智库快讯丨美国发布EDR备忘录以促进网络安全

华盛顿特区——2017年6月6日，华盛顿特区，艾森豪威尔行政办公楼的外部，毗邻白宫和管理和预算办公室总部。

10月8日，美国行政管理和预算办公室(Office of Management and Budget，以下简称OMB)发布了一份主题为“通过终端监测与响应分析（Endpoint Detection and Response，以下简称EDR），提升联邦政府系统网络安全漏洞和事件监测能力”的备忘录，要求联邦各机构与国土安全部网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency，以下简称CISA)通力合作，共同促进网络安全。

今年5月，美国总统拜登签发了《关于改善国家网络安全》的第14028号行政命令，指示联邦政府积极采用EDR技术，作为从被动防御转向主动防御、确保网络安全的重要措施之一。EDR融合实时连续监测与终端数据（如工作站、手机、服务器等联网计算设备）收集，具有自动响应和分析能力，是一种主动的安全技术。与传统安全手段相比，其能及时感知系统中特定用户的异常行为，能更早发现安全威胁。美国政府认为，EDR技术能提高政府网络安全防护能力，有效应对日益增长的各类网络威胁活动。

备忘录为联邦机构和CISA部署和改进EDR制定了时间表和路线图。

一是要求各联邦机构在90天内向CISA提供访问其联网设备和服务器的防御系统的权限，以访问各机构目前的端点检测和响应部署。

二是要求CISA在90天内开发一种持续评估机构端点检测能力有效性的方法，确保EDR方案的部署和运行。

三是要求CISA与首席信息官理事会协调合作，在90天内向OMB提供进一步强化EDR的建议，发布技术参考标准和成熟模型，并在180天内发布最佳EDR方案应用手册。

备忘录还对各联邦机构执行EDR规定了具体要求。

一是与CISA协调，在120天内分析评估现有EDR能力和差距。

二是确保现有及未来EDR方案及搜集的终端数据符合CISA技术参考标准要求。

三是与各部门首席财务官和OMB资源管理办公室协调，确保EDR方案落地的必要资源及人员支撑。

四是确保EDR方案符合隐私保护及统计方面的法律与政策。

一直以来，美国联邦机构的网络安全状况饱受各界诟病。如在SolarWinds供应链攻击事件中，美国政府官员也承认其在对政府终端设备监控中存在失职。美国发布上述备忘录，意在使用最新先进技术，提升联邦机构对网络安全事件的早期发现、及时反应和迅速补救的能力。

信息来源：

• Executive Order 14028, Improving the Nation's Cybersecurity (May 17, 2021),https://www.federalregister.gov/d/2021-10460.

• https://www.cyberscoop.com/omb-cisa-endpoint-detection-memo/