前情回顾·美国国家网络防御系统动态

安全内参7月24日消息,美国网络安全与基础设施安全局(CISA)能力建设副总监Michael Duffy撰文,介绍了近期持续诊断与缓解(CDM)系统成功响应两起高危险网络攻击事件,以及CDM系统近三年来取得的重大进展。

Michael表示,CDM系统实现了所有联邦民事机构网络风险态势实时收集,并接入联邦EDR系统,已实现对所有联邦基础设施的主机级可见性,可以在几分钟内确认风险、发布警报CDM不再局限于网络安全信息静态收集,而是升级为美国政府实现积极、协调和灵活的联邦企业网络防御的基石。以下为文章翻译。

最近几周,一家联邦机构发现了一次针对其网络的活跃漏洞利用攻击。该机构迅速与网络安全和基础设施安全局(CISA)团队分享了网络威胁情报,并迅速缓解了威胁。此外,CISA利用持续诊断与缓解(CDM)系统的联邦控制面板,快速检测到了联邦政府中与该攻击相关的其他几个易受攻击的系统。

CDM系统控制面板保证联邦机构基础设施具备主机级别可见性,在几分钟内,CISA得以确认潜在风险,向受影响机构发出警报,并积极跟踪缓解措施。

这些举措阻止了活动性攻击对各机构系统造成广泛危害,避免其影响美国人所依赖的基础服务。

CDM走入新时代

短短数年内,CDM的能力有了明显提升。此前,联邦民事行政部门(FCEB)运营者和CISA的合作伙伴缺乏足够的操作可见性,无法通过自动化方式与其他联邦机构共享有价值的情报,一切都是通过手动数据调用进行。所谓操作可见性,指准确了解环境中有哪些设备、软件和用户,在遭受攻击之前有效地减轻风险。

如今,由于CDM计划,机构和CISA可以通过专用的CDM机构控制面板和CISA的CDM联邦控制面板共享数据,从而相互协调、加快应对网络威胁。

CDM机构控制面板可视化展示了从部署在机构环境中的传感器和工具收集到的网络风险信息。每个机构控制面板都与CISA联邦控制面板共享数据,使得CISA能够综合了解联邦企业非机密域的动态状况,从而使联邦政府各机构的网络运营人员更有效地协作应对网络威胁。

发展目标:降低运营风险

过去三年里,CDM在联邦网络安全领域的影响范围、实施规模以及效果都有了巨大的提升。CDM控制面板不仅是衡量进展或可视化风险的工具——CISA网络防御运营人员越来越多地利用联邦控制面板协助应对安全事件,而机构网络领导者和从业人员也开始根据CDM不断更新的“当前状态”数据来制定操作和战略活动。

今年春天,联邦政府实现了一个重要的里程碑。所有23个首席财务官(CFO)法案机构,都通过他们的CDM机构控制面板持续与CISA共享网络风险信息。这种高频、准确、详尽的信息共享是CISA在整个联邦民事行政部门中实现操作可见性的一大原因。而这仅仅是个开始。

CDM不再是一个局限于机构能力标准化和网络安全信息收集的静态工具,而是美国政府实现积极、协调和灵活的联邦企业网络防御的基石。

本月,CISA基于CDM的能力对两起令人担忧的网络事件采取更广泛的响应措施。通过分析近乎实时收取的机构控制面板报告,CISA运营人员梳理大量针对MOVEit Transfer漏洞的通知,在几分钟内了解漏洞传播情况。与没有CDM控制面板时期相比,CISA取得了显著进步。

此外,针对最近广泛流行的电子邮件安全网关漏洞,CISA的威胁狩猎人员与受影响机构合作利用CDM端点检测与响应(EDR)平台,直接访问机构的网络环境,与机构工作人员携手搜索威胁活动实例。这展示了美国政府通过发展集体互动式网络防御姿态所获得的优势。

CDM近期的进化是多年来几起重大网络事件塑造的结果。因为这些事件,CDM系统获得了多样新权限,对集中服务的需求飙升,美国人民也在强烈呼吁加强政府数据保护。拜登政府的网络安全行政命令推动了大幅变革,提升了CISA对CDM控制面板详细数据的操作可见性,并推进了我们与机构的合作关系。我们的合作关系变得更加有效、更受重视、更为协调,促进了在所有联邦企业中识别、了解和降低风险的工作。

对于未来十年CDM将走向何方、CISA将如何推进网络防御以确保美国对网络威胁的弹性,后续安全内参将持续跟踪。

参考资料:https://www.cisa.gov/news-events/news/evolving-cdm-transform-government-cybersecurity-operations-and-enable-cisas-approach-interactive

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。