近日,美国网络安全和基础设施安全局(CISA)发布《2024-2026财年网络安全战略计划》。该计划旨在进一步落实2023年3月发布的《国家网络安全战略》。具体包括:“解决眼前的威胁”,将与合作伙伴合作,围绕针对美国的入侵、破坏威胁行为者的活动开展行动;“加固地形”,将促进、支持和衡量采用强有力的安全和韧性实践方案,显著降低破坏性入侵的可能性;“大规模推动安全”,将以网络安全作为一个基本安全问题优先考虑推动产品设计。CISA表示,在该计划中制定了近30项有效措施。
《2023年美国国家网络安全战略》概述了网络安全的新愿景,一个以协作、创新和问责为基础的愿景。网络安全战略计划概述了三个持久目标:
目标1:应对直接威胁。使对手越来越难以通过攻击美国和盟国网络来实现其目标。与合作伙伴合作,了解针对我国的入侵活动的范围,挫败威胁行为者的活动,确保在入侵发生时迅速驱逐对手,并加速缓解对手经常利用的可利用条件。
目标2:加固地形。促进、支持和衡量安全和恢复能力方面的有力实践的采用情况,以显著降低破坏性入侵的可能性。我们将提供可操作和可用的指导和方向,帮助各组织优先考虑最有效的安全投资,并利用可扩展的评估来评估各组织、关键基础设施部门和国家的进展情况。
目标3:推动安全规模化。推动把网络安全作为一个基本的安全问题放在首位,并要求技术提供商在产品的整个生命周期中建立安全机制,在产品出厂时提供安全默认设置,并提高其安全实践的透明度,以便客户清楚地了解使用每件产品所承担的风险。
战略意图
根据《2023年国家网络安全战略》和《2023-2025财年CISA战略计划》,本计划介绍了执行网络安全任务和提高网络安全能力的方法。在CISA内部,该计划将作为实施、资源和运营规划的基石,并通过年度运营计划进一步执行。在外部,该计划将帮助利益相关方了解并参与长期网络安全规划和优先排序。在实施战略计划的过程中,威胁和技术环境的变化可能要求定期重新评估战略优先事项。
在实施战略计划的过程中,威胁和技术环境的变化可能要求我们定期重新评估战略优先事项。但是,努力实现的基本安全转变,以及本计划所确定的长期投资将持续下去。
CISA的网络安全方法以五项基本原则为基础:
网络安全是CISA的整体任务:虽然网络安全部门提供独特的技术专长,并执行该机构的许多核心网络安全授权,但CISA的每个组织、每个团队、每个人都为网络安全任务做出了贡献,有时通过非数字手段可以最有效地应对网络安全风险,例如投资于各种条件下的功能恢复能力。特别是,不断壮大的地区团队对实现向我国每个角落的组织提供反应迅速、可操作的援助这一目标至关重要。
网络安全是政府的一项整体任务:在美国政府内部,CISA发挥着独特的作用,这种作用有赖于与机构间合作伙伴的密切合作。与联邦调查局、国家安全局、美国网络司令部和部门风险管理机构等机构保持着宝贵的业务合作关系,并与国家网络总监办公室、管理和预算办公室以及国家安全委员会密切协调,共同推进国家优先事项和战略要务。必须继续将这些合作伙伴关系制度化,使其能够持久存在,并消除任何可能被对手利用的凝聚力缺口。
网络安全是整个国家的使命:面临的网络安全挑战的广度超出了任何一个组织的能力。作为一个共同体,努力建立一种模式,在这种模式中,合作是默认的应对措施,有关恶意活动(包括入侵)的信息被假定为共同利益所必需,并在行业和政府之间紧急共享,政府和行业在对等的透明度和价值期望下开展合作。
优先考虑资源:与任何组织一样,CISA的资源是有限的,必须优先考虑我们的行动,以实现对美国人民的最大影响。把活动重点放在四大类利益相关者上:(1)联邦文职行政部门机构,在这些机构中拥有独特的权力和能力;(2)目标丰富、资源匮乏的实体,这些实体最需要联邦的援助和支持,包括SLTT合作伙伴和我们国家的选举基础设施;(3)对提供或维持国家关键职能具有独特关键作用的组织,利用我们国家风险管理中心的分析能力;以及(4)有能力和知名度的技术和网络安全公司,包括工业控制系统和操作技术社区,以推动大规模安全;
影响或者失败:面临的网络安全风险过高,美国人民期望 CISA在推动积极变革方面发挥核心作用。
CISA网络安全目标
网络安全战略计划包括将通过年度运营计划执行的目标和相关目的,为每个CISA组织分配了关键里程碑和指标的责任。重要的是,我们的三个目标并不是孤立的,如下所示:
图2 . CISA 网络安全战略计划目标
目标1:当前和新出现威胁的了解,优先投资于最有效降低风险的安全控制、产品属性和服务;
目标2:提供指导和服务,帮助企业优先降低企业风险的过程中,更清晰地界定哪些风险可以通过更安全的产品最有效地解决;
目标3:随着在整个产品生命周期内提高安全性,迫使威胁方采用更耗时、更昂贵的策略,从而降低攻击的发生率。
图3. CISA 网络安全战略计划概览
应对直接威胁所做的工作,使得能够优先投资于最有效降低风险的安全控制、措施和能力。反过来,提供帮助企业降低企业风险的指导和服务时,能够更清晰地定义安全可靠的技术产品的属性。最后,随着在整个产品生命周期内提高安全性,迫使威胁方采取更耗时、更昂贵的策略,从而降低攻击的发生率。
目标1:应对直接威胁
必须通过领导以速度和规模为基础的全国性努力,增加入侵者的成本,并加大对恶意活动的打击力度:当对手入侵美国网络时,要迅速发现并在破坏发生之前将其驱逐;当出现可被利用的情况时,同样要在入侵发生之前发现并采取补救措施。没有一个组织能够单独实现这一目标。任何一个组织都无法单独实现这一目标。领导全国性的集体防御努力,与联邦政府机构、SLTT政府、私营部门、安全社区、国际盟友及其他各方并肩合作,使美国网络成为对手的一个具有挑战性且代价高昂的目标。
目标1.1 提高网络安全威胁的可视性和缓解能力、网络安全威胁和活动的能力
如今,包括CISA在内的网络安全社区,对网络安全入侵和对手活动缺乏必要广度和深度的可见性。必须具备快速检测对手活动的能力,并实现快速驱逐,使恶意行为者无法获得他们经常寻求的持久访问权,无论是在企业内部还是在云中。通过一切可用手段实现这种可视性:通过自己的传感器和能力;利用商业和公共数据来源;与私营部门、政府机构和国际盟友合作。必须通过最先进的工具、现代化的分析基础设施、值得信赖的合作伙伴关系以及世界上最优秀的分析人员队伍来提高行动可见性。所有这些数据都必须在整个CISA中无缝集成,并以机器可读的方式与政府、私营部门和国际合作伙伴快速实时共享,为操作人员提供准确、可操作的信息。
措施
通过建立联盟,利用所有能力以及网络,来衡量对关键基础设施和政府网络的威胁活动的可视性的广度。
标准
利用不断提高的能见度,跟踪在减少影响关键基础设施和政府网络的事件数量和影响方面取得的进展,以及对手在每起事件中的停留时间。对手在每个事件中的停留时间。
缩短侦测时间:减少发现影响联邦机构和关键基础设施合作伙伴;
缩短修复时间:缩短对已识别入侵威胁的修复时间;
减少事件影响:影响 CISA 利益相关者。
目标1.2协调披露、查找和推动协调关键漏洞和可利用漏洞的披露
建立新型模式,解决关键基础设施和政府网络中普遍存在的漏洞和安全薄弱环节。虽然这方面的许多进展必须通过部署在设计和默认情况下安全可靠的技术来推动,但也将采取近期措施,通过提供关于优先缓解措施的权威指导、在国内网络中查找可利用的漏洞,以及利用一切可能的手段广泛宣传和推动补救措施,来减少可利用漏洞的普遍性。必须持续了解我国关键基础设施和政府网络中存在的漏洞,以便在入侵发生前更及时地进行修复。
同时鼓励、促进和支持安全研究界和产品安全团队,以确保在对手利用漏洞造成危害之前发现并修复漏洞。在对手利用漏洞造成危害之前发现并修复漏洞。未经协调或过早披露重大漏洞,会导致政府和经济各部门的威胁行为者有机可乘。为此,我们将与供应商、集成商、系统所有者、安全研究界和其他重要合作伙伴密切合作,鼓励识别和报告以前未知的漏洞,实现及时、协调的漏洞披露。和协调的漏洞披露,并在发生破坏之前推动。
措施
1.通过自身的能力或合作伙伴的能力,衡量对关键基础设施和政府网络中的漏洞,特别是已知被对手利用的漏洞的可见性的广度;
2.我们将通过扩大对协调漏洞披露工作的参与,增强与研究界和私营部门的信任与合作。
标准
1.缩短关键基础设施和政府网络已知漏洞的修复时间;
2.提高被评估组织采纳CISA漏洞和风险评估建议的百分比,被评估机构采纳的脆弱性和风险评估建议的百分比增加;
3.减少未经适当协调或未提供必要缓解措施而披露的漏洞数量;
4.减少在没有适当协调或提供必要缓解措施的情况下披露的漏洞数量。
目标1.3 规划、演练和执行联合网络防御行动,协调应对重大网络安全事件
任何一个组织都无法有效地管理、了解和应对我国面临的各种网络事件和威胁。通过联合网络防御协作组织和不断扩大的地区团队,充当整合者和力量倍增器,将政府、私营部门和国际合作伙伴聚集在一起,以显著降低网络风险。投资于持久的合作,这种合作的定义是对透明度和价值的相互期望,并最大限度地减少摩擦,以实现规模化和数据驱动的分析。制定、演练和执行网络防御计划,以便有效应对紧急威胁,同时继续关注需要持续投资的长期风险。
为了最有效地实现协作和规划能力,更新、演练、执行和维护《国家网络事件应对计划》(NCIRP),以确保有效协调和利用国家的广泛能力,减少网络事件的影响。
措施
1.扩大持久合作模式的广度和深度;
2.增加网络防御计划的数量,并使每项计划与公私营机构确定的优先级风险。
标准
1.通过长期合作渠道分享的独特、及时和相关信息的数量增加;
2.行业和政府合作伙伴通过的网络防御计划中编入的具体行动增加
3.增加事件发生后的行动报告,以证明网络防御计划中制定的行动减少了负面结果。
目标2:加固地形
从联邦文职行政部门开始,必须改变全国各地的风险管理和安全投资决策的平衡。通过提供明确的、可操作的指导,通过使用所有可用的杠杆来影响组织领导人的风险决策,通过提供一流的服务,帮助“目标丰富,资源贫乏”实体解决差距的安全计划,并通过不断测量美国网络安全的状态了解领域需要重点和投资。
目标2.1 了解攻击原理,以及应对措施
CISA必须通过首先了解攻击是如何发生的,来告知、指导和推动采用最具影响力的网络安 全措施,不仅是最初的访问,而是攻击者如何利用不安全的技术产品网络和不充分的安 全控制来实现其目标。基于这种理解在各种来源,包括能见度联邦民事行政部门系统,合作伙伴的可见性对关键基础设施系统的看法,研究社区的见解和事件报告自愿性和强制性报告下网络事件报告2022年关键基础设施法案(CIRCIA)在未来几年。重点了解攻击者取得的成功如何因部门或组织概况而不同,以及这些差异是否是由CISA和合作伙伴可以帮助纠正的资源、信息或专业知识等因素造成的。这些知识是主动推动支持安全决策的先决条件,并为各级政府和整个私营部门所作出的安全决策提供信息和提供依据。
措施
将发展强大的能力,以分析有关网络安全入侵和对手调整的信息,并深入了解哪些安全措施在限制影响和伤害方面最有效或可能最有效。
标准
增加CISA的指导和指令中直接基于显示对手如何成功执行入侵和最有效的缓解措施的特定数据的建议的百分比。
目标2.2 推动实施有效网络安全投资
必须提供及时、准确、可操作和可实现的指导,帮助组织优先考虑控制和缓解措施的投资,以解决攻击是如何发生的以及对手是如何演变的。对于联邦文职行政分支机构,将充分行使指令权力,以推动实现一个共同的安全基准,并执行机构改进计划,以解决量身定制的差距。将确保指导在不断变化的技术环境中保持相关性,特别是确保云计算资源的安全采用。对于全国各地的组织,提供支持谨慎投资的指导 ,包括默认的机器可读的技术信息。这些努力的核心是网络安全绩效目标(CPGs),它可以帮助关键的基础设施和其他实体做出风险管理决策,以实现高优先级的安全结果,并考虑对国家的总体风险。将与政府和行业的各种合作伙伴合作,促进采用,并采取措施调整激励措施,解决限制进一步进展的限制。
措施
制定能直接应对入侵发生方式和对手适应方式的指南,并推动对最具影响力的安全措施进行投资,包括定期更新跨部门网络安全绩效目标,合作制定特定部门的网络安全绩效目标,以及利用具有约束力的业务和紧急指令,推动对最具影响力的措施进行紧急投资。
标准
1.各关键基础设施部门的组织有效采用的网络安全绩效目标的平均数量增加;
2.在可能的情况下,减少已采纳较多网络安全绩效目标的组织中已确认的有影响事件;
3.采用CISA指令中适用要求的联邦经济竞争委员会以外的组织数量增加;
4.提高联邦经济竞争委员会机构采用CISA 指令要求的百分比。
目标2.3 提供网络安全能力和服务,填补空白协助衡量进展
国家受益于网络安全能力和服务的强大商业市场,CISA不能也不会试图取代或重复这一市场。相反,CISA将在三种情况下提供现代网络安全能力和服务:(1)针对联邦文职行政部门机构,授权和资源使其能够提供集中和共享的服务,从而提供必要的可见性、快速降低风险并显著节约成本;(2)针对目标丰富/资源贫乏的组织,有限的资源和对手的持续关注为其提供了必要的可见性、快速降低风险并显著节约成本。(3)衡量美国网络安全状况和相关趋势,这对于指导可操作和有影响力的信息共享、指导和方向是必要的。
在第一种情况下,这将包括继续扩大持续诊断和缓解计划并使其现代化,该计划现在可为几乎所有联邦文职行政部门机构提供非凡的可视性,并可实现主机级持续狩猎和响应;还包括我们的网络安全共享服务办公室,该办公室提供从保护性DNS解决到漏洞披露的不断扩大的商业服务组合。在第二种情况下,将提供网络安全评估,并在授权允许的情况下提供共享服务,以弥补已确定的能力差距,供合作伙伴使用,必要时引导目标丰富/资源匮乏的实体转向其他提供商,同时受益于区域团队所提供的关系和规模。
在最后一个类别中,利用商业攻击面管理和类似能力,帮助合作伙伴识别被利用或可被利用的情况,并更好地了解全国的安全趋势。在所有情况下,都将更倾向于利用商业工具和服务;只有在商业市场不存在可行的能力时,我们才会考虑开发内部能力。在设计能力和服务时,把可扩展性作为重中之重,充分利用地区网络安全人员的广度和能力。
能力和服务在设计时将把可扩展性作为重中之重,充分利用地区网络安全人才队伍的广度和能力,并注重为每个参与合作伙伴提供可衡量的价值。这些能力将以现代化的分析基础设施为基础,通过我们的网络分析和数据系统(CADS)为自己的操作人员执行,并扩展到联合协作环境(JCE),以纳入来自政府和私营部门合作伙伴的数据和分析。
措施
扩大网络安全能力和服务,并使之现代化,以覆盖更多的合作伙伴,应对更全面的风险。
衡量标准
为每项能力和服务定义有效性衡量标准,其中包括:
1.保护性DNS 服务:阻止的恶意域名请求数量;
2.持续诊断和缓解:已实现关键漏洞和资产管理流程完全自动化,并能报告修复时间、扫描频率和扫描质量等高级测量结果的机构的百分比增长;
3.攻击面管理:所有参与机构的漏洞发生率和修复时间的下降百分比,以及所有部门的可见性的增加百分比;
4.漏洞披露平台:通过漏洞披露平台:在对手利用之前,通过机构漏洞披露平台发现的漏洞数量增加;
5.DotGov 计划:更多符合条件的组织加入 DotGov;
6.CyberSentry:在参与实体识别之前由 CyberSentry能力检测到的潜在威胁数量。
目标3 推动安全规模化
作为一个社会,不能再接受这样一种模式,即每种技术产品在发布的那一刻就存在漏洞,而绝大多数的安全责任都由各个组织和用户承担。技术在设计、开发和测试时,应尽量减少可利用缺陷的数量,然后再推向市场。将网络安全视为一个安全问题,并要求更多网络空间中最有能力、最有条件的参与者,技术提供商,在产品的整个生命周期中建立安全机制,以安全的默认设置提供产品,并在软件、硬件、系统和供应链中存在已知弱点时提高透明度。供应链中存在的已知弱点时,应提高透明度。即使在面对不安全技术产品的挑战时,也必须确保未来比现在更安全,包括通过展望未来,降低采用人工智能(AI)和量子计算带来的风险。
目标3.1 推动开发值得信赖的技术产品
与政府和行业内志同道合的组织合作,推动技术产品在销售前必须保证安全。首先专注于定义技术产品安全和可靠的含义,合作制定指南和技术标准,帮助客户选择安全的产品,帮助制造商提供相应的产品,并帮助制造商提供相应的产品。技术制造商需要优先考虑需要改进的领域,因此将采用数据驱动的方法来确定 那些能降低最大风险和应对整类攻击的做法,如使用内存安全编码语言。采取措施提高透明度,包括采用软件材料清单和严格的漏洞披露实践。在保持自愿、信任的合作模式的同时,努力确保监管机构和其他具有强制权力的政府实体利用与共同开发的技术上可靠、有效的做法,在理想情况下,实现美国和全球监管制度的协调统一。
措施
制定并定期更新标准和做法,以开发和维护在设计和默认情况下都是安全的产品,并与合作伙伴合作,评估技术产品在多大程度上采用了这些明确界定的做法。
目标3.2 了解并降低新兴技术原次生风险
当前的技术环境带来了各种网络安全挑战:广泛使用不再受供应商支持的产品 广泛使用已不再受供应商支持的产品、复杂的网络架构为对手制造空隙、资源有限的组织无法部署,复杂的网络架构给对手制造了可乘之机,资源有限的组织无法部署现代安全控制现代安全控制。未来人工智能和与密码分析相关的量子计算机(CRQCs)将从根本上改变保护关键数据和系统免受网络安全威胁的方式。通力合作,确保工作受益于对新兴技术负责任的使用,从而帮助新兴技术的开发者保护其系统和数据免遭恶意使用。
措施
提供指导和支持,帮助各组织了解、利用和减少恶意使用人工智能、CRQC和其他新兴技术带来的危害。
标准
增加指南的发布和采用,以便:
1 .帮助组织安全地使用人工智能来推进网络安全;
2 .以NIST的人工智能风险管理框架为基础,保护人工智能系统免受恶意操纵或滥用;
3 .保护关键基础设施组织免受恶意人工智能系统的攻击;
4 .发布对关键基础设施中潜在密码漏洞的评估,尤其关注ICS/ OT 系统;
5 .随着可验证的量子安全产品进入市场,增加具有系统重要性的实体和FCEB机构向量子安全加密技术的迁移。
目标3.3 建立国家网络人才队伍
国家仍然面临着交叉差距的挑战:许多网络安全职位缺乏合格的候选人,网络安全工作队伍严重缺乏多样性。解决这些差距仍然是全国各地网络安全团队面临的挑战,在许多方面对国家安全构成风险。国家网络总监办公室(ONCD)密切合作,实施国家网络安全人才队伍和教育战略。我们将寻找机会,加强国家网络和网络相关人员队伍重点是确保当前的网络安全人员队伍拥有应对不断变化的风险和威胁环境所需的技能,并扩大未来人员队伍的培养渠道。
措施
投资于支持《国家网络安全人才战略》的计划和倡议,这些计划和倡议既要支持当前的网络安全人才队伍应对当前的挑战,又要帮助建立一支深厚和多元化的未来人才队伍。
标准
1 .接受由CISA 提供或资助的课程培训的网络安全学生人数增加;
2.由CISA 提供或资助的针对代表性不足人群的网络安全课程的百分比增加;
3.获得培训和资源以提供网络安全培训的组织数量增加;
结论
未来三年将为CISA和国家网络安全指明新的方向。鉴于国家、企业和社区面临着难以承受的网络风险。希望与合作伙伴一起,将2023 年视为国家网络安全风险的轨迹开始向好的方向转变。通过实施这一战略,将首先集中力量和精力,确保核心网络安全职能得到最有效的执行。必须做好基础工作。优化网络防御行动,以识别、预防和解决严重的威胁和漏洞,并更快地缓解事件。提供创新的共享服务,直接应对风险,并提供可操作的实用指导,帮助防御者优先投资,以应对最有可能和影响最大的威胁。未来将有目的地设计、构建、测试和维护技术,以便在将其推向市场供广泛使用之前,大幅减少可被利用的漏洞。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。