自2020年美国网络空间智囊委员会(CSC)发布原始报告以来,网络攻击的性质和频率都发生了显著变化,尤其是来自国家级对手的“电压台风”攻击,以及网络犯罪分子日益猖獗的勒索软件攻击,2023年报告的数量增长了74%。这一系列攻击揭示了美国高度联网的基础设施中固有的脆弱性,进一步加大了潜在风险。

尽管如此,自CSC发布报告以来,美国政府在网络安全领域的工作已取得显著进展,约80%的原始82项建议已被完全实施或接近实施。新的国家安全备忘录(NSM-22)确立了关键基础设施安全与韧性的国家风险管理循环,强调了私营部门与联邦政府在网络安全政策发展中的协同合作。

最新发布的44页的2024年CSC 2.0报告,引用了白宫在过去一年推出的一些网络安全举措,包括发布国家网络安全战略及其实施计划,宣布美国网络信任标志计划以及发布国家网络劳动力和教育战略。不仅总结了过去的成就,也指出了仍需改进的领域,特别是在水务、航空和航天等关键基础设施领域日益增加的网络攻击风险。这一报告强调了集体努力在提升国家网络韧性方面的重要性,并呼吁在下一届国会和政府中,继续关注和强化网络安全的战略和政策。特别是针对下届政府提了网络安全强化的十条建议。

1、为系统重要实体设定利益与责任(5.1)

在关键基础设施资产中进行优先排序至关重要,因为美国无法在任何时候、任何地方同时保护所有事物。通过NSM-22,拜登总统指示CISA与其他部门风险管理机构合作,确定各关键基础设施部门中对国家安全、经济安全以及公共健康和安全具有不成比例影响的系统重要实体(SIE)。然而,NSM-22并未明确SIE所享有的利益和所需承担的责任,而这是CSC对系统重要关键基础设施的初步建议的重要组成部分。下届政府和国会应共同制定SIE在情报和信息共享方面的利益及最低网络安全负担的具体细则。

2、进行强有力的经济连续性规划(3.2)

国家经济连续性(COTE)计划对于在重大网络中断或其他自然或人为灾害发生时恢复关键经济功能至关重要。制定COTE计划需要通过网络威胁情报、国家级桌面推演和与私营部门及关键基础设施所有者的利益相关方互动,获得全面的见解。尽管《2021财年国防授权法》授权制定COTE计划,但政府在2023年8月向国会迟交的报告中,否认了进一步COTE规划的必要性,并忽视了当前联邦事件响应能力中的差距,也未能处理私营部门在计划制定和实施中的参与方式。幸运的是,下一届政府将有机会重新评估该报告,因为要求最初COTE计划的立法每三年就需更新一次。

3、立法明确威胁信息共享的联合协作环境(5.2)

联合协作环境(JCE)是一个高级综合平台,能够促进政府机构、私营部门实体和国际伙伴之间的实时网络威胁情报共享和分析。CISA的JCDC推动了JCE概念的发展。然而,JCDC的规划和协调工作通常涉及不到20个组织,需要额外的法律授权和类似JCE的平台来扩大其工作规模。私营伙伴将在为JCE提供信息方面发挥重要作用,而联邦机构将提供用于共享数据和分析见解的结构。下届政府和国会应将JCE立法并确保其持续的资金支持。一旦JCE建立,将需要数据隐私和法律保护措施,确保参与者之间的情报信息安全共享。

4、加强CISA内的综合网络中心(5.3)

在CISA内建立一个综合网络中心(ICC)对实现国家网络防御的统一至关重要。目前,国家网络防御能力分散在各个联邦机构中。2020年SolarWinds黑客事件中的延误和效率低下,突显了改善各机构间协调的必要性。此外,2021年5月的Colonial Pipeline勒索软件攻击也显示出需要一个集中化的机制来有效处理此类事件。ICC可以整合各联邦机构的专业知识和能力,并以CISA作为全国网络防御的核心力量,从而减少资源浪费,提高效率。

5、制定云安全认证(4.5)

政府机构和关键基础设施所有者广泛采用云计算在网络安全方面具有正面作用,因为云服务提供商在网络安全方面拥有更深厚的专业知识。然而,近年来,云服务提供商在维护网络安全文化和在其基础服务中包括网络安全服务方面表现出显著失败。恶意行为者通过云平台入侵政府网络和关键基础设施。目前,美国缺乏统一的联邦云基础设施安全保障措施。下届政府应在FedRAMP的基础上进一步完善网络安全认证标准,并将云服务提供商认定为关键基础设施,以减少风险。

6、组建网络统计局(4.3)

目前,政策制定者在制定战略决策时依赖于过时、不完整且不准确的网络安全数据。在2020年3月的报告中,委员会建议建立一个网络统计局,作为联邦统计机构,负责收集、分析和传播网络安全数据。下一届政府应与国会合作建立这个局,确保它遵循现有国家统计机构设定的标准和要求,并能够安全地管理反映当今网络安全格局的全面数据。该局最初可以使用联邦机构的数据,比如CISA根据2022年关键基础设施网络事件报告法案(CIRCIA)授权收集的数据。此外,NSM-22要求的基于行业的风险评估将进一步支持获取标准化数据。与学术界和私营部门的协调也将促进洞察力和最佳实践的分享,增强该局指导网络安全策略的能力。

7、建立最终产品组装商的责任制度(4.2)

为最终产品组装商建立责任制度将使制造商对其产品中被利用的网络安全漏洞负责,激励他们从一开始就开发安全的产品设计。这一责任框架不仅会增强产品安全,还会通过要求制造商在产品到达消费者之前进行全面的安全测试,确保整个行业的改进。尽管国家网络安全和数字基础设施委员会(ONCD)已经开始努力开发一个灵活的软件责任框架,但这项工作仍处于初期阶段。与此同时,联邦通信委员会已经完成了其针对消费者物联网设备的自愿标签计划的规则,即所谓的美国网络信任标志计划。然而,实施责任要求将需要立法行动和一个灵活的监管框架。这些框架应定义制造商的责任、责任条件和不遵守的处罚。建立这些框架将促进整个技术行业的透明度、问责制和安全文化,最终加强国家安全。

8、制定网络保险认证(4.4)

当前的网络保险市场波动很大,而且很少有公司能够以他们负担得起的保费获得所需的保险覆盖。2024年6月,美国天然气协会副总裁Kimberly Denbow警告说,由于愿意承保网络保险政策的保险公司数量有限,天然气公用事业正陷入困境。四年前,委员会建议国土安全部资助一个联邦资助的研究和开发中心(FFRDC),研究保险行业并帮助保险公司找到提供满足各行业特定需求的更好保险覆盖的方法。尽管对这样一个FFRDC的需求不断增长,但国会和拜登政府在这方面几乎没有采取行动。正如委员会最初设想的那样,FFRDC还将与私营部门和州保险监管机构合作,为网络安全保险产品开发认证框架以及与网络保险相关的核保人和理赔调整员培训模型。

9、确立国民警卫队的网络安全职能(3.3.6)

国民警卫队独特的地位,连接军事和民用部门以及联邦和州政府当局,使其非常适合应对国内网络威胁。54个国民警卫队实体拥有本地存在和能力,这使他们非常适合在州和联邦两级作为网络事件的快速反应力量。多年来,国民警卫队承担了更多的网络安全责任,并通过专门的培训和倡议(如年度的网络盾牌演习)建立了更多的网络能力。此外,国民警卫队还参与了众多州级网络安全工作。增加CISA和国民警卫队之间的互操作性可以大幅提高国家应对网络攻击的速度和敏捷性。然而,增加国民警卫队在网络安全响应规划中的责任将需要新一届政府和国会采取多项促进行动。国会应该评估如何将国民警卫队更有效地整合到行政部门的网络响应规划工作中,如国土安全部的国家网络事件响应计划(NCIRP)和州长指导的网络响应和恢复行动。为了实现这种整合,下一届政府和国会需要确定国民警卫队在保护关键基础设施方面的长期角色,并确定这样做所需的权限和资源。同样关键的是发布指导,详细说明国民警卫队在事件协作努力中的责任,以及CISA和FBI的责任。

10、增强社会对网络信息行动的抵御能力(3.5)

网络支持的恶意影响行动活动对美国构成重大威胁,破坏民主进程,侵蚀公众信任,并加剧社会分裂。通过数字素养教育计划提高公众意识对于所有年龄段的群体来说都是对抗这些恶意努力的关键。今年,通过2021年的美国救援计划法案和两党基础设施投资和就业法案资助的几个项目已经在州级创建了数字素养计划。虽然这些计划是向前迈出的一步,但委员会建议国会责成教育部、国土安全部、国家科学基金会和国家标准与技术研究院制定专注于批判性思维和事实核查技能的课程,使公民能够识别虚假信息和外国影响。一个成功的课程将把社交媒体素养融入K-12课程计划,并促进成人数字公民教育计划。对公民教育的投资也是必不可少的。下一届政府应请求并由国会批准增加对公民教育的资助,以支持这些努力,以对抗外国的恶意影响行动。

参考资源

1、https://cybersolarium.org/wp-content/uploads/2024/09/CSC2.0_Monograph_2024AnnualReport_Top10.pdf

2、https://executivegov.com/2023/09/csc-2-0-report-over-36-of-cybersecurity-recommendations-reach-full-implementation/

声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。