近日,美国网络安全和基础设施安全局与联邦民事行政部门联合制定《联邦民事行政部门运营网络安全协调计划》,旨在提供企业运营网络安全的标准、基本组件,并协调整个联邦企业的集体运营防御能力。FOCAL计划并非旨在提供机构或CISA 必须完成的全面或详尽的清单。相反,它旨在将资源集中在实质性推进运营网络安全改进和协调目标的行动上。
1. 导言
联邦文职行政部门(FCEB)由各机构组成,这些机构都肩负着独特的使命。所有机构都独立建立了网络和系统架构,以代表美国人民推进其重要工作。这种独立性导致了若干结果,这些结果成为制定联邦文职行政部门网络安全运行调整(FOCAL)计划的背景。各机构在管理网络风险的有效性方面存在很大差异,这意味着联邦经济竞争委员会的所有机构都没有统一或一致的基线安全态势。这些不同的方法并不是为了共同应对当前网络威胁环境的动态性、数字生态系统的复杂性和技术现代化的步伐而设计的。因此,尽管为适应和防范网络攻击做出了协调一致的努力,但联邦欧洲安全委员会仍然很脆弱。
尽管风险的管理最好是在尽可能低的层面上进行,但在各机构组成部分和机构间实现企业运营网络安全基本组成部分的标准化,现在比以往任何时候都更加重要。要充分降低100多个联邦经济竞争委员会机构所面临的风险,并应对政府服务和数据所面临的动态网络威胁,就必须进行集体业务防御。CISA的 FCEB操作网络安全调整(FOCAL)计划概述了各机构如何通过采用从预防到事件检测和响应的一系列行之有效的做法来实现这一目标,并确定了整个联邦企业的集体安全目标。
近年来,联邦政府的行政命令、政策和指令推动了联邦机构在网络安全方面的重大改进,以应对这种动态的威胁环境。随着管理与预算办公室(OMB)和国家网络总监办公室(ONCD)继续制定国家网络安全政策并设定联邦网络安全的战略预期,网络安全和基础设施安全局(CISA)成为业务牵头机构,确保企业具备满足这些预期的必要能力。
1.1 调整联邦企业
FOCAL计划是一份战略文件,其中包括联邦网络安全的广泛组织概念,以及一份战术文件,提供了各机构可在明年采取的具体可行步骤,以改善其网络安全态势。该计划确定了需要标准化和一致性的领域(优先领域),使联邦企业的网络防御设备能够在稳定状态下运行,并在紧急情况下需要采取机构间行动时促进快速反应。
FOCAL计划无意提供一份全面或详尽的清单,列出机构或CISA 必须完成的所有工作。该计划旨在将资源集中用于那些能实质性推动网络安全改进和协调目标的行动。
表1:FOCAL计划术语和定义
加强CISA 和 FCEB机构之间的协调将对现实世界产生影响,并将形成应对动态威胁环境的行动。这一共同旅程的最终目标是在整个联邦企业中实现更同步、更强大的网络防御,加强沟通,提高灵活性和应变能力,从而使政府企业更具凝聚力,能够抵御不断变化的网络威胁。
1.1.1 FOCAL 计划概述
本计划分为五个优先领域,CISA认为这五个优先领域对于整个联邦网络安全领域的工作定位至关重要,并与各机构的《联邦信息安全现代化法案》指标和报告要求相一致。
图 1:五个FOCAL 优先领域
2. 优先领域 1:资产管理
充分了解网络环境,包括操作环境和相互关联的资产,是联邦企业的基础。各机构必须对每项资产进行适当的说明和管理,以抵御来自对手的复杂攻击或确定不安全软件产品带来的局部风险。在当前的威胁环境中,这种操作可见性水平至关重要。
对于大型企业来说,实现全面的资产可视性并实现资产目录的持续自动更新可能具有挑战性,但管理网络安全风险需要采取这一关键步骤,以全面了解企业的数字足迹。全企业范围的资产管理可直接实现有针对性的漏洞和事件响应,促进快速识别和集体行动,并支持CISA、机构、同级机构或其他关键利益相关者之间的按需协调。
持续诊断和缓解(CDM)能力和机构计划的最新进展极大地改善了联邦网络安全的集体态势。随着我们将工作重点从网络风险治理扩展到互动网络操作,利用CDM获取和维护主机级可视性,并利用这些信息推动战略和战术讨论,所有机构都必须集中精力,调整工作,以实现这些目标。
2022年 10 月,CISA发布了具有约束力的操作指令(BOD) 23-01,以规范联邦政府加强机构资产和相关漏洞持续可见性的方法。该BOD 强化了资产管理的重要性,并明确了各机构应如何全面参与CDM 计划的预期。虽然CISA 的 CDM计划一直是联邦机构资产管理的关键推动因素,但BOD 中概述的要求可作为任何组织的蓝图。优先领域1:资产管理的基础是各机构在BOD 23-01 发布后开展的工作所取得的成功,以及对几个零日漏洞的响应。
2.1 协调目标:提高业务能见度
CISA致力于提高网络运行的可视性,推动及时降低风险。提高资产和漏洞的可视性将提高CISA 和各机构检测、预防和应对网络安全事件的能力。这些都是管理网络安全风险的关键步骤。
为实现调整目标2.1,各机构应完成这些基础活动:
建立使用自动更新的中央硬件和软件库存数据库。
建立自动资产发现系统,至少每七天进行一次资产发现扫描。
记录资产覆盖范围和能力差距,以及解决这些问题的策略。
3. 优先领域2:漏洞管理
多年来,机构企业的构成不断演变,特别是随着攻击面的扩大和复杂化。漏洞管理的关键之一是在自己的环境中获得并保持主动性。要做到这一点,就必须采用可持续和前瞻性的方法,先发制人地降低风险,而不是依赖于源源不断的警报和建议,采取被动应对的姿态。
无论是在整个FCEB还是在单个机构层面,应对脆弱性都必须成为一项战略要务。及时、协调和集体的网络响应对网络安全至关重要,只有通过标准的漏洞管理程序和明确的预期才能实现。
联邦政府的网络漏洞管理能力已逐步成熟。其中包括保护高价值资产安全的具体要求(BOD 18-02)、修复可上网系统的漏洞(BOD 19-02)、建立漏洞披露计划(BOD 20-01)、管理已知漏洞被利用的高风险(BOD 22-01),以及投资于定期资产和漏洞扫描(BOD 23-01)。
CISA认识到,要调整整个联邦企业的漏洞管理活动,还有很多工作要做。改进整个FCEB 的漏洞管理将更及时、更有效地减少漏洞,并使CISA 更好地了解整个联邦的攻击面,从而在发现漏洞时做出更敏捷、更协调的反应。
3.1 调整目标:管理互联网可访问资产的攻击面
通过了解对手可能利用的未经授权访问其系统或网络的入口点、漏洞和薄弱环节的总数,各机构可以降低其攻击面的风险。可通过互联网访问的资产由于暴露程度更高,因此尤其值得关注。
为实现协调目标3.1,各机构应完成以下基本活动:
定期对所有资产进行全面认证的漏洞扫描。
利用内部能力、指令要求和 CISA 网络安全建议,对漏洞进行优先排序,更及时地缓解关键漏洞。
建立流程和程序,在规定时限内确定并优先修复漏洞。
4. 优先领域3:可防御的架构
随着联邦机构技术的现代化,保持每个新组件与现有系统无缝运行的重要性可能会带来新的网络安全挑战。因此,各机构必须有意识地建立一个可防御的架构。
可防御架构的目标是恢复能力。可防御架构在设计时认识到安全事故不可避免,因此不会仅仅依靠检测事故来减少其危害。相反,在设计网络和系统时要采取适当的控制措施,以限制对手访问敏感数据或破坏运营的能力,即使在成功入侵部分基础设施后也是如此。零信任(ZT)是构建更具防御性架构的关键部分。
从CISA 的角度来看,要使架构具有可防御性,它必须:
拥有成熟的企业级身份管理解决方案,使网络安全专业人员能够了解谁是用户以及他们应该访问哪些资源。
通过基于主机或网络的分段将不同资源相互隔离,限制对手在单点入侵后横向移动的能力。
加固由第三方控制或托管的系统,如依赖平台即服务和软件即服务产品的系统。
对发生在组织直接控制之外的 “上游 ”漏洞(如基于域名系统的攻击)采取预防措施。
4.1 协调目标1:安全的云业务应用程序
过渡到云计算环境在管理资源和利用技术进步(包括安全服务)的灵活性方面具有明显的优势。CISA为联邦机构提供了一套安全配置,就像用于内部应用和系统的配置一样,可帮助保护存储在这些环境中的信息。通过实施这些最佳实践,可更好地保护云环境和业务应用程序免受网络安全漏洞的影响,并提高检测、应对和恢复网络事件的能力。
4.1.1 协调目标2:与CISA 共享网络安全遥测数据
随着各机构不断对其服务和底层架构进行现代化改造,网络流量可能无法再通过传统的可信互联网连接(TIC)接入点提供给CISA。OMB备忘录 19-26:可信互联网连接(TIC)计划(TIC 3.0)更新版允许各机构利用现代分布式架构更高效、更安全地连接互联网。各种TIC 3.0 用例(云、远程用户和分支机构)展示了各机构如何与CISA 共享遥测数据。
4.1.1.1 统一目标3:增强整个联邦企业的ZT 能力
采用零信任架构的 “绝不信任,始终验证 ”原则是降低未来网络事件发生的可能性和影响,以及在面对网络攻击时保持业务复原力的核心。虽然在整个企业范围内实施零信任架构(ZTA) 是一项长期投资,但它可以逐步整合,并已通过抗网络钓鱼的多因素身份验证(MFA)、改进设备清单和扩大端点检测与响应(EDR) 覆盖范围等工作取得进展。
为实现协调目标4.1.1.1,各机构应完成这些基础活动:
确定实现机构 ZT 实施计划所面临的挑战,并制定潜在的解决方案。
确定暴露在互联网上的管理接口,并从互联网上删除接口或部署通过策略执行点 (PEP) 执行访问控制的功能。
在计划中确定、说明并解决在满足防网络钓鱼 MFA 实施要求方面存在的技术、业务和流程差距,记录弥合差距所需的任务和资源。
5. 优先领域4:网络供应链风险管理
美国政府已采取有意义的措施,改善其管理网络供应链重大风险的方式。根据《2018年联邦采购供应链安全法》,国会成立了联邦采购安全委员会(FASC),作为一个常设机构,负责审查、调查网络供应链相关问题并采取行动;同样,联邦机构间成立了许多跨职能领导工作组,以应对网络安全供应链风险。
作为网络安全行动的牵头机构,CISA编制了网络安全供应链指南、培训内容和实践社区,以建设机构间能力。这些资源包括《防御软件供应链攻击》等指南、C-SCRM相关出版物图书馆以及联邦C-SCRM 圆桌会议的建立。2024财政年度及以后的重点是确保当软件或硬件出现风险时(无论是否导致实际的供应链破坏),联邦企业能够快速识别联邦IT 环境中存在问题软件的位置,并采取行动降低风险。
随着各机构对更多外部提供商和技术的依赖,第三方风险不断增加。因此,各机构不仅要对自身的安全状况负责,还必须了解与之有业务往来的众多第三方的安全状况。本优先领域将CISA 为改善网络供应链所做的工作与各机构为更好地了解第三方(包括"采购商、供应商、开发商、系统集成商、外部系统服务提供商和其他[信息和通信技术(ICT)/操作技术(OT)]相关服务提供商)所带来的风险所做的努力结合起来。
5.1 协调目标1:为快速移除高风险软硬件做好准备
软件或硬件产品可能会通过各种权威来源(如联邦政府、行业)被认定为风险过高,不适合出现在企业网络中。各组织应确保流程到位,以便:快速识别其网络上的这些产品,评估移除这些产品的影响,制定移除已识别产品的计划,并建立确保移除产品不会再次引入的流程。
为实现协调目标5.1,各机构应开展这些基础活动:
建立供应链流程和结构,将 C-SCRM 要求和信息共享纳入企业管理。
在整个机构内进行协调,制定全机构范围的 C-SCRM 战略,以做出基于风险的明智决策。
将适当的 C-SCRM 要求和指导纳入与供应商的采购/合同协议。
制定机构供应商要求,确保供应商应对产品和服务风险。
根据联邦、州和地方法律、政策和指令的指示,确定并删除信息和通信技术或服务。
6. 优先领域 5:事件检测与响应
不同组织的事件检测和响应能力成熟度各不相同,但即使是最有效的安全运营中心(SOC)也无法检测到所有入侵。对手的战术、技术和程序越来越多地使用内置管理工具,这种被称为 “离地生存”(LOTL)的技术可以混入其中,增加检测难度。IT服务向外部提供商的转移也给可视化管理带来了更多挑战。在这种环境下,SOC面临着艰巨的挑战,即如何在不断变化的混合IT环境中检测到这些更微妙的攻击。事件检测和响应是有效网络安全计划的关键组成部分,因为任何保护措施都不可能完全阻止对手对联邦IT 资产的访问。
要调整企业的事件检测和响应能力,就必须提高机构SOC查看和保护整个企业的资产以及驻留在这些资产上的数据的能力。从最有可能成为攻击目标的机构高价值资产和面向互联网的系统开始,在这些设备上实施适当的日志记录,将是检测LOTL 等隐蔽技术和防止威胁行为者建立持久性的关键。早期检测使SOC能够快速响应,限制入侵的影响,并捕获和共享相关威胁信息。这就需要有一套确定、衡量和执行的全企业标准和指标。
作为该战略的一部分,机构SOC 依赖于一流的安全技术,如EDR,这些技术正在进行 “架构”,以完成 “整个政府 ”的威胁捕猎和事件响应。
6.1 协调目标 1:支持 CISA 的持续访问能力
网络犯罪分子和民族国家行为者已证明有能力获得并保持对联邦经济和安全部 门资产的长期访问。通过确保 EDR覆盖整个机构并启用CISA的持续访问能力,各机构可促进整个联邦企业的态势感知和信息共享。这就使机构和CISA的网络安全行动能够检测、分析、应对和缓解事件,改进防御和持续检测以及快速反应行动。
6.1.1 目标2:推进 SOC治理
鉴于敌对活动的增加,对企业级操作可见性的关注为机构SOC 提供了必要的灵活性,使其能够使用共同的操作画面进行检测和响应。这使SOC能够促进降低初始入侵范围和严重性的行动。从安全运营到更广泛的网络安全计划的反馈回路支持风险管理决策,并降低未来事件发生的可能性和严重性。
为实现调整目标6.1 和6.1.1,各机构应完成这些基础活动:
参与跨机构技术交流,分享有关操作挑战、最佳实践、标准和采购的信息和反馈,以提高数据质量和相关性。
整合网络威胁情报 (CTI) 工具、数据和服务,包括商业 CTI,以改进各机构的 CTI 生成、消费、利用和共享。
根据适用的治理和任务,评估和比较机构的 “现状”,以确定合规方面的挑战和问题,并将其传达给 CISA。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
