2021年5月12日,美國總統(tǒng)拜登簽署《關于加強國家網絡安全的行政命令》(以下簡稱“行政命令”),旨在采用大膽舉措提升美國政府網絡安全現(xiàn)代化、軟件供應鏈安全、事件檢測和響應以及對威脅的整體抵御能力。該行政命令承認美國需要徹底改變其處理網絡安全和保護國家基礎設施的方式,對網絡事件的預防、檢測、評估和補救是國家和經濟安全的首要任務和必要條件,也是拜登政府網絡安全政策的當前核心。同時明確指出聯(lián)邦政府必須以身作則,所有聯(lián)邦信息系統(tǒng)應達到或超過該命令規(guī)定和發(fā)布的網絡安全標準和要求。
一、《行政命令》的出臺背景
該《行政命令》的出臺是美國政府對近期發(fā)生的SolarWinds供應鏈攻擊、微軟Exchange漏洞攻擊,以及Colonial Pipeline輸油管道等一連串備受矚目的重大網絡安全事件的響應,這些事件使美震驚地發(fā)現(xiàn),其公共和私營部門實體越來越多地面臨來自國家行為者和網絡犯罪的持續(xù)且日益復雜的惡意網絡攻擊。這些事件也充分暴露了美網絡安全防御能力的嚴重不足。在簽署該《行政命令》之前,拜登政府以及國會已撥款10億美元,用于改善聯(lián)邦政府的IT基礎架構并使其現(xiàn)代化。該《行政命令》充分體現(xiàn)了拜登政府試圖采取關鍵步驟來解決美在上述事件中所暴露出的安全問題的決心,明確指出需要做出大膽改變并進行大量投資,為聯(lián)邦政府提出一系列全面行動,以改善并捍衛(wèi)支撐美國重要機構以及國家網絡的網絡安全性。
二、《行政命令》的主要內容
該《行政命令》是美國政府為實現(xiàn)國家網絡防御現(xiàn)代化而采取的眾多雄心勃勃措施中的第一步。長達34頁的行政命令涵蓋了許多網絡安全問題,其重點內容主要包括如下七個方面:
(一)消除共享威脅信息的障礙
《行政命令》要求消除政府和私營部門之間共享威脅信息的障礙。行政命令確保信息技術服務提供商能夠與政府共享信息,并要求他們共享某些違規(guī)信息。信息技術提供商通常會猶豫不決,或者無法主動分享受損信息。有時這可能是由于合同義務;在其他情況下,提供商可能只是不愿意分享他們自己的安全漏洞信息。消除任何合同障礙,要求提供商共享可能影響政府網絡的違規(guī)信息,對于聯(lián)邦部門實現(xiàn)更有效的防御以及提高整個國家的網絡安全是必要的。
(二)聯(lián)邦政府網絡安全現(xiàn)代化
為適應當今動態(tài)和日益復雜的網絡威脅環(huán)境,聯(lián)邦政府必須采取果斷措施,使其網絡安全方法現(xiàn)代化,包括提高聯(lián)邦政府對威脅的可視性,同時保護隱私和公民自由。為此,要求在聯(lián)邦政府中更新和實施更強的網絡安全標準。該《行政命令》有助于推動聯(lián)邦政府保護云服務和零信任架構,并要求在特定時間段內部署多因素身份驗證和加密。過時的安全模型和未加密的數據導致公共和私營部門的系統(tǒng)遭到破壞。聯(lián)邦政府必須走在前面,并提高其對安全最佳實踐的采用,包括采用零信任安全模型,加快向安全云服務的轉移,并始終如一地部署多因素身份驗證和加密等基礎安全工具。
(三)提高軟件供應鏈的安全性
當前商業(yè)軟件的開發(fā)缺乏透明性,不關注抵抗攻擊的能力,以及防止惡意行為者篡改的能力。因此,迫切需要實施更加嚴格的機制,以確保產品的安全運行。“關鍵軟件”的安全性和完整性是一個特別需要關注的問題。“關鍵軟件”指的是執(zhí)行關鍵功能的軟件。因此,聯(lián)邦政府必須要采取行動,迅速提高軟件供應鏈的安全性和完整性,并優(yōu)先解決關鍵軟件問題。該行政命令將為出售給政府的軟件開發(fā)建立基線安全標準來提高軟件的安全性,包括要求開發(fā)人員保持對其軟件的更大可見性,并公開安全數據,且建立了一個并行的公私合作過程來開發(fā)新的和創(chuàng)新的方法來保護軟件開發(fā),并利用聯(lián)邦政府的購買力來推動市場從頭開始將安全性構建到所有軟件中。
(四)建立網絡安全審查委員會
該《行政命令》設立了一個由政府和私營部門領導共同主持的網絡安全審查委員會,該委員會負責審查和評估影響聯(lián)邦信息系統(tǒng)或非聯(lián)邦系統(tǒng)的重大網絡事件、威脅活動、漏洞、修復活動和機構響應。委員會成員包括聯(lián)邦官員和私營企業(yè)的代表,具體包括國防部、司法部、CISA、NSA和FBI的代表,以及國土安全部長確定的適當私營網絡安全或軟件供應商的代表。當審查中的事件涉及國土安全部部長確定的FCEB信息系統(tǒng)時,OMB代表也應參加委員會活動。國土安全部部長可根據審查事件的性質和具體情況邀請其他人參與。
(五)使《聯(lián)邦政府應對網絡安全漏洞和事件的行動手冊》標準化
該《行政命令》為聯(lián)邦部門和機構的網絡事件響應創(chuàng)建了標準行動手冊。最近的事件表明,用于識別、補救和恢復網絡安全漏洞和事件響應程序因機構而異,阻礙了牽頭機構更全面地分析各機構的漏洞和事件的能力。該行動手冊將確保所有聯(lián)邦機構達到一定的門檻,并準備采取統(tǒng)一的步驟來識別和減輕威脅。標準化響應過程確保了網絡安全漏洞和事件應急響應更協(xié)調和集中化記錄,可以幫助機構進行更加成功的應急響應。該標準行動手冊應包含所有對應的NIST標準;可以被所有聯(lián)邦文職行政部門(FCEB)使用;在事件響應的所有階段闡明進度和完成情況,同時允許一定的靈活性,以便用于支持各類應急響應活動。
(六)加強聯(lián)邦政府網絡中網絡安全漏洞的檢測能力
聯(lián)邦政府應動用一切適當資源和權力,最大限度地及早發(fā)現(xiàn)其網絡中的網絡安全漏洞和事件。聯(lián)邦文職行政部門(FCEB)應部署端點檢測和響應(EDR)計劃,以支持在聯(lián)邦政府基礎設施內的網絡安全事件主動檢測、主動網絡掃描、遏制和修復以及事件響應。聯(lián)邦政府應在網絡安全方面發(fā)揮領導作用,而強大的政府范圍端點檢測和響應部署以及強大的政府內部信息共享至關重要。
(七)提高聯(lián)邦政府的調查和補救能力
該《行政命令》認為聯(lián)邦信息系統(tǒng)的網絡和系統(tǒng)日志信息對調查和補救而言都是無價的。各機構及其IT服務提供商必須收集和維護此類數據,并在處理FCEB信息系統(tǒng)上的網絡事件時,根據適用法律,要求通過基礎設施安全局(CISA)向國土安全部和聯(lián)邦調查局提供這些數據。
三、幾點思考
(一)美國缺少“吹哨人”, 鼓勵勇做并保護“吹哨人”
該行政命令強烈要求消除信息障礙,致力于解決美國政府與私營部門之間長期存在的信息共享問題,從合同入手,要求消除當前禁止聯(lián)邦機構和私營部門共享威脅情報和其他與網絡安全相關的信息的合同障礙。應該說,SolarWinds供應鏈事件,給美國所有科技公司和政府機構狠狠上了一課。為深刻反思該事件,美國國會曾連開兩場聽證會來復盤。會中,最早發(fā)現(xiàn)入侵證據的火眼(FireEye)公司CEO 提出了靈魂反問:“我們美國的吹哨人呢?”在SolarWinds攻擊事件發(fā)生時,美國各大科技公司并沒有第一時間預警響應、互通信息,而是開始了“花式拉踩”。
公司間的“花式拉踩”讓國會開始反思,為什么不共享威脅情報呢?如果在事件發(fā)生時有“吹哨人”對入侵第一時間做出反應,各公司互通持有的情報,應能更早查明原因,縮小影響范圍,甚至提前防范。美國認為必須要有一種機制,讓感應到攻擊的“吹哨人”能迅速共享情報和數據,以保護國家和行業(yè)。吹哨人有義務將威脅情報分享給政府機構,同時必須保護吹哨人,使其無畏于各種阻礙和披露。這樣才能快速掌握情報,并展開調查。因此,不難理解為什么該行政命令將消除威脅政府與私營部門之間信息共享的障礙放在首位。后續(xù)美國很可能還要更新2015年的《網絡安全信息共享法案》,促進各部門和科技企業(yè)之間的信息流通,以便對入侵事件做出快速反應,同時鼓勵勇做“吹哨人”,保護“吹哨人”。
(二)零信任是當務之急,未來將成為美國政府新的網絡架構
該行政命令要求聯(lián)邦機構創(chuàng)建“零信任”環(huán)境,要求政府部門向云技術的遷移應在可行的情況下采用零信任架構。零信任架構已成為美國防部尋求的更先進的網絡安全架構,并將零信任視為網絡安全的未來。緊隨該行政命令,2021年5月28日美政府發(fā)布《2022財年預算案》,要求撥款6.15億美元用于與零信任網絡安全架構相關的工作。
當前,零信任已成為美國政府及企業(yè)的焦點:
(1)美國國防部首席信息官表示零信任作為一種網絡安全和技術模型,代表了美國防部思維方式的轉變,是一個戰(zhàn)略問題。為此,美國防部2021年將推出零信任戰(zhàn)略,并已開始進行零信任網絡的幾個試點項目,以及開始實施新的企業(yè)ICAM工具以支持零信任。
(2)美國土安全部以遷移到“云優(yōu)先”身份來實現(xiàn)零信任。
(3)美國國防信息系統(tǒng)局 (DISA) 為國防部發(fā)布零信任參考架構,DISA 的163頁參考架構列出了國防部大規(guī)模采用零信任的戰(zhàn)略目的、原則、相關標準和其他技術細節(jié),零信任從基于網絡的防御轉變?yōu)橐詳祿橹行牡哪P停⑶也皇谟桦[含的信任用戶以防止?jié)撛诘膼阂庑袨檎咴诰W絡中移動。
(4)美空軍開發(fā)了跨部門零信任的成熟度模型,該模型將幫助整個空軍的網絡管理員和IT專業(yè)人員使其架構符合零信任。該模型突出了流程的關鍵要素,例如確保正確的數據標記和訪問管理。空軍還在研究企業(yè)身份、憑證和訪問管理 (ICAM) 認證,以便能夠更安全地識別用戶。
(5)美國國家標準與技術研究院(NIST)推出特別出版物800-207零信任架構。
(6)零信任產品在2021年5月17日召開的RSA大會上也成為業(yè)界關注的焦點,其中IBM、微軟、黑莓、One Identity、CrowdStrike等都展示了其零信任藍圖、方案及產品。種種舉措和行動表明,零信任未來將成為美國政府新的網絡架構。
(三)推出迄今為止為保護軟件供應鏈安全而采取的最強勁措施
該行政命令明確提出要增強美國聯(lián)邦政府的軟件供應鏈安全,要求向美國聯(lián)邦政府出售軟件的任何企業(yè),不僅要提供軟件本身,還必須提供軟件物料清單(SBOM),明確該軟件的組成成分。要求所有聯(lián)邦政府軟件供應商都遵守有關網絡安全的嚴格規(guī)則,否則有被列入黑名單的風險。最終,該總統(tǒng)命令計劃創(chuàng)建一個“能源之星”標簽,以便政府和公共購買者都可以快速輕松地查看軟件是否遵循了安全開發(fā)規(guī)范。同時要求NIST在6個月內發(fā)布軟件供應鏈安全指南,并在1年內發(fā)布最終指南。
SolarWinds供應鏈黑客攻擊事件大大突破了當今美國頂級安全公司及政府機構所具有的防御能力,對美國供應鏈和關鍵基礎設施安全防御體系富有極大的沖擊性,充分暴露了美國網絡防御能力建設的相對滯后乃至不足。因此,該行政命令彰顯了美國致力于保護軟件供應鏈安全的決心和強勁措施,并且首次引入“關鍵軟件”概念,側重于網絡安全影響,主要是與系統(tǒng)特權或直接訪問網絡、計算機資源相關的軟件,將供應鏈安全問題深化和細化,關切點正在聚焦到特定IT產品和服務。反觀我國,當前在軟件供應鏈安全方面的基礎比較薄弱,亟需從國家、行業(yè)、機構、企業(yè)各個層面建立軟件供應鏈安全風險的發(fā)現(xiàn)能力、分析能力、處置能力、防護能力,整體提升軟件供應鏈安全管理的水平。
(四)行政命令的具體政策如何落地成為美網絡安全行業(yè)討論的焦點
近期美國各大主要媒體均刊登了美國網絡安全業(yè)內專家對該行政命令的一些看法。總體上持歡迎態(tài)度,但對具體政策的落地效果持保留意見。美國參議院情報委員會主席認為:“這項行政命令是邁出良好的第一步,但行政命令只能走得那么遠。”信息技術產業(yè)委員會主席兼首席執(zhí)行官說:“我們贊賞在此行政命令中對公私合作的關注,以及為使聯(lián)邦信息系統(tǒng),網絡和供應鏈現(xiàn)代化和簡化而采取的有意義的步驟。”Tenable公司CEO認為:“雖然很高興看到網絡安全在拜登總統(tǒng)的政策倡議中發(fā)揮了突出的作用,但現(xiàn)在必須把注意力集中在該行政命令的可操作性上。”埃森哲安全事業(yè)部高級董事總經理認為:“有了這一行政命令,政府和企業(yè)可以針對出現(xiàn)的威脅做出更快、更明智的決策。明天,艱苦的工作就開始了。” BlueVoyant全球專業(yè)服務負責人認為:“盡管該命令突出了我們國家安全中的許多弱點,但它實在是太冗長了,而且提出的行動通常是無法實現(xiàn)的。例如,情報信息共享已經討論了多年,但我們還沒有看到一個真正可行的計劃產生結果。投資的回報率是多少?”
大部分專家認為該行政命令的范圍很廣,而且美國政府制定的時間表也很激進,下一步如何實施、貫徹以及執(zhí)行將是絕對關鍵。美國政府必須改善與行業(yè)合作的方式,各機構還需檢查其是否有足夠財力和人力來執(zhí)行該行政命令的任務,同時代理商可能需要根據該行政命令制定新的法規(guī),私營科技公司還必須做出重大改變以滿足聯(lián)邦政府的要求等,這些還需要白宮進一步采取行動,包括美國土安全部預計將在未來幾個月內根據行政命令制定新的立法。
