当今,科技社会日益发展,信息互联网连接万物,生活中的方方面面都离不开网络。尤其是近年来发展迅猛的移动物联网,让人们的生产生活方式发生了翻天覆地的变化,人们对网络的依赖度也达到了前所未有的高度,这一背景下,网络安全的重要性就显得尤为突出。近期,美国采取多种措施,强化网络安全保障能力,以适应日益严峻的网络安全态势。
拜登政府近日发表《国家安全临时战略指南》,并提出网络安全指导方针。尽管是临时性文件,但该指南反映了最终指导文件的总体方向和立场。
与特朗普政府2018年发表的《网络安全战略》相比,拜登政府的《国家安全临时战略指南》在两个方面有所不同:一是拜登文件强调了国家网络人才库多样化的重要性,而特朗普文件对此只字未提;二是拜登文件强烈暗示了政府对网络安全的投资,而特朗普文件力求将政府对网络安全的投资的概念降至最低,并强调了政府在促进私营部门对网络安全投资方面的作用。
在其他领域,两个文件的表述基本相同,这表明拜登政府与特朗普政府之间在网络政策和战略方面具有极大的连续性。而历史情况表明,在过去的十年中甚至更长的时间内,各届政府在网络政策方面的延续性要大于变革性。
拜登政府3月3日发布了《国家安全临时战略指南》。关于网络安全,该文件指出:
“随着我们加强科学技术基础,我们将把网络安全放在首位,增强我们在网络空间中的能力、准备和弹性。我们将在整个政府将网络安全提升为当务之急。我们将共同努力来管理和分担风险,我们将鼓励私营部门与政府之间的合作,以便为所有美国人建立一个安全的在线环境。我们将扩大基础设施和人员方面的投资从而有效保护国家免受恶意网络活动侵害,在我们建立无与伦比的人才库的同时为不同背景的美国人提供机会。我们将重新致力于网络问题上的国际参与,与我们的盟友和合作伙伴一起努力维护现有的网络空间全球规范并塑造新的规范。我们将追究破坏性、干扰性或破坏稳定性的恶意网络行为者的责任,并采用网络和非网络手段施加重大成本,从而对网络攻击做出迅速和相称的反应。”
从定义上说,该临时指导文件是一项还在开展的工作,最终指导文件预计将与该临时指导文件大致相符,但也将包含有关该临时指导的更详尽的阐述。尽管如此,为了了解相对优先事项,将临时指导文件与2018年发布的特朗普政府《国家网络战略》进行比较很有趣。下表将上述段落(逐句)与特朗普政府《国家网络战略》中的类似段落进行了对比。
除详细措辞外,拜登政府的《国家安全临时战略指南》与特朗普政府的《国家网络战略》在两个方面有所不同。首先,拜登文件强调了国家网络人才库多样化的重要性,而特朗普文件对此只字未提。其次,拜登文件强烈暗示了政府对网络安全的投资,而特朗普文件力求将政府对网络安全的投资的概念降至最低,并强调了政府在促进私营部门对网络安全投资方面的作用。
在拜登临时指南中涉及的所有其他领域,说法基本上是相同的。如果真是这样,则表明拜登政府与特朗普政府之间在网络政策和战略方面具有极大的连续性。当然,特朗普的《国家网络战略》与奥巴马的网络战略也没有什么不同。
这表明,在过去的十年中甚至更长的时间内,各届政府在网络政策方面的延续性要大于变革性。
02 美国国会通过纾困计划,近20亿美元将用于网络安全和技术现代化
国会山网站3月10日消息,美国众议院投票通过了1.9万亿美元的《美国纾困计划法案》(American Rescue Plan Act),其中,近20亿美元将用于网络安全和技术现代化。
法案包括为网络安全和基础设施安全局(CISA)提供6.5亿美元资金。该笔资金旨在增强联邦网络安全并保护疫苗供应链。此外,法案还包括为总务署(GSA)的技术现代化基金拨款10亿美元,用于更新过时的IT系统,并为美国数字服务(U.S. Digital Service)拨款2亿美元。
该法案已获得参议院的批准,并有望在周五获得拜登签署。众议院最初并未将网络相关资金包括在其中,并且远低于拜登最初提出的近100亿美元的网络和技术资金。这笔资金之后被包括在政府提议中,部分原因在于SolarWinds骇客事件造成持续影响,至少有9家联邦机构和100家私营部门公司受到相关攻击的波及。
针对由SolarWinds入侵事件引发的一系列黑客活动,白宫即将发布行政命令,要求采取包括提高软件透明度在内的一系列应对措施。
美国白宫高级网络安全官员正在与证券交易委员会、环境保护局、能源部门以及工业控制系统专家合作,制定关键基础设施保护计划。
随着互联网连接度的不断提升,与水资源管理、电网运行、地铁系统以及其它基础服务相关的底层系统也面临着愈发严峻的网络攻击威胁。就在上个月,一个身份不明的攻击者试图将佛罗里达州一家水处理厂的化学成分操纵到危险的水平。这个案例说明系统的低能见度不仅能造成数字威胁,还能造成物理伤害,带来灾难性的后果。
美国网络与新兴技术国家安全副顾问Anne Neuberger表示,“考虑到任务影响、风险、威胁与文化差异,我们需要建立起有针对性的OT(运行技术)网络安全方法,来保护美国本土的工业基础设施。”
Neuberger上周五在SANS研究所举办的工业控制系统安全虚拟峰会上发表讲话,她强调:“如果你无法看见网络,自然无法保护网络;如果无法快速看见网络,自然无法及时捍卫网络。我们必须把这两点作为IT与OT的核心原则。”
Neuberger表示,这项计划的初步范围将集中在对美国民众影响最大,或者对国防、天然气、电力、管道、水资源以及化学系统具有重大意义的运营技术身上。此项计划还迎来另一位私营电力组织的重量级参与者——美国南方电力公司CEO Tom Fanning,同时也是国会授权的网络空间日光浴委员会成员。
由多位立法者组成的网络空间日光浴委员会,曾建议对2002年颁布的《萨班斯-奥克斯利法案》做出修订,批准证券交易委员会针对上市公司提出的网络安全监督与报告要求。上周三,该委员会的审查部门已经将信息安全与运营弹性(特别是网络安全)列为2021年内的高优先级事项。
Neuberger强调,白宫也在与美国证券交易委员会进行对话,“希望在采取实际行动之前明确双方拥有共同的目标,并通过讨论确定有效方法。”
目前,受SolarWinds事件影响的至少9家联邦政府部门与100多家企业受害者都表达了系统与软件透明度的重要意义。Neuberger认为,政府不仅需要从企业处获取洞见,同时也应关注企业所运营产品的实际质量,在源头上阻遏入侵行为的发生。
她认为,“我们需要从根本上转变观念,从事件响应转变为事先预防,并据此规划时间与资源投入。”
她还提到,即将发布的这项最新行政令还将包括一系列标准,可引导软件采购方轻松做出更好的安全决策。此外,美国国家电信与信息管理局也将提出一项改进软件物科清单质量的措施。
“如今,一个网络所有者在采购网络管理软件等技术方案时,往往无法了解软件构建当中所使用的具体网络安全实践,也无法了解做出的产品选择将引入怎样的风险级别。我们必须扭转不利局面,推动软件物料清单及其他相关信息建立起良好的可见性。也只有这样,我们才能有效运用网络安全资金,明确表达我们在决策中最为重视的考量因素。”
美国网络司令部司令保罗·中曾根将军近期说,”网络司令部在政府应对针对美国政府实体和公司的大规模网络间谍活动方面发挥着持续的关键作用”。”当然,在过去的几个月里,”他说,”太阳风事件让我们的注意力更加集中了。”
Nakasone的评论发表在同一天,安全公司FireEye,这是第一个发现太阳风黑客后成为第二阶段的受害者本身,发表了一篇博文,详细说明了一个新发现的后门,它被称为SUNSHUTTLE。该公司表示,SUNSHUTTLE与UNC2452有”可能的联系”——FireEye已经给出了一个与太阳风运动相关的威胁参与者。
Nakasone是在第八届CYBERCOM年度法律大会上发表主旨演讲时作上述表示的。除了领导网络司令部外,Nakasone目前还担任国家安全局局长和中央安全局局长。
Nakasone没有详细说明CYBERCOM对SolarWinds黑客攻击的”关键作用”或”持续反应”是什么,但他强调支持联邦调查局、国土安全部、网络安全和基础设施安全局以及国家情报总监办公室。CYBERCOM 的广泛使命包括保护国防部网络、保护国家免受网络攻击以及支持联合部队。他的讲话突出了网络司令部的”前出防御”概念。Nakasone声称,前出防御包括”在美国军事网络之外执行行动”。
与此同时,FireEye 的曼迪安特威胁情报团队表示,他们发现 SUNSHUTTLE由一家美国实体于 2020 年 8 月上传到公共恶意软件存储库”。它没有说出实体的名称,但这可能是曼迪安特所指的与UNC2452的”可能联系”。
Mandiant将SUNSHUTTLE描述为“最有可能是在最初的妥协后丢弃的第二阶段后门。”SUNSHUTTLE包括标准的恶意软件功能,包括与远程服务器的通信,远程服务器由威胁参与者控制,威胁参与者可以使用这些服务器远程更改恶意软件的配置、上传/下载文件,对受损资产执行任意命令。曼迪亚特说,目前还不知道感染媒介。
美国政府尚未正式将这起太阳风黑客事件归咎于此。公营和私营部门官员已达成广泛共识,认为俄罗斯情报部门是这场运动的幕后黑手,这场行动已影响到9个联邦实体和至少100家私营公司。预计美国政府将正式对这起黑客攻击事件进行定性,并很快宣布美国的应对措施。
在2021年2月21日的一期《面对国家》(Face the Nation)节目中,国家安全顾问杰克•沙利文(Jake Sullivan)表示,“这种反应将包括各种看得见和看不见的工具,而不仅仅是制裁。”他补充说,“我们将确保俄罗斯了解美国在此类活动上的界限。”
在前出防御的背景下,Nakasone讨论了“持续交战”的原则,他说“以使能和行动的构建为中心”。Nakasone表示,使能意味着共享威胁指标、共享人员和提供洞察力。行动包括“前出搜索”、进攻行动和情报行动。在CYBERCOM的战略范围内,进攻性行动可能意味着对对手采取报复性或先发制人的网络措施,以保护美国。他说:“持续的接触,通过反击和争夺没有武装冲突的战役,集中于侵略者的信心和能力。”
Nakasone指出,“网络空间存在着大国竞争”,他说,中国是“最具战略意义的对手”,而俄罗斯仍然是网络空间“最老练的对手”。伊朗和朝鲜仍然是“有能力和意图”的对手。他补充说:“我们今天的对手得到了我们的关注。”
Nakasone强调,“伙伴关系是我们成功的关键”,无论是与外国盟友还是在国内私营部门。他补充说,强大的合作关系“会使网络空间中的对手行动越来越困难”。他重点介绍了美国国家安全局网络安全协作中心的工作,该中心的宗旨是与国内私营部门建立伙伴关系,并与伙伴进行快速沟通。
Nakasone还总结了CYBERCOM在保护2020年选举中的作用,并指出,在2020年,美国国家安全局发布了30多份涉及网络安全指导和缓解措施的公共咨询意见,更多的直接发布给国防和情报部门的客户。
2021年3月1日,弗吉尼亚州议会通过了《消费者数据保护法》(CDPA),弗吉尼亚州由此成为美国第二个拥有全面隐私法的州。CDPA的制定受到了《加州消费者隐私法》(CCPA)和欧盟《一般数据保护条例》的启发和影响。在内容方面,CDPA除了赋予消费者访问、更正、删除和获取个人数据副本的权利外,还明确消费者享有自由选择出售个人数据以及允许使用个人数据进行定向广告或分析决策的权利。CDPA将于2023年1月1日正式生效。
与此同时,弗吉尼亚州正组建一个工作组,成员由商务部长、行政部长、总检察长、参议院交通委员会主席、控制或处理至少10万人个人数据的企业代表和消费者权益倡导者构成。后期,该工作组将梳理CDPA实施的所有细节,审查本法案的规定及其他实施相关问题,并将“调查结果、最佳实践和建议”于2021年11月1日提交有关部门,为法案正式实施做好准备。
美国国会监督机构GAO近期宣布,尽管美国国防部在改善这些平台的网络保护方面取得了重要进展,但美国国防部仍在努力在武器系统合同中提高对网络安全的要求。
一份关于美军五种主要武器平台的报告发现,其现有的安全措施比2018年更好,当时政府问责办公室GAO的最后一次审查称,武器的网络安全措施不充分。
尽管如此,GAO仍发现了采办过程中的网络安全漏洞,被审查的五个项目中有三个在合同授予中没有任何网络安全要求。美国空军是唯一一家提出网络安全要求并将其纳入合同的广泛指导的部门。
在联邦政府努力解决IT承包商因安全漏洞而造成的后果之际,IT承包商对潜在访问敏感系统和可能的供应链安全弱点提出了担忧。
GAO审查了五种武器系统:雷达项目,反干扰器,舰艇,地面车辆和导弹。最近三年中有四个方面有所改善。GAO报告说,他们拥有更多的网络专业知识,完成了更多的网络评估,使用了额外的网络安全指南,并根据任务需要改进了网络需求。
报告称:“来自这些采购计划的官员报告称,他们在多个领域更加关注网络安全,并投入更多资源用于网络安全,包括更多地利用网络专业知识和增加对网络评估的使用,”。
对于合同项目,GAO表示,其他军事部门可以从类似于空军的方法中受益,该方法概述了采购所需的全服务网络安全要求。
GAO建议美国陆军,海军和海军陆战队“制定采购计划指南,以将量身定制的武器系统网络安全要求、验收标准和验证过程纳入合同。”
总体而言,美国国防部采购计划制定了新的政策和指导文件,以改善武器系统的网络安全。但是,某些项目并未明确定义会导致接受或拒绝系统的网络安全活动。一些人没有概述该部门将如何验证网络安全要求。
GAO官员说,“有效地”签订网络安全合同是采购计划的一项挑战。一位国防部高级官员告诉GAO,“很难对网络安全要求进行标准化,该部门需要与用户更好地交流网络安全要求和系统工程,以决定是否可以接受网络安全风险。”
另一位官员表示,“缺乏明确的网络安全要求性能标准,给理解和实施更好的安全性带来了挑战。”
美国国防部同意了GAO关于陆军和海军的建议,同时部分同意对海军陆战队的建议,并指出海军陆战队和海军应合并行动,因为它们的采购结构相同。
GAO表示:“美国国防部最终在改善武器系统网络安全方面的成功取决于军事和采购团体执行这些更改以在其计划中产生更好结果的程度。”
五角大楼在硅谷的国防创新部门正努力改善武器的网络安全,正在与网络安全公司ForAllSecure合作开发一个系统,以不断探测有漏洞的平台。在2018年GAO报告发布后,该公司开始开发其名为Mayhem的测试平台。
报告称:“虽然确定这些努力是否会导致更安全的系统为时过早,但它们进一步证明了国防部致力于改善武器系统网络安全性的承诺。”
07 美国发布国家安全战略指导方针,将网络安全作为优先事项
国会山网站3月3日消息,美国白宫国家安全委员会公布了拜登政府的《国家安全战略中期指导方针》(Interim National Security Strategic Guidance)。
《国家安全战略中期指导方针》中提到,美国将提升网络安全性作为整个政府的当务之急,增强其网络空间中的能力、准备度和应变能力,鼓励私营部门和各级政府进行合作,扩大对基础设施和人员的投资,以有效保护国家免受恶意网络活动的侵害。美国将重申其参与网络问题的国际承诺,与盟友和合作伙伴一道努力维护现有的网络空间国际规则并塑造新的全球规范。美国将要求攻击主体对破坏性的的恶意网络活动负责,通过网络和非网络手段对网络攻击迅速做出相应响应。
白宫发言人莎琪(Jen Psaki)表示,该《国家安全战略中期指导方针》旨在同时更新美国国内与国外优势,为研究并制定全面性的美国国家安全战略提供方向,白宫并将在2021年稍晚公布最终报告。
2021年2月25日,美国国家安全局(NSA)发布关于零信任安全模型的指南《拥抱零信任安全模型》(Embracing a Zero Trust Security Model)。
NSA是美国情报界的中流砥柱,是美国国家安全系统的技术权威,是美国网络司令部的摇篮。由于它深不可测,大家对它的了解多来自于斯诺登的曝光。这次的指南发布,可视为NSA对零信任的明确表态。
在美军网络空间安全领域,笔者认为DISA(国防信息系统局)和NSA是“雌雄双煞”:DISA主内,NSA主外;DISA管防御,NSA管进攻;DISA管非涉密安全,NSA管涉密安全。他俩还都具有独特的双帽体制。
既然NSA已经发布零信任指南,而DISA早就宣布要发布零信任参考架构,那么,关于美国国防部对零信任的拥护立场,几乎没有什么悬念了。
接下来,我们继续等待DISA的零信任参考架构和NSA的附加零信任实施指南。
CyberScoop网站1月24日消息,美国总统拜登签署了一项行政命令,指示联邦机构对包括信息技术在内的各行业供应链安全风险进行审查,解决美国供应链的脆弱性和风险问题。
具体而言,该行政令指示国防、公共卫生、信息和通信技术、能源、交通以及农产品和食品生产行业进行供应链风险评估,并在一年内提交商业/国土安全联合报告。该行政命令的一个重要目标是解决各关键进口物品(如电池和药品)的短缺问题,但同时也包括了对信息和通信技术领域的强制性审查。审查的一个重要理由是希望减少依赖海外制造的半导体。
拜登此前在新闻发布会上预示即将签署该行政令,认为美国需要确保供应链安全可靠,这是一个既涉及经济安全同时涉及国家安全的问题。数月来,SolarWinds黑客攻击在网络安全领域引起了广泛关注,最终影响了9个美国联邦机构和大约100家公司。
根据美国国会众议院在2月18日公布的立法措施讨论议程,众议院将在2月25日周四讨论十个法案及动议,曾在2019年初被提出并获众议院口头通过、但后因参议院无后续行动而中止立法的《网络外交法案(H.R.739 Cyber Diplomacy Act of 2019)》将重新进入众议院的立法议程。(众议院同日还将讨论另一个涉港动议,因众所周知的原因,本文不作讨论,请感兴趣的读者自行查阅)。
今年1月7日,特朗普政府于其下台前夕在美国国务院中设立了一个负责统筹与网络空间、新兴技术等领域相关之美国外交工作的网络空间安全与新兴技术局(Bureau of Cyberspace Security and Emerging Technologies,CSET),但华盛顿政界有相当多人质疑这个新机构是否有能力扛起协调与组织美国网络空间相关外交政策工作的大旗。
针对外界质疑,美国国务院在1月底回应称,该部在2011年设立网络协调官办公室(Office of Cyber Coordinator),该办公室已在2018年中开始非正式地向负责军控与国际安全事务的次国务卿汇报,并在此之后成功地制订、协调和实施若干双边和多边网络空间安全倡议,支持经济与商业事务局(Bureau of Economic and Business Affairs)、民主-人权-劳工局(Bureau of Democracy,Human Rights and Labor)等美国国务院其他局级单位的网络相关工作。基于该办公室的成功运作经历,美国国务院于2019年6月通知美国国会其将成立网络空间安全与新兴技术局的计划,并寻求相应的授权和拨款。
根据美国国会网站提供的相关信息,2019年版《网络外交法案》的主要内容包括:
① 在美国国务院中成立国际网络空间政策办公室(Office of International Cyberspace Policy);
② 明确该办公室职能为就网络安全事务向美国国务院提供建议;统筹与国际网络安全、互联网访问与自由、国际网络威胁相关的美国外交工作;
③ 授权该办公室在国际上推广旨在提倡“遵循多利益相关方模式,开放、可互操作且安全的互联网”的美国政策;
④ 要求总统制定一个关于美国与外国政府就国际网络空间规范制订及网络空间中可接受国家行为原则遵循开展沟通的战略。
目前暂不清楚美国国会众议院计划重新推出的《网络外交法案》与2019年版本相比在内容上有哪些变动,而结合拜登政府近期与其盟友就科技、网络等问题密集沟通,白宫近期放风将就SolarWinds网络攻击事件提出“行政措施”等动态,若此法最终获得美国国会参众两院通过并成为美国法律,那么可以肯定的是,美国将在联合盟友遏制中俄等对手、推动其主张之国际网络规范及军控构想方面获得一个新的抓手。
国会山网站2月22日消息,美国国土安全部(DHS)宣布,将采取一系列举措加强美国的网络安全态势,包括增加对关键网络安全议题的资助。
DHS宣布,美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)将通过联邦紧急事务管理局授予的拨款来增加网络安全支出。DHS下属网络安全和基础设施安全局(CISA)还将评估保护美国的关键基础架构免受网络威胁所需的其他资源。
Mayorkas将推广上个月推出的CISA勒索软件意识计划,包括与公私部门合作加强培训和网络研讨会。此外,Mayorkas将参与下半周和下个月的一系列活动,突出网络安全问题,如建立一支多样化的人才队伍,并将与国际合作伙伴合作捍卫美国免受网络威胁。
此外,国会议员将国家和地方政府所面临的网络安全威胁描述为“国家安全问题”,并指出打算与Mayorkas合作,重新引入《国家和地方网络安全改进法》。该法案将建立一项4亿美元的拨款计划,为国家和地方官员提供资源,以抵御网络攻击。
来源:奇安网情局、互联网安全内参、网电空间站、 互联网新技术新业务安全评估中心、 赛博研究院、网络安全观、国际安全简报。
声明:本平台发布部分内容来自公开资料或者网络,版权归原作者所有,转载的目的在于传递信息及用于网络分享,不代表本平台赞同其观点,如涉版权问题,请与我们联系,我们第一时间处理。
智邦网
