能够在争议环境(contested environment)下达成使命;通过实现零信任架构增强DoD自身的网络安全;保卫美国的关键基础设施,确保国防信息系统免受恶意网络攻击。
在2023财年,DOD申请的网空安全预算达到112亿美元,高于去年的103亿美元,增长了8.7%。同时,结合近7年的美国网安预算,可以发现,每年的美国整体网安预算中,军事网安预算始终高于民事网安预算。
这112亿美元的预算内容主要包括:实现跨军事部门和国防机构的零信任架构实战化(Operationalize),增强网络司令部(CYBERCOM)对网空计划与能力的采办角色,通过试点项目和服务增加对国防工业基础(DIB)的网络安全支持,将网络使命部队(CMF)从137支增加到142支(增加5支),为网络司令部从2024财年开始具有网络使命部队(CMF)的预算资源做好准备。
对此,国防部长评论道:“我们正在开发新的作战概念,将美国战争方式带入21世纪”。
目前,美国国防部尚未公布2023财年的IT预算,因此尚不能得知2023财年美国政府总的IT预算。
但根据2021财年的预算,2021财年总网安预算占总IT预算比重是20.4%,军事网安预算占军事IT预算比重是25.6%。根据2022财年的预算,总网安预算的IT预算占比约为20.8%。
鉴于这几年来民事网安预算总量和占比持续增长,笔者估计,2023财年军事网安预算的占比一定也是增长的,而总的的网安预算占总IT预算的比重应该超过20%。
关于作者
叶蓬,虎符智库专家、北京盛华安信息技术有限公司联合创始人、副总裁。具有20余年SIEM、安全管理(SOC)平台和态势感知领域从业经验,并对SOAR有较深入研究。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。