拜登政府网络安全举措远超特朗普甚至奥巴马

攻防
1月前

100900479.jpg

  说到在网络安全方面的各项举措,奥巴马政府可谓树立了美国网络安全行动的标杆,但拜登政府连续推出的一系列措施甚至超过了奥巴马政府,更不用提东一榔头西一棒子的特朗普政府了。十月中旬,白宫发布情况说明书,阐述拜登-哈里斯政府对改善美国网络安全的持续关注,借以宣传拜登政府在网络安全方面取得的一些成果。

  2021年1月执政伊始,拜登政府就笼罩在SolarWinds和Microsoft Exchange供应链安全危机的阴云之下,情况说明书概述的正是拜登政府此后采取的种种网络安全举措。正如情况说明书中描述的,拜登政府的网络安全议程涵盖了一系列美国国内和国际数字保护议题。目前看来,有关美国国内的网络安全议程似乎比较成熟,但在国际网络安全舞台上,拜登政府仍有更进一步的空间。

美国试图锁紧自家数字大门

  在情况说明书中,拜登政府表示正着力制定全面的方法来“锁紧美国的数字大门”,并采取积极行动加强和保护美国网络安全。简报中列举了几项美国国内取得的网络安全成就:

  ● 改善关键基础设施网络安全,例如“运输安全管理局(TSA)颁布多项基于性能的指令,意图提高管道和铁路部门的网络安全韧性,并衡量航空部门的网络要求。”白宫还提到最近发布的网络安全绩效目标,将之作为改善关键基础设施安全的重要举措。
  ● 今年早些时候颁布的重要基础设施法案推动一系列工作陆续展开,确保新建基础设施智能且安全。
  ● 拜登政府2021年5月发布的行政令涵盖广泛,要求所有联邦政府系统采用多因素身份验证等“有效”网络安全措施,制定了实现国家零信任架构的战略,还要求联邦政府采购的所有软件都具有安全功能。通过这一行政令,拜登政府加强了联邦政府的网络安全要求,并利用政府的购买力提高了产品的网络安全标准。
  ● 加强安全防护,增加恶意攻击者的成本,例如制裁SolarWinds事件涉案恶意黑客,以及处罚加密货币交易所,切断勒索软件赎金支付途径(尽管情况说明书中未明确说明)。
  ● 开发新型标签帮助美国人了解自身设备是否安全,例如符合美国政府标准且经过授权实体测试的通用产品标签。
  ● 培养美国网络安全人才,加强网络安全教育,例如推出了为期120天的网络安全学徒冲刺(Cybersecurity Apprenticeship Sprint)计划——旨在帮助提供基于技能的网络安全入行途径。
  ● 开发抗量子加密技术,在量子计算领域占据优势地位;同时,通过即将归入美国国家标准与技术研究所(NIST)后量子加密标准的四种新加密算法,以及加大在量子技术方面的研发投资力度,缓解加密体制面临的风险。

  面对以上种种举措和其他行动,例如事件及勒索软件赎金支付强制性报告要求,一些专家表示,政府可能应该暂停颁布更多行政命令和政策公告,让联邦机构能够跟上指令和政策要求。Exiger关键基础设施高级副总裁、前美国国土安全部(DHS)官员Bob Kolasky向安全媒体CSO透露:“如果我是政府,我就会停止提出更多想法,我会采纳他们已经提出的好主意,并确保有效实现这些好点子。”

  “我觉得做太多反而坏事儿,所以我认为2023年不需要制定更多政策。反而应该对细节投以更多关注,从行业和运营人员处获得反馈,从而确保实施的那些要求设计良好。”

美国在国际上取得的网络安全成果

  除了上述国内成就,白宫还列出了几项美国在国际上取得的网络安全成果。其中最主要的是刚举行了第二次会议的国际反勒索软件倡议(International Counter Ransomware Initiative),以及推动公认的网络规范,例如美国最近与国际伙伴合作,谴责伊朗对阿尔巴尼亚政府系统进行反规范攻击,并为此向德黑兰施压。

  一些国家似乎支持美国在应对网络安全威胁方面扛旗。世界经济论坛(World Economic Forum)网络安全中心(Centre for Cybersecurity)治理与信任负责人Daniel Dobrygowski向媒体透露:“美国内部的协调促进了与思维类似的国家之间更有效的合作,这些国家逐渐发现自己不断参与网络防御的局面是可喜的。”

  美国加入《网络空间信任与安全倡议》,且作为美国-东盟全面战略合作伙伴关系的一部分,承诺共同制定数字信任计划和网络安全标准,“表明美国成功展开了在国际网络安全和数字信任问题上建立盟友的战略。”

  阿卡迈全球公共政策副总裁、前奥巴马政府网络安全官员Lauren Van Wazer表示:“我认为,拜登政府的工作基本上获得了好评。同时,我觉得各国不会袖手旁观。尤其是在网络安全事件报告领域,很多国家都已经制定了法规。”

  Kolasky称:“勒索软件等网络犯罪跨越国界,美国若能发挥领导作用会很有帮助。在金融执法和追捕勒索软件罪犯方面,我们需要进行一定程度的协调与合作。因此,美国应该制定标准,让支持犯罪团伙或资助犯罪团伙使用勒索软件的国家受到惩罚。”

需在国际舞台上更有作为

  Van Wazer认为,尽管取得了一些成果,但白宫还需继续在国际舞台上推进网络安全。首先就是进一步协调国际合作伙伴如何处理网络安全政策和要求,比如协调网络安全事件响应要求这一“容易取得的成果”。

  Wazer表示:“如果要推动关键基础设施更具韧性,欧盟采用的标准是否会与美国标准不完全一致?能从协调网络安全相关法规中获益的领域有很多,涵盖了从网络韧性到行业特定法规的一切。”

  美国显示网络安全领导力的另一个领域是与其他国家合作,帮助解决信息安全专业人员长期短缺的问题。Van Wazer表示:“世界各地的教育都被打乱了,这意味着能够获得所需证书的人越来越少。我觉得,网络安全人力资源方面的问题也可以从国际视角加以观察,可以在国际上多做工作来增加网络安全人才储备。”

  世界经济论坛的Dobrygowski认为,拜登政府应该继续着重保护民主免遭数字威胁。他表示:“保护民主免受数字威胁,再加上拜登团结世界对抗外部威胁的努力,辅以持续关注和不懈努力,可取得堪称政绩的成功。”

  Kolasky指出,国际上一些国家为保护乌克兰数字基础设施而开展的工作是值得继续加强的领域。他尤为推崇“其他国家将向遭受攻击的国家提供额外的技术援助、防御行动资金支持和信息共享,同时鼓励私营部门和非政府组织参与网络防御。”

白宫发布的情况简报
https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/11/fact-sheet-biden-harris-administration-delivers-on-strengthening-americas-cybersecurity/

参考阅读
看拜登政府网络安全行政令的七大举措
美国政府网络安全预算增加至156亿美元
美国国土安全部成立网络安全审查委员会
介绍一下美国国防部的网络安全成熟度模型认证(CMMC)