美国网络安全浅析
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
作者:Kate Charlet 翻译:计宏亮
网络空间安全已经成为中美两国关系中一个持续热点,国内对美国网络空间安全的研究日趋全面、深入和理性。在可预见的时期内这种研究热度只会增加,不会减弱。但目前大部分研究关注点都在战略或技术层面,而对具体运行层面,就是在美国国内,这方面研究也相对较少。
本文对美国联邦的网络安全情况进行了相对全面的介绍。
联邦政府的网络对国外情报部门和网络空间中其他恶意行动者有着很强的吸引力。这些网络服务于100多个政府部门和数百万的联邦政府雇员,保障着政府履行使命和正常运作,处理敏感的内部通信,存储着大量美国人民的个人数据。因此,联邦政府网络所面临的威胁程度是任何部门都无法与之相提并论的。
联邦政府网络安全是信息安全领域之外甚至是其领域内部的人士也难以完全说清楚的话题。信息分布各种政府文件中,目前还缺乏理解此话题的“红宝书”。本报告希望能够填补这个空白:
表征联邦政府网络安全总体情况,包括描述各种联邦部门的角色、职责,识别系统性挑战。
总结联邦政府近期改进网络安全的努力,例如,信息技术现代化,高价值资产的识别,使用共享服务和商业技术,探测和阻止威胁,识别和修复风险因素,改善事件响应能力。
回顾联邦政府为提升网络安全基础的努力方向,主要包括加强网络人力、研究和开发、采办和领导能力。
保护联邦民用网络和系统的任务复杂而艰巨。几个系统性因素有助于这个具有挑战性的环境:
(1) 在集中管理和分散管理之间很难进行权衡。联邦政府的架构在整体上很大程度上是分散的,每个部门管理自己的风险,独立寻求安全解决方案。完全集中管理也存在自身的困难,如限制了部门开发定制、敏捷的解决网络安全挑战的能力。
(2) 部门高层领导对网络风险管理的不同程度的参与。成功的部门负责人能够感知网络风险,并进行积极管理。在部门内部,首席信息官的权限差别很大。
(3) 改变杠杆的效能来指导、激励和加强不合格联邦部门的行动。国土安全部、公共管理和预算办公室有一些杠杆来推动个别部门的行动,国土安全部不断增加的授权一直是至关重要的。
(4) 资源限制和刚性政府预算周期。适当的根据网络安全先后次序进行资源配置可能是成本较高,政府预算过程的结构对部门的网络安全工作提出了挑战。
(5) 分散的国会监督。没有一个国会部门完全掌握了联邦政府网络安全措施,立法的要求在许多法案中散见,这使联邦部门很难适应威胁。
在制定更好地管理联邦政府系统的网络风险的方法时,决策者、部门领导人、网络安全专业人员和国会工作人员应考虑以下主题:
健全的风险管理体系是所有联邦政府网络安全基础。联邦部门不能也不会阻止每一个事件或入侵。部门必须能够识别最重要的任务和资产,然后制定降低、减轻或接受风险的策略。
来自部门负责人持续、高层次的领导是成功的关键。具有从事部门主管或代表的部门更有可能利用战略资源、强制任务或企业所有者参与网络安全,并授权首席信息官采取必要的措施来保护系统和执行标准。
有效的管理需要明确角色和责任。联邦政府网络安全系统是复杂的。这并不是本质上的坏处,但它需要不断的努力来完善、澄清和制度化角色和责任,以确保一致性。
稳定的、渐进的进步非常重要。2016的网络冲刺尽管成效一般,但它证明,采取细化的里程碑时,这些部门就可以取得进展,特别是经常被入侵者利用的基本的网络卫生问题上。
然而,一些领域需要不断创新,甚至是根本性的“反思”。最先进的部门有奖励和实施诸如劳动力、采购和高管教育等创新理念的政策。
国会扮演着关键的角色。国会授权和赋予部门任务、权力和预算。如果没有立法部门的大力支持和参与,几乎没有什么可做的。
资源配置至关重要。掠夺资源以使网络现代化或吸引网络安全人才将降低部门确保其核心任务的能力,这对政府和公民都会产生真正的影响。
不断发展的技术将改变整体情况。数字生态系统的创新,如自动化,将带来新的威胁和新的防御应用。政府需要提前5到10年的计划来避免落后。
联邦政府的网络安全没有秘诀。该系统将保持其固有的复杂性,需要密切协调和合作伙伴关系。联邦政府网络安全将是一个持久的任务,总是不断发展和变化,以保持领先的威胁。换句话说,没有“终点线”——只有不断改进、适应和合作才能确保联邦政府及其服务。
根据法律,每个联邦部门负责自己的网络安全。但其他部门,特别是公共管理和预算办公室(OMB)、国家标准与技术研究所(NIST)、国土安全部和总务管理局(GSA)发挥跨部门的作用来支持、监视或监督其他部门实施网络安全实践。特别是国土安全部在指导、协助和参与部门实施联邦政府网络安全措施方面发挥主要的日常运作角色。
联邦政府网络是对外国情报部门和网络空间中其他恶意行动者的有吸引力的目标。它们保障政府的使命和行动,处理敏感的内部通信,并存储数百万美国人的个人数据。联邦政府网络所面临的威胁水平几乎无与伦比,任何部门无法望其项背。包括人事管理办公室、国防部、国务院、总统办公室和内政部在内的一些部门深受其害,使这些部门的任务面临风险,损害了政府的信任和信心。
有些人认为,保护联邦政府网络应该比美国网络安全政策的其他方面更简单。这个问题不是党派问题,解决方案也不需要像关键基础设施运营商那样对非政府行为者施加同样的影响。那么为什么要确保这些系统的安全性如此困难呢?回答这个问题需要首先了解联邦政府网络安全工作的复杂环境。只有这样,分析家才能思考为什么障碍依然存在,哪些解决方案可能是最有效的。
时至今日,还没有一本“红宝书”为研究人员服务,政策制定者和实践者了解联邦政府网络安全的许多方面。相反,信息散布在政府报告、备忘录、新闻稿、合同以及更多的信息中——在那些信息技术行业以外的人无法理解的语言中。填补这一空白,本报告:
1. 表征联邦政府网络安全基本情况,包括复杂的一组角色,职责,和联邦部门之间的关系。
2. 总结联邦政府改进网络安全的动力,更深入地分析某些重要举措。
3. 回顾改善联邦政府网络安全基础的努力,比如那些改善劳动力和网络安全文化的基础。
第一部分 联邦政府网络安全总览
保护联邦民用网络和系统是一个复杂而艰巨的工作。联邦政府超过100家部门,数以百万计的雇员,以及数以千万计的设备需要管理,甚至连美国最大的私人公司也无能为力。每一个部门都负责自己的网络安全,但在指导、塑造、鼓励或协助良好的网络安全方面,有几个部门扮演了跨部门角色。鉴于该系统的复杂性,需要在联邦政府网络中制定良善的政策和实践,包括关键行为者,部门的角色和责任,以及系统性的挑战。
1、联网网络安全总体情况
联邦政府每年花费数十亿美元在信息技术(IT)和网络安全上。确切的了解支出趋势可能是困难的,因为会计方法在不同的来源上有所不同。然而,公共管理和预算办公室在其“信息技术预算报表”中总结了信息技术支出趋势: 2016财年为828亿美元, 2017财年为784亿美元, 2018财年为813亿美元,2019财年为834亿美元。还没有一个完全一致的定义,即IT支出的哪部分被认为是“网络安全支出”。通过一种计算,联邦政府在FY2016年花费了大约140亿美元。奥巴马总统政府要求190亿美元用于网络安全。在2017财年全面预算的要求从未通过国会。更难描述特朗普政府的网络安全预算,它没有为网络安全提供合并性总结。网络安全支出支持一个庞大而多样化的联邦政府。尽管采用会计方法各不相同,但人事管理办公室估计2017年联邦政府需要410万个全日制当量(FTE)。这包括:
确切指出涉及网络安全的联邦政府部门数目是困难的,但出于研究目的,通常将其分为两类:“首席财务官法案(《CFO 法案》)”部门和“非首席财务官法案”部门。所谓CFO法案部门是(预算方面)接受公共管理和预算办公室(OMB)特别管理监督的24大联邦部门。这些部门构成了联邦政府人员的绝大多数,需要报告信息安全数据,供国土安全部(OHS)、OMB和国会用于监控和跟踪。所有的CFO法案部门都需要参考民事CFO法案部门,除了国防部有自身的报告和要求,因为其职责是管理“国家安全体系”。
其余的部门主要包括大部分小型(6000名雇员)、微型(100个雇员)部门以及一些较大的、通常是独立的监管者。这个群体的网络安全工作面临着独特的挑战,因为小型部门可能具有较弱的网络安全能力和更少的监督要求,但却仍然管理着重要的任务和信息。公共管理和预算办公室(OMB)估计非CFO法案部门“雇佣超过100,000名联邦工作人员,管理着数十亿纳税人的钱”。然而,法律不需要这些部门向公共管理和预算办公室(OMB)报告信息安全,尽管其中大约有60个部门会自愿报告。
在美国消费者金融保护局和证券交易委员会提出受害报告以后,监管部门的网络安全正成为关注焦点。监管部门对保护其独立于政治行政部门之外的意愿较为强烈,因为他们的任务旨在非政治性和独立性。这种独立性倾向于转化为这些部门的管理、运营和预算,这使得白宫更难推动或影响监管部门采取某些网络安全措施。这意味着,当白宫发现网络安全面临的重大威胁或挑战时,他们可以激励部门其他部门取得进展,但不能对监管部门也这样做。
国会在联邦政府网络安全中发挥着至关重要的作用。它通过立法规定了联邦政府管理其信息技术的基本原则,对部门进行IT任务授权、拨付预算。相关立法有很多,但联邦政府网络安全的关键法案包括:
1996年的克林格一科恩法案(Clinger-Cohen Act)也被称为信息技术管理改革法案(ITMRA),它改变了联邦政府数十年来管理信息技术的方式。 法律允许部门更独立地获取信息技术资源。它还要求每个部门都要任命一名首席信息官,对信息技术规划和运营负有更大的责任。
2002年“联邦信息安全管理法案”(FISMA)是一部基础性法规,勾勒了联邦政府网络安全的角色和责任,并要求各部门制定,记录和实施保护其信息和信息系统的计划。
2014年联邦信息安全现代化法案(FISMA 2014)修改了2002年法律,以澄清、更新国土安全部和公共管理和预算办公室(OMB)在联邦部门信息安全方面的职责和权限。
2014年的“国家网络安全保护法案”正式确定了国土安全部内的国家网络安全和通信集成中心,以便实现联邦部门之间以及与非联邦实体对接和共享网络安全信息。
2014年联邦信息技术采购改革法案(FITARA)扩大了首席信息官(CIO)的权限,并解决了信息技术投资风险管理,数据中心整合,信息技术培训和采购/采购等事宜。
2015年的“网络安全法案”通过为美国国土安全部提供威胁指标和防御措施的私营部门参与者提供责任保护,激励联邦政府与私营企业之间的信息共享。 它还要求所有民事部门执行国土安全部的爱因斯坦计划(EINSTEIN)以探测和阻止对联邦政府网络的威胁。
部分是FISMA的要求原因,联邦政府形成了大量有关联邦政府网络安全的数据。公共管理和预算办公室(OMB)的年度FISMA报告是最全面的资源,涵盖联邦政府在网络安全事件,实施政府网络安全举措以及信息安全目标等方面的成绩。虽然收集这些数据和了解趋势线很重要,但了解固有的限制同样重要。对数据准确性的信心参差不齐,因为各部门可能难以收集有关其网络的完整和准确数据。这些数据也不能说明部门在哪里接受风险或哪里可能最脆弱。
2、职责划分
法律规定每个联邦部门负责自身的网络安全。 但其他部门,特别是公共管理和预算办公室(OMB),美国国家标准与技术研究院(NIST),美国国土安全部和总务管理局(GSA)发挥跨部门作用,以支持,监视或监督其他部门实施的网络安全实践。 特别是国土安全部在指导,协助和参与部门实施联邦政府网络安全措施方面扮演主要的日常运营角色。
所有这些实体按照分配的角色和责任以复杂和联合的方式进行交互。 在简化模型中,关键部门之间的顺序互动是:
具体的职责:
公共管理和预算办公室(OMB)开发和监督信息安全政策、原则、标准和指导方针的实施。这包括:根据国家标准技术研究院法案协调标准和指南的制定,并在联邦部门执行这些标准和指南; 要求各部门为联邦信息和信息系统确定和提供适当的网络安全保护; 提供数据和基于风险的监督联邦政府网络安全计划; 发布和实施联邦政策以解决新兴信息技术安全风险; 与美国国土安全部合作减少重大事件和联邦政府脆弱性的不利影响; 并制定备忘录和通告,在联邦政府内颁布信息安全政策。
2016年,奥巴马政府宣布在联邦首席信息官职位下设立联邦首席信息安全官,专注于开发,管理和协调联邦政府的网络安全战略,政策和运营。 虽然奥巴马政府于2016年9月任命了联邦首席信息安全官,但这一任命的期限太短,无法记录任何重大变化或使该职位制度化。 2018年1月,特朗普政府任命了第一位联邦首席信息官,但截至撰写本文时还没有任命联邦首席信息安全官联邦首席信息安全官,这意味着其他人员,如新联邦首席信息官和国家安全委员会网络安全高级总监(目前是双帽制度,同时作为代理CISO)必须在履行其他职责的同时履行这些责任。
NIST“制定非国家安全的联邦信息系统的标准和准则。”尽管联邦系统的NIST标准对于联邦部门来说是强制性的,但NIST本身并没有合规/监督的职责,也没有评估、审计或测试部门的安全实施措施。 NIST创建了联邦信息处理标准,为联邦部门提供涵盖BIOS管理和测量、电子认证、无线协议、供应链风险管理等多个主题的指南。通过与行业利益相关者制定开放,多利益相关者共同参与的流程来帮助政府利用商业现成技术;行业熟悉政府标准;并向政府确定行业最佳实践。
国土安全部扮演领导和运营的角色,支持联邦民事部门进行网络安全风险管理。国土安全部在帮助确保联邦政府网络方面发挥着重要作用。首先,国土安全部力图提供安全的“共同基准”(例如,通过向所有部门提供一套通用安全服务,稍后进行讨论)。其次,国土安全部作为信息共享的中心——例如,分享整个联邦政府以及政府和私营部门之间的恶意活动指标和最佳实践。第三,国土安全部促进NIST指南的广泛应用和与其他部门合作进行风险评估。 最后,国土安全部协助其他部门对事故作出响应。
美国总务署(GSA)通过识别和提供网络安全产品和服务来支持联邦政府部门。例如,通过创建标准化方法(“采购工具”)帮助代理商快速识别和购买优质的网络安全产品和服务。美国总务署还有助于促进联邦部门使用的连接设备的网络安全,如建筑物或车辆中的设备。 通过完善政府网站,数字化内部系统和解决技术问题,美国总务署内的一个办公室称为18F“与联邦部门合作改善政府用户体验”。
其他部门在联邦政府网络安全方面发挥关键支持作用,包括国防部(DOD),联邦调查局(FBI)和情报界(IC),特别是国家安全局(NSA)。来自情报界的信息对于帮助联邦政府的民事部门识别、阻止和应对已知的网络威胁至关重要。 国防部和国家安全局可以应要求支持其他部门,提供防御性援助和技术专长。 在联邦系统受到入侵或攻击后,联邦调查局将领导联邦调查。 国防部和情报部门也负责保护和维护国家安全系统,例如加密网络和武器系统的支持网络,但这一责任已超出本文的范围。
美国数字服务部(USDS)成立于2014年,旨在改善美国公民与政府提供的数字服务部门之间的互动方式。 USDS行政上属于公共管理和预算办公室(OMB),在七个联邦部门拥有活跃的团队,致力于确定节约成本并使政府更有效。 虽然许多成功的项目都侧重于改善用户对政府服务的体验,但其中一些项目对联邦政府网络安全也有直接或间接的好处。 其中包括美国总务署(GSA)联合努力改善和确保公众登录政府服务的方式,以及为安全研究人员提供“错误奖金”的国防数字服务计划,收集国防部(DOD)面向公众网站的漏洞。
3、系统性挑战
虽然部门普遍能够很好地理解他们各自的角色和责任,但联邦政府网络安全的复杂和联合性质导致各部门之间的进展不平衡。几个系统性因素造成了这种机制:
(1) 集中管理和分散管理之间权衡比较难。
(2) 部门高层领导对网络风险管理的参与程度各不相同。
(3) 指导,激励和执行不良联邦部门采取的行动的杠杆效力参差不齐。
(4) 资源限制和刚性的政府预算周期。
(5) 分散的国会监督。
挑战1 - 集中管理和分散管理之间的艰难权衡。整体联邦结构在很大程度上是分散的,尽管随着集中管理的不断发展,例如使用可信的互联网连接(见下文)。 每个部门都控制和管理自己与互联网的连接,自行决定风险,实施自己的安全解决方案,并决定如何处理部门内的不合规问题。 这个体系促成了整个联邦政府的不平衡进展。 另一方面,完全集中(例如,让一个部门负责某一.gov联邦政府网络)会带来自身的挑战,例如限制部门为其网络安全挑战开发量身定制的灵活解决方案的能力。 在FISMA 2014的推动下,向前迈出的重要一步是增加运营权力,使国土安全部能够指导其他部门采取措施减轻漏洞并降低风险。
挑战2 - 部门高层领导对网络风险管理的参与程度各不相同。部门在管理网络风险方面做得如何的最大非正式指标之一是部门负责人的参与程度。 成功的部门负责人意识到网络风险,将网络安全视为执行任务的核心,并让其部门负责。 然而,由于网络风险难以内化,并且由于部门负责人面对如此多的竞争性需求,所以这对于很多人来说并不是自然而然的事情。
在部门内部,首席信息官的权限差别很大,有些权力集中,而另一些权力几乎完全缺乏监督,预算,委任权限或整个部门对信息技术运营的控制。 2014年制定的立法被称为“联邦信息技术采购改革法案”(FITARA),旨在加强首席信息官在联邦部门中的作用,并赋予他们按时和按预算制定信息技术计划的更多权力和责任。 但是,首席信息官们仍然很难主动识别和修复系统性风险。 他们可能会与“影子IT”发生冲突,因为组织部分在不知情的情况下将设备连接到联邦部门网络。他们可能缺乏制定解决全部门问题的综合举措的能力。 他们可能很难确保遵守行政或部门授权。
挑战3 - 改变杠杆的效力,以指导,激励和要求执行不力的联邦部门采取行动。 不遵守联邦政府信息安全政策的原因 - 无论是系统性的,官僚主义的,资源性的还是技术性的 - 往往可能是强大的驱动力,甚至是可以理解的。 这就是为什么部门,首席信息官,国土安全部和公共管理和预算办公室(OMB)之间的强大、持续、非正式和正式的关系是改善联邦政府网络安全的关键部分。
国图安全部和公共管理和预算办公室(OMB)确实可以推动个别部门的行动。例如,FISMA 2014是一个“改变游戏规则”的法案,让国土安全部有权发布约束性操作命令(BOD)。 这一步特别值得注意,因为它标志着一个部门首次有权指示其他部门负责人采取行动保护其网络。 国土安全部长也可以向部门负责人发布紧急指令,“采取任何合法行动”来保护信息系统,尽管没有公开表明这个紧急授权曾经被使用过。
美国国土安全部已经发布了多个约束性操作指令,要求代理部门采取行动,例如修补已识别的漏洞,或者最近确定并删除卡巴斯基实验室产品。发布此类指令的能力非常重要,因为它提供了一种正式机制,可以确定重要操作的优先级,提起行动和跟踪实施。约束性操作命令(BOD)一般由接收部门成功实施。但是,没有部门负责人因不遵守由DHS发布的BOD或紧急指令而受到任何明确的惩罚。
公共管理和预算办公室(OMB)也有指导或激励部门行为的手段。公共管理和预算办公室(OMB)可以通过就各种议题发布备忘录来指导部门采取行动。这些备忘录具有白宫的说服力,但与约束性操作命令(BOD)一样,部门不遵守规定也不会有什么后果。 在向国会提交的年度报告中,公共管理和预算办公室(OMB)还可以强调网络安全运行良好或滞后的情况,这可能会导致国会调查或听证会,从而鼓励部门采取行动。公共管理和预算办公室(OMB)还负责联邦预算,因此,联邦首席信息官和部门预算审查人员进行合作,公共管理和预算办公室(OMB)可以利用其预算权力为部门网络安全工作提供更多的关注和资源。尽管所有这些杠杆都可以发挥效用,但由于每个部门负责人按法规对其部门提供信息安全保护和作出风险管理决策负有最终责任和义务,因此他们大多仍然是“软”杠杆。
挑战4 - 资源约束和刚性的政府预算周期。按照网络安全优先事项进行合理的资源配置 - 特别是吸引人才和对现有系统进行现代化升级改造 - 变得昂贵。但除了影响这些领域的重大资源约束之外,政府预算过程的结构也给部门网络安全工作带来了挑战。情报部门和国防部计划预算五年,其他部门的预算周期为一年,这使得他们很难进行稳定地规划或分摊多年投资和现代化工作的成本。这个周期也相当僵化,针对新出现的需求进行调整的能力有限,这意味着部门难以适应新的网络威胁或传统IT系统的问题。如果这些需求出现在预算发生的每年相对较窄的时间范围之外尤其如此。有一些技巧,比如使用周转基金,以便更灵活地使用资金,但由于难以监督,这些技术往往很难获得国会的批准。根据人事管理办公室(OPM)董事Beth Cobert在2017年1月的报告,遗留IT问题是造成人事管理办公室的数百万敏感记录遭到灾难性破坏多重因素之一,因此“从根本上说......需要新系统”。
挑战5 - 国会分散式监督。国会监督的错综复杂性使美国联邦政府网络安全局势进一步复杂化。参议院国土安全和政府事务委员会和众议院国土安全委员会在联邦政府网络安全方面发挥积极作用。每个议院武装部队,情报部门或特定部门的委员会对于与其所在地区或部门有关的网络安全保护和事件也十分活跃。当然,每个议院的拨款者决定联邦政府网络安全举措的可用资金。 2017年1月,参议员Cory Gardner(R-CO)提出了一项决议,建立一个网络安全特别委员会,以简化参议院的监督,但该提案并未通过委员会。分散监督的结果不仅仅是报告部门负担。这也意味着没有一个国会部门能够全面了解联邦政府网络安全措施,并且法律要求分布在很多法案中,这使得联邦部门适应威胁或采取新方法变得更加复杂。
第二部分 联邦政府重点网络安全计划
受过去五年遭遇的一系列侵入和破坏刺激,联邦政府推动了一系列改善联邦部门网络安全的举措。 2015年和2016年就提出了三项计划,网络安全冲刺( Cybersecurity Sprint),网络安全战略实施计划(CSIP)和网络安全国家行动计划(CNAP) - 形成了奥巴马政府的应对网络安全措施的核心。特朗普政府基于这些举措, 在2017年5月发布了关于加强联邦政府网络和关键基础设施网络安全的行政命令,并在共享服务和云应用方面采取了几项显著性举措。 本节回顾了这些范围较广的努力,深入探讨了联邦政府网络安全领域的最重要举措。
尽管本报告的重点近年来的进展,但必须指出的是,许多现有计划的基础都是乔治布什政府2008年1月的国家综合网络安全计划(CNCI)。 CNCI在奥巴马政府的网络空间政策审查中得到重申,并在此后数年一直如此。 有些人认为CNCI是失败的。 因为它没有将而许多民事部门领导人作为重要的参与者,一般而言这是有效实施所必需的。 尽管如此,一些举措,如将联邦政府网络作为单一企业进行管理,在联邦企业中部署入侵检测和预防系统,以及更好地协调网络安全研究和开发 ——都可以在CNCI中寻根溯源。
1、推动整体进展,2015-2018
2015年6月,在人事管理办公室(OPM)遭遇入侵之后,联邦首席信息官启动了为期30天的Cybersecurity Sprint计划,以实现在关键领域快速取得进展。 在Sprint实施期间,联邦首席信息官(CIO)指示各个部门:
(1)立即扫描系统并检查日志,以对照优先威胁实施者技术,战术和程序的DHS指标。
(2)修补某些关键漏洞。
(3)为特权用户收紧政策和做法。
(4)加快多因素认证的使用,尤其是对特权用户。
Cyber Sprint尽管总体适度,但表明联邦政府可以缩小网络安全方面的主要差距,因为它集中关注离散,高度优先的行动。 到计划完成时,已有9家部门实现了100%特权用户的强认证目标,其中15家在2016年春季达到了目标。各部门还加速实施了2015年5月的DHS指令,以缓解面向互联网系统中的关键漏洞 ,在2015年底前解决了指令发现时几乎所有活跃的关键漏洞。在Cyber Sprint实施期间,各部门还对伤害指征进行扫描; 确认了一套高价值资产; 并完成了对特权用户的审查。
Cyber Sprint的主要成果是制定了公共管理和预算办公室(OMB)的网络安全战略和实施计划(CSIP),该计划于2015年10月发布,提出了一系列旨在改善联邦政府网络安全的短期行动。CSIP确立了涉及保护高价值资产和信息关键行动目标; 对网络事件的探测,回应,恢复和吸取经验教训;招聘和保留网络人才;以及技术的获取和部署。
最后,2016年2月,奥巴马政府宣布了一项基础广泛的计划,即国家网络安全国家行动计划(CNAP),其中包括许多在Cyber Sprint和CSIP期间开展的工作以及其他联邦和私营部门项目。 CNAP的发布伴随着2017财年总统预算中规定的190亿美元投资。CNAP包括拟议的31亿美元信息技术现代化基金(ITMF);设立联邦首席信息安全官(CISO);持续识别和审查最高价值和最危险的IT资产;增加政府范围内IT和网络安全共享服务;国土安全部 EINSTEIN计划于连续诊断和缓解(CDM)计划的扩展;美国国土安全部的联邦平民网络防卫队总数增加到48个;并投资于支持联邦政府需求的网络安全工作计划。许多部门实现了CNAP制定的2016年里程碑,但大多数计划今天仍在继续。
作为CNAP的一部分,奥巴马总统签署了一项行政命令,建立加强国家网络安全两党委员会,提出加强网络安全的详细建议,包括联邦政府的网络安全。41 2016年12月,委员会发布了一系列建议和行动项目, 除其他外,“为政府提供更好的装备,以便更有效地在数字时代有效和安全地发挥作用”。联邦重点提出的建议包括:巩固基础网络运营; 促进联邦部门的技术采用和技术更新; 不断完善联邦部门的系统风险管理方法; 重新调整白宫在网络安全领域的领导地位; 并进一步明确联邦在网络事件中的角色和责任。
最近,特朗普政府2017年5月发布的关于加强联邦政府网络和重要基础设施网络安全的行政命令提出了对各部门风险管理和任务详细审查的期望和原则。值得注意的是,总统认为“部门负责人”将负责管理网络安全风险。此外,由于部门负责人做出的风险管理决策可能会影响整个行政部门以及国家安全的风险,因此将管理网络安全风险视为一种行政部门体系也是美国的政策。“行政命令要求部门负责人遵守NIST的改进关键基础设施网络安全框架,解决长期以来对业界成员的不利影响,即使政府不遵守NIST标准,也会受到合同约束。它委托所有部门向公共管理和预算办公室(OMB)提供风险管理报告,然后由国土安全部和公共管理和预算办公室(OMB)进行全面审查,总统将于2017年10月向总部报告如何解决不足或错位问题的最终报告。
虽然这一行政命令显示了与上届政府之间明显的连续性,但它努力的指向可能会推动系统性风险管理和对共享服务的偏好等方面的变革。 政府在2017年12月发布的“国家安全战略”中强化了这些领域,该战略确定了建设防御型政府网络作为优先事项。 在此过程中,它指出:“[政府]将使用最新的商业能力,共享服务和最佳实践来实现联邦信息技术的现代化。 我们将提高我们在各种条件下提供不间断安全通信和服务的能力。“
2、信息技术现代化(IT)
联邦政府依靠传统的IT系统,既难以保证安全,维护成本又高。 2016年5月,政府问责办公室(GAO)报告说,由于使用过时的编程语言(如COBOL),这些遗留投资变得越来越不合时宜;旧零件(包括8英寸软盘);和不受支持的硬件和软件(例如20世纪80年代和90年代的微软操作系统)。政府问责办公室(GAO)报告的十个最早的IT投资或系统的使用期从39-56年不等。政府问责办公室(GAO)评估说,联邦政府每年花费超过800亿美元,其中77%用于运营和维护系统,23%用于开发,现代化和改进。这反映出自2010年以来运营和维护增加了9%,同一时期开发,现代化和加固整体减少了73亿美元。换句话说,联邦IT预算中相对较大且越来越多的部分用于只是保持旧系统运行的支出。
奥巴马和特朗普政府都承认传统IT面临的挑战,并制定了IT现代化战略。 联邦首席信息官最近向总裁提交了一份关于IT现代化的报告草案,已于2017年秋季向工业部门征求意见。该愿景概述了对网络进行加固和现代化,采用共享服务以实现未来网络架构,并为现代化优先事项重新调整资源的行动。 49该计划提出了有用的优先事项,例如强调高风险高价值资产和现代化部门连接到互联网的系统。 但是,它也依赖于资源的“重新调整”,而不是增加新的资源; 鉴于任务的重要性,这可能是不够的。
政府现代化方法的一个突出特点是建立了“循环基金”,也称为“周转基金”,以支持IT现代化目标。循环基金为部门提供了更大的灵活性,让他们可以花钱用于现代化项目,因为他们假定,用更现代化、高效率的系统代替昂贵、过时的系统所花费的投资会随着时间的推移的得以不畅。按照这种逻辑,奥巴马政府估计,其提议的31亿美元基金将在十年内支持价值120亿美元的现代化项目。
最近,得克萨斯州代表威尔赫德(Will Hurd)于2018年发起的“现代化政府技术(MGT)法案”作为国家授权法案的一部分通过成为法律.52该法案设立了一个有价值的循环基金,将帮助部门进行升级和长期性投资。授权数额为5亿美元,远远低于替代联邦政府遗留IT债务所需的数额。 这意味着国会的工作还没有完成。 但该基金为未来的投资奠定了重要基础。
3、识别和保护高价值资产
奥巴马和特朗普政府都要求联邦部门确定优先级最高,风险最高的IT资产,然后采取补充措施来提高安全性。美国政府提出了高价值资产的定义( HVA)以及确定资产,数据集或存储库是否具有高价值时要考虑的属性列表。所有民事CFO法案部门均向国土安全部报告了他们的高价值资产,并对2016财年超过20种最重要的资产进行了脆弱性评估,并在2017财年继续进行评估。通过这些评估,DHS与一个部门的CIO合作,开展渗透测试和其他类型的风险评估,提供具体的调查结果和建议,并帮助各部门针对确定的漏洞制定补救计划。由于联邦政府在网络安全方面的分散性,各个部门的主要补救责任仍在继续,对高价值资产的持续监督和评估也是如此。
为此,美国总务署(GSA)为部门开发了一个合同工具,以便根据国土安全部和国家安全局制定的通用方法,实施预先审查的网络安全风险评估。这种工具旨在帮助部门对高价值资产进行定期评估。这些识别和强化高价值资产的步骤非常重要。但是一些部门正开始从“保护资产”的思维转向更加全面的“保护任务”方法。例如,国防部正在调整其传统的任务保障方法,以更好地识别和管理军事任务的网络风险。这种思维模式有助于从单独被视为高价值的资产中识别网络风险 - 无论这些资产是网络,武器系统组件,信息数据库,嵌入式网络物理系统还是电气和通信基础设施 - 但仍然如此可能会扰乱一个部门执行关键职能。目前还不清楚这些部门是否以这种方式为重点,例如为国土安全部寻找移民局,调查FBI以及农业部的食品安全检查。
4、利用共享服务和商业技术
在联邦政府网络安全方面,共享服务是由多个机构或实体使用的信息技术或网络安全服务。 典型的共享服务可能包括移动安全、云计算、数字版权管理、加密服务以及提供域名服务解析等核心IT服务。 共享服务减少了单个机构或组织自行协商,采购和管理这些服务的需求。 其益处包括降低整个联邦政府的复杂程度,更好的分担成本,获取更强大的谈判地位(由于集体购买力增加)以及更高效的运营。 共享服务还有助于联邦政府规范和简化网络安全措施。
自20世纪80年代初以来,联邦政府就一直在推动更多地使用共享服务。最近,2011年,公共管理和预算办公室(OMB)指示每个联邦机构至少在机构选择的两个领域转向共享服务。2012年,白宫联邦IT共享服务战略为共享服务的采用制定了“全方位和全生命周期”战略。后来在2016年,CNAP制定了共享服务目标,通过提供更加更加高效、便捷和安全的共享服务,让各个部门没有必要再去建设、维护和运行他们自己的信息技术设施。2017年,特朗普政府的网络执行官在此基础上走得最远,明确指导机构优先考虑共享服务。 随后于2017年8月向总统提交的关于联邦信息技术现代化的报告草案提出了一个目标,即各机构只有在共享服务和商业技术无法满足任务需求时才能建立新的能力。
特别是那些小型机构,他们从共享服务中受益匪浅,因为他们缺乏资源和人力来管理和保护各自的服务。 美国政府一直在试验增加托管IT服务给数十个小型联邦(非CFO法案)机构。 这种服务有助于提高那些经常资源不足的机构的整体网络安全,其中许多机构还会处理敏感数据。 如果这些试点项目在管理安全服务标准化方面取得成功,更多的小型机构就可以加入。
与共享服务趋势相融合的趋势是越来越多地采用包括电子邮件和云服务在内的商业技术能力。 一方面,私营部门的服务可以提供政府内部无法提供的复杂保护。 另一方面,这些服务可能无法解决联邦政府网络安全独特的需求或挑战,例如确保获取有关安全事件的信息,启用潜在恶意使用活动的报告,或启用EINSTEIN等USG(综合业务网关)计划。 向总统提交的关于联邦信息技术现代化的报告强烈鼓励使用商业技术,并提出采取多项行动来减少采用这些技术的障碍。
自2007年以来,联邦政府一项重要的工作领域是推动使用可信互联网(TIC)。在TIC倡议下,联邦政府已将互联网连接点从几千个减少到不到一百个,目标是减少到50个连接的目标。高层的想法是,通过使用较少数量的互联网连接,为这些连接设置通用安全标准、监视和阻止通过这些连接的威胁将变得更加容易。目前部署的每个TIC都必须遵守由OMB开发的安全标准,并加装由国土安全部提供的传感器技术和分析工具。根据2009年的数据,OMB指定20个机构为TIC接入供应商,每个机构最多可管理两个互联网接入点。虽然一些TIC接入提供商机构(例如国务院)支持其他小型机构,但大多数小型机构自己不能管理自己的可信互联网连接,而且还要从外部供应商处购买这些服务。联邦政府目前正致力于使小型机构能够更轻松,更具成本效益地获得此类服务,并使TIC战略适应云应用增加的情况。
然而,共享服务和商业技术并非没有风险。 2015年,在将IT运营转移到第三方的过程中,瑞典交通运输署意外地向外国公民提供了包括机密信息在内的大量信息。2017年3月,Gizmodo报告称,国防部承包商上传了部分非密敏感信息到可公开访问的云环境中,包括未加密的用户证书。因此,良好的政策和监督对引导更大的共享服务和商业技术迁移和实施非常重要。
5、探测并阻止边界威胁
尽管联邦政府机构对自己的网络安全负责,但国土安全部的法定使命是在整个政府提供一套通用的基准安全措施,并帮助各机构管理其网络风险。国土安全部的一项签名举措是EINSTEIN计划,其目标是在威胁上海联邦机构之前发现并将威胁遏止在边界之外。 为此,EINSTEIN利用已知的网络威胁指标,例如用于发送鱼叉式网络钓鱼电子邮件的电子邮件地址或恶意操作者已知使用的互联网协议(IP)地址。
EINSTEIN的前两个版本完全部署用于通过TIC路由的所有联邦政府的民用信息流量,使用非密的指标来探测恶意流量。 EINSTEIN 3 A(E3A)会包含加密指标,正通过为联邦政府服务的主要互联网服务提供商完成部署。国土安全部必须让每个机构自愿接受其提供的网络安全服务,例如EINSTEIN,但2015年网络安全法案要求所有联邦民事机构在2016年12月18日前执行EINSTEIN 3A。2017年初, 国土安全部杰伊·约翰逊(Jeh Johnson)部长表示,EINSTEIN 3A覆盖了93%行政部门人员。
过去国土安全部官员经常将人力资源管理办公室(OPM)信息泄露列为EINSTEIN的成功案例:在发现第一次OPM被袭的最初恶意指标后,这些指标帮助EINSTEIN探测到第二次攻击。然而,各机构对以下情况表示失望:
(1)将已知的网络威胁信息纳入系统速度不足;
(2)很难发现以前未知的网络威胁。为解决第一个挑战,国土安全部推行了一项计划,以更快速地从非联邦实体那里接收网络威胁指标,称为自动指标共享(作为回报,该计划也与私营部门共享指标)。
为此,美国国土安全部已经建立了一个系统,使用一种通用的STIX / TAXII格式实时自动共享和接收“机器可读”的网络威胁指标。为了解决以前未知的威胁,DHS正在开发先进的恶意软件和行为分析功能,能够自动识别和分离可疑流量,以便进一步检查,即使之前没有看到确切的指标。
6、识别和修复部门网络内的漏洞和风险因素
鉴于EINSTEIN可以探测并将威胁遏阻在边界之外,另一国土安全部签名计划(signature initiative)——“持续诊断和清除计划”(ContinuousDiagnostics and Mitigation,简称CDM)可以识别机构网络内的漏洞和风险因素。通过CDM计划,国土安全部为联邦部门采购商业网络安全工具。 这些工具可识别并对部门网络上的设备进行编目、检查漏洞(阶段1)、管理身份、帐户和权限(阶段2),识别和管理部门网络内的可疑活动(阶段3),并帮助保护敏感/高价值数据 (阶段4)。
CDM计划旨在实现三个好处。 首先,CDM帮助联邦政府机构以具有成本效益的方式采购商业网络安全工具。 其次,它可以在联邦政府内部使用通用传感器。 这使机构能够以相同的有效性跟踪和报告相同类型的数据。 第三,CDM计划将更快地将脆弱性信息提供给美国国土安全部,这样国土安全部可以跟踪部门在处理关键问题方面的进展,并了解整个行政部门的风险趋势。
美国国土安全部向参与的联邦民事部门提供了第一阶段的工具,用于识别部门硬件和软件资产以及相关的漏洞。 在2016财年,国土安全部向总共65个机构提供了新的CDM第二阶段工具,目标是在2017财年为机构提供第二阶段工具。2018财年,国土安全部将向部门提供涵盖CDM第3阶段的工具。CDM第4阶段仍然还在规划阶段。CDM工具提供的信息既可以提供给每个部门的保镖,也可以实时提供给国土安全部和NCCIC,同时还有那些有助于部门安排降低风险工作的信息。
虽然大多数联邦机构和CIO似乎都支持CDM计划的目标和意图,但有些人表示沮丧,认为该计划在速度和灵活性方面无法满足他们的需求。其他人发现该计划的一些要素,如预定价工具和服务,难以管理,因为难以预测真正需要的东西。评论家都很期待2018年8月,届时原始CDM合同到期时,DHS推进该计划以应对这些挑战。关于治理和监督问题的持续对话对于CDM充分实现计划的目标将是必要的。
7、改进事件管理
关于美国网络事件协调的2016年7月总统政策指令41(PPD-41)是编纂和传达美国政府对任何网络事件对联邦政府对策的原则,作用和责任的重要一步。 PPD-41利用网络空间事件严重性框架(Cyber Incident Severity Schema)根据网络事件对公共健康或安全,国家安全,经济安全,外交关系,公民自由或公众信任的实际或潜在影响来评估网络安全事件。它进一步描绘了事件响应的角色和责任,其中包括:
司法部(DOJ)是“威胁响应”的领导联邦机构,包括“网络事件的执法和国家安全调查”。
国土安全部在“资产响应”方面居于领导地位,其中包括“提供技术资产和援助以减轻脆弱性并减少事件的影响,识别和评估对其他实体构成的风险并减轻这些风险,并就如何利用杠杆联邦资源和能力作用提供指导。
国家情报总监办公室(ODNI)领导“情报支持”,包括“支持调查活动的情报收集以及对威胁趋势和事件的综合分析”。
任何“受影响的联邦机构”都将承担主要责任,“进行各种努力来管理网络事件的影响”,例如维持业务和运营连续性。
虽然PPD-41大部分都考虑联邦政府对涉及关键基础设施所有者和运营商的事件的回应(因此也超出了本报告的范围),但“受影响的联邦部门”的第四项重点强化了每个机构负责管理自己的网络安全和事件响应的一般规则。 如果有多个联邦机构参与某个特定事件,可以预期国土安全部和司法部将扮演协调角色,包括通过统一网络协调组来加强多个受影响联邦机构之间的沟通和协调。(详见国家网络事件应对计划。)
在一个联邦政府部门应对事件的资源方面,受影响的部门将首先利用自己的内部人员和承包商应对事故。国土安全部可以通过NCIC提供援助,通常都是在部门能力耗尽的情况下,该事件涉及国家安全,受影响的资产尤为关键,或事件涉及威胁行为者具有特殊意义。(为了减少紧急情况下的部署时间,联邦机构需要维持与国土安全部的长期网络授权。)在2016个CNAP中,奥巴马政府宣布打算将DHS的网络防御团队从10个增加到48个。特朗普政府提出的2018财年预算将为NCCIC增加4230万美元和20名人员,其中一些资源将用于建设网络防御团队。但是,所要求的数字似乎不太可能为全部48个团队提供资源。
美国国土安全部和总务署还开发了一种合同工具,使各机构能够“更快地获得关键的、预先审核的支持服务”,这对于网络遇袭等紧急情况尤其有利。例如,这包括更容易地获得私人合同服务的事件响应(以确定妥协的程度并从系统中移除对手)和追踪服务(以确定对手可能遭受攻击的其他系统)。
最后,美国政府也开始制定和实施民事部门想国防部提出防御性援助请求的政策。 如果收到请求(且可用),国防部可能会将请求转给美国网络司令部国家特遣部队的网络保护团队,或者其后备部队,来向其他机构提供必要的援助。 但是,当国防部力量可能参与其他机构的事件响应时,需要做更多的工作来明确具体情况或阈值。
第三部分 联邦政府网络的基石
如果没有合适的人员、技术和领导力来制定愿景,有效实施这一愿景并应对新的威胁,上述那样的重大网络安全举措就不会取得成功。 因此,为强大的网络安全奠定相应的基础,可以说比单个的倡议更重要。 本部分描绘了加强联邦政府网络人员队伍方面的重大努力; 通过研究和开发打下基础;对获取和采购实现现代化; 提高领导力,问责制和网络安全文化。
1、加强联邦政府网络人员队伍建设
尽管联邦政府目前在网络人员队伍方面的空缺并不公开,但联邦政府可能会出现高达10,000人空缺。联邦部门所面临的挑战包括:由许可流程造成的长时间滞后,由不灵活的人力资源流程造成的限制以及 需要“重新裁定”由其他部门授权的许可。 激励不足导致招聘困难,尤其是在竞争可以在私营部门赚取更多收入的专业人士时。 官僚体制的挑战可能会产生更大的影响,因为这种不确定性和延迟会影响人员生计。
作为CNAP的一部分,2017财年总统的预算提出了6200万美元的计划,要么直接或间接地帮助联邦政府招聘和留住拥有技术、政策和领导能力的网络安全人才。包括扩大CyberCorps计划,该计划为希望获得网络安全教育并在联邦政府民事部门中服务于其国家的美国人提供奖学金; 为学术机构制定网络安全核心课程; 加强网络安全方案国家学术卓越中心; 加强对加入联邦劳动力队伍的网络安全专家的学生提供免息贷款; 并通过总统的“全民计算机科学行动计划(Computer Science for All)”项目对网络安全教育进行投资。特朗普政府的2018财年预算中还包括了这些计划的资金投入程度。
国家网络安全教育倡议(NICE)是NIST领导的在政府、学术界和私营部门之间合作进行关于网络安全教育、培训和劳动力发展一个计划。 NICE于2017年发布了国家网络安全人才队伍框架,该框架为网络安全工作者提供了一个“通用词汇”,用于对网络安全人才进行分类,同时作为网络安全人员计划的指南。 NICE还管理着一些其他项目,如Cyber Seek,一种关于网络安全工作和人员可用性的可视化工具;区域联盟和多利益相关方伙伴关系;教育会议和展览,指定网络安全卓越中心。
2016年7月12日,奥巴马在白宫发布了《联邦政府网络安全人才战略》,该战略详细介绍了政府范围内确定、扩展、招聘、培养、保留和维持关键职能领域有能力和优秀员工的行动,以解决复杂多变的恶意网络威胁。 该战略还确定了解决持久性联邦人力方面挑战的新方法。 “战略行动计划”在12个月内委托了22项具体行动,以支持以下四大目标:
(1)确定人才需求;
(2)通过教育和培训扩大人才队伍;
(3)招聘和聘用高技能人才;
(4)留住和发展高技能人才。
2016年7月的战略很可能会被纳入特朗普政府关于加强网络安全的行政命令的研究中并被取而代之。2016年的战略提出要完成一份建立网络安全人才队伍的充分性的报告。行政命令也要求情报总监办公室提交“潜在的外国网络同行”的人才发展工作方面的报告。 综合起来,这些报告预计将有助于更好地了解美国成就的网络人才竞争力,并形成新政府的网络人才战略。
一些机构,特别是美国国土安全部和国防部,已经获得关键性授权,以更加灵活和简化方式雇用专业的网络安全人员。 2014年“边境巡逻员薪资改革法案”授权国土安全部长在例外部门中设立网络安全职位,并为这些职位制定薪酬标准。OPM还授权美国国土安全部利用直接雇用授权招聘网络安全人员,可以不通过竞争性招聘,如在USAJobs.com上列出一个职位和经验偏好标准。2016财年NDAA还授权国防部长设立一些支持美国网络司令部的文职职位作为例外服务职位。国防部现已制定并开始实施其招聘政策。
美国政府也越来越多地利用“众包”方式接触政府以外的人才。 2016年4月,国防部副部长Ash Carter开展了“黑客攻击五角大楼”的漏洞奖励试点,安全研究人员如果能够发现并提出国防部系统的漏洞,就可以获得相应的奖励报酬。在24天时间里,安全研究人员“攻击”了五个面向公众的DOD网站,其中包括国防部的主要网站。该计划超出预期,共有1,410名参与者,提交了138份有效/特别的报告,58名黑客获得了总计75,000美元117笔赏金,整个计划费用为150,000美元。截至2016年底,国防部已经制定了一个合同渠道,陆军和空军等多个部门都可以运行类似的赏金。美国国防部还鼓励国防部签署了源代码,以便进行漏洞奖励。然而,漏洞奖励并不是每个部门解决方案,因为在短时间内发布的漏洞报告需要相当成熟的漏洞管理能力。
另一个有前景的众包方法是开发针对联邦系统的漏洞披露程序。这些计划允许公众成员—— 其中许多人永远不会或不可能在联邦政府工作——报告在联邦系统中发现的漏洞,而不用担心被起诉。国防部于2016年建立了第一个此类计划,为漏洞提交建立了披露政策、流程和门户网站。它已经产生了明显的结果,通过此渠道报告了数千个漏洞,其中包括数十个严重或特别严重的漏洞。 与漏洞赏金不同,不需要向安全研究人员付款,但披露计划也不是免费的。各机构必须确保与参与者进行良好的沟通,以便摄取和管理漏洞并报告其补救措施;否则参与者可能很快失去兴趣。根据2017年7月发布的司法部框架,每个联邦机构都可以根据漏洞披露政策建立一个漏洞披露政策,原则上最好了解自己的漏洞而不是对他们置之不理。
2、通过研发筑牢基础
联邦政府是国家重点技术基础研究和开发的重要推动力量。 在网络领域也是如此。 联邦研发投资的结果可以改变网络防御者的工作方式,包括美国政府内部的维护者,例如通过采用更高的自动化、探测异常行为、分析数据和减少软件漏洞。
2016年联邦政府网络安全研发战略计划的基础是努力协调由USG赞助或实施的网络研发工作,以消除联邦资助的网络安全研究中的冗余,找出研究差距,确定研发努力的优先级并确保纳税人投资回报。该计划设定了近期(1 - 3年)、中期(3 - 7年)和长期(7 - 15年)目标,用于威慑、保护、探测和适应恶意网络活动。这些研发目标并非专门为支持联邦政府而设,但有几个将有利于联邦机构,例如:
开发支持所有产品格式、应用程序和生命周期的安全更新机制。(短期)
发现并应用自动化工具来描绘网络,包括实体、属性、角色以及流程和行为之间的逻辑关系。(短期)
使用数据分析来识别恶意网络活动,并以低误报率和漏报率将其与授权用户行为区分开来。(中期)
创建支持软件开发的工具链,每十万行代码中有一个缺陷,相对效率指标为90%,以提高生产力和系统性能。(长期)
目前还不清楚这些目标在特朗普政府下获得多少支持。 2017年8月的备忘录简要介绍了政府在2019财政年度的研发重点。
其他一系列联邦计划旨在推动高回报的创新。 作为国防高级研究计划局(DARPA)于2016年8月举办的Cyber Grand Challenge的一部分,来自世界各地的团队竞相“实现网络防御流程的自动化,将第一代机器应用于实际在没有任何帮助的情况下发现、证明和修复软件漏洞。七台高性能计算机在第一台全电脑”捕获“旗帜演习中相互竞争,洞察未来复杂的自动化如何影响网络安全。 2016年8月,七支队伍竞争测试他们的机器的自动化自卫能力。这些创新 ——特别是与自动化和机器学习相关的创新——可能在未来5-10年对企业和政府保护他们的网络都有重大影响,并保持将攻击者的优势转移到防御者的潜力。
3、采办现代化
联邦政府每年花费数千亿美元购买商品和服务。 这意味着联邦政府是一个重要的客户,能够利用其购买力来改变支持更强的网络安全。 另一方面,这种权力对整个全球市场的影响力迄今为止只有很少(<1%),并且可能因联邦机构各种或不协调的采购要求而受到削弱。
联邦采购法规(FAR)有关联邦政府所有采购和合同程序的管理规定。 FAR要求部门负责人规定程序,以确保IT采购符合FISMA,公共管理和预算办公室以及NIST网络安全标准和指南。 国防联邦采购条例补充(DFARS)扩大了承包商保护受控未分类信息的要求,要求承包商遵守NIST 800-171,要求承包商报告某些网络事件,并要求保护提供给国防部的承包商信息以回应网络事件。
尽管如此,联邦机构的采办系统面临诸多挑战。采办流程构建的系统没有充分关注网络安全,这意味着各机构必须后续工作中对网络安全进行“修复”。 许多采办流程在文化上倾向于赞成系统性的“特征”,这增加了受伤害的机滤。 (例如,以F-35的综合传感器、电子战能力、监视和侦察能力、雷达、目标瞄准系统、头盔式显示器等为代表的F-35套件)联邦政府至少可以从流程中获益,确保IT组件和系统具备国家最关键和敏感任务所必需的必要可信度。
采购领域和其他领域一样,也面临着技能型网络安全思维型人才短缺的问题。 在软件产品开发方面没有足够的采购专业人员或项目管理专业人员,这意味着采购决策可能会给网络安全带来负面影响。另一个挑战是内部人员和合同供应商受到其他激励措施的引导, 内部雇员可能有更大的动机来关注网络安全。 最后,采办界在IT的“发展”和“维持”合同之间仍存在着区别,这造成了软件和其他IT产品可被视为“完整”而不需要持续维护的错觉。
4、提升领导力、加强问责制和强化网络安全文化
正如CEO们越来越多地参与网络风险管理一样,联邦政府部门的领导人也越来越多地参与进来。 部门负责人的参与可能会表明部门在总体上是健康的网络安全态势。 但是,高层领导有许多相互竞争的优先事项,以及通过制定有关符合网络安全风险管理的重要学习曲线。 还是需要更好的决策和执行教育工具。
奥巴马政府通过由OMB领导的首席信息官委员会网络安全和总统管理委员会(PMC)部长助理级别的会议,让高级领导人参与了网络安全讨论。特朗普政府加强了对网络安全负责的机构负责人的关注,并且已经 指示所有机构为网络安全风险管理上报一名“高级问责官员”。这种高层次、持续的参与至少可以聚焦联邦机构的网络安全,并作为一种强制力量让各机构保持高级领导人参与。
OMB管理着一个总体记分卡,通过PMC和FISMA报告追踪联邦机构的网络安全状况。,国防部和司法部等多个其他机构开发了内部表单或记分卡来跟踪他们自己的进度。但是,要保持机构对网络安全的关注,需要领导和组织高层的持续参与。 但很少有高级领导人具备培训、工具或主题内容真正达到为其机构掌握网络安全风险管理的水平。
国防部的网络安全记分卡是高级领导人加强对网络安全的理解和问责的工具之一。记分卡由首席信息官负责管理,每月向副部长报告,每季度向部长报告,并每年在高级领导者论坛上进行多次讨论。它是在分析后开发的,已知入侵或入侵DOD网络的高比例利用了基本网络卫生的失败。 记分卡目前主要对网络卫生领域的国防部组成部分进行打分,但随着时间的推移将扩大到描绘国防部核心任务领域的网络安全状况,如核指挥和控制; 空间; 位置,导航和时间; 弹道导弹防御以及其他关键领域如人才队伍和采购等。
虽然自上而下的关注对于机构内部对网络安全问题日益关注至关重要,但也有人争论将更广泛的文化变革推向用户层面。 国防部正在开展一项示范性举措,旨在加强国防部所有员工的忠诚原则、知识水平、程序合规性、形式和备份以及质疑态度。
【推荐书籍】