文 | 中國信息安全測評中心 桂暢旎
2021年5月12日,拜登政府發布《改善國家網絡安全行政令》(Executive Order on Improving the Nation’s Cybersecurity),重申“網絡安全爲聯邦事務優先項”,“保護網絡安全是國家和經濟安全的首要任務和必要條件”,並圍繞改善聯邦政府網絡安全,提出了識別、阻止、防範、發現和應對網絡事件的具體“方法集”和“工具箱”,回應外界對于拜登政府網絡安全“百日新政”的期待,同時也正式開啓了拜登“治網”的新篇章。
一、出台背景:高壓之下完成網絡安全“百日新政“,回應重大網絡攻擊事件是重中之重
“太陽風”網絡攻擊事件、微軟Exchange網絡攻擊事件的接連發生使得拜登幾乎從上任第一天起就被要求“重振國家網絡工作”的輿論壓力。爲此,拜登在上任的頭100天內開展了對“太陽風”網絡攻擊事件的調查、發布“確保供應鏈安全行政令”、啓動“確保電網免受網絡威脅的100天計劃”等,速度之快、舉措之多使得外界評價拜登政府在“短短四個月內所做的工作遠勝過前總統的四年”。《改善國家網絡安全行政令》正是在這樣的背景下出台,正如行政令開篇所言,“聯邦政府必須仔細審視在任何重大網絡事件中發生了什麽,並應用所吸取的教訓”,幾場重大的網絡安全事件牽引拜登政府完成在網絡安全上的資源集結和優先項設定,並圍繞網絡安全事件中的威脅信息共享、聯邦關鍵信息系統保護、加強軟件供應鏈安全等問題進行了任務部署。
二、主要內容:“堵漏洞”、“固防守”、“抓重點”
行政令著力解決“太陽風“等重大網絡安全事件暴露出來的制度或技術問題;加固聯邦政府信息系統,實施“雲遷移”和“零信任”等現代化舉措;重點應對軟件供應鏈安全,提出“關鍵軟件”的概念。
1、“堵漏洞”
一是破除合同限制壁壘,強化威脅信息共享。
行政令指出,由于絕大部分聯邦信息系統是由私營服務提供商基于商業合同運行和支持的,但目前的合同普遍缺乏私營供應商與聯邦機構共享威脅和事件信息的條款,一些合同甚至規避這樣的分享,這嚴重妨礙了職能機構從私營部門服務提供商快速獲取信息。對此,行政令要求使用“采購權”來改變這種情況,要求重新審查《聯邦采購條例》(FAR)和國防部《聯邦采購條例補編》(DFARS)的合同規則,以迫使服務提供商完成三件事:一是收集和保存大量與網絡安全事件預防、檢測、響應和調查有關的數據、信息和報告,而不僅僅是事件響應;二是當這些信息涉及與合同相關的事件(或潛在事件)時,必須與政府共享這些信息;三是必須與聯邦機構合作處理或調查事件,包括實施技術能力。
二是改進聯邦政府事件響應和應對機制,強化端點檢測和響應(EDR)能力。
“太陽風”事件暴露出許多聯邦文職行政部門(FCEB)缺乏有效的端點檢測和響應(EDR)能力,對此行政令要求FCEB相關機構部署端點檢測和響應(EDR)計劃。EDR是Gartner于 2013 年 提出的術語,主要用來定義一種 “檢測和調查主機/端點上可疑活動(及其痕迹)” 的工具,是一種新型的終端安全解決方案。對此,行政令授權CISA可在FCEB各系統中進行威脅搜索。這是繼《2021年國防授權法案》第1705條授權CISA擴大集中追蹤威脅的權力後,CISA威脅搜索權力的再次提升,行政令要求各機構爲CISA提供對象數據,以支持CISA的持續診斷和緩解計劃。
三是提高聯邦政府的調查和補救能力,完善網絡安全事件日志。
行政令認爲,各機構及其IT服務提供商收集和維護聯邦信息系統的網絡和系統日志,以應對網絡事件至關重要,這也是源于“太陽風”網絡攻擊事件中,相關供應商在網絡日志的數量和質量上存在較多問題,影響了對于網絡事件響應的速度和有效性。對此,行政令要求美國管理和預算辦公室(OMB)主導,商務部長和國土安全部部長配合制定有關標准。值得注意的是,“太陽風”事件的一些事後分析表明,FCEB的日志問題有時是由于財務限制導致的,爲了回應這一點,行政令特別指示管理預算辦公室與各機構領導人合作,確保他們擁有滿足新的標准要求所需的資源。
2、“固防守”
一是要求完善雲安全管理。行政令要求增加聯邦政府對威脅的可見性,需采用安全的最佳實踐,加速向安全的雲服務發展,包括軟件即服務(SaaS)、基礎設施即服務(IaaS)和平台即服務(PaaS),集中和簡化對網絡安全數據的訪問,以推動識別和管理網絡安全風險的分析。
CISA負責爲FCEB制定雲安全技術參考架構和雲服務治理框架,並制定有效應對雲安全事件的最佳實踐。OMB將負責制定聯邦雲安全戰略,並爲相關機構提供相關指導。同時更新現代化聯邦政府針對雲服務的授權計劃,即聯邦風險和授權管理計劃(FedRAMP),加快雲服務提供商的授權。
二是強化“零信任架構”。零信任是技術概念和安全設計理念的集合,其根源在于以下假設,即違反是不可避免的,因此,對網絡內的訪問和授權應有嚴格的限制。在此模型上,每個設備和每個交互都可能是可疑的,應進行相應的檢查,並且訪問應嚴格限制條件和角色。零信任的實質是要求新的流程爲幾乎所有發生的事情設置和執行規則。行政令要求制定實施零信任架構的計劃,並強調零信任是確保即使供應鏈受到破壞或組織遭到破壞的情況下也能采取強有力的防禦措施的一種手段。
3、“抓重點”
行政令指出,聯邦政府使用的軟件安全對于聯邦政府履行其關鍵職能的能力至關重要,但是軟件開發缺乏透明度,以及缺乏足夠的控制來防止惡意行爲者的篡改等問題。
因此行政令要求強化軟件供應鏈的安全,並提出“關鍵軟件”的概念,要求聯邦政府制定舉措優先解決“關鍵軟件”的問題,並提出建立多因素、基于風險的認證和數據加密等舉措。對此,行政令要求美國國家標准技術研究院(NIST)制定軟件供應鏈安全指南,主要強調開發環境的安全性和完整性以及漏洞檢查。
三、基本特點:打造“全政府”網絡安全模式
近年來,打造“全政府”網絡安全模式已成爲美國政府網絡安全治理的核心,即協調各部門形成合力共同應對網絡安全問題。行政令建立了一套完善的機構協調機制,確定了各項任務的主責部門和配合部門,總體來看具有以下特點:
一是CISA總體協調作用將進一步強化。CISA目前已成爲國土安全部行使網絡安全職能的主要機構,在此次行政令中也主導了絕大部分的保障任務,包括在新設立的網絡安全審查委員會中擔任總協調的角色,同時審查各機構的安全響應計劃等,均有助于推動CISA進一步成爲聯邦機構中最爲主要的網絡安全組織。
二是重視標准的作用。行政令在多項任務中均強調NIST及其標准制定的作用,如標准化各機構的網絡安全合同要求,以簡化並改善供應商和聯邦政府的網絡安全合規性。行政令還提出了“標准化聯邦政府應對網絡安全漏洞和事件的手冊”,以加強整個聯邦政府更協調和有效的應對。
三是重視落地實施。爲確保機構遵從,行政令在多項任務中均納入管理和預算辦公室(OMB)的參與,以預算爲驅動迫使各機構強制執行,可保障相關舉措的落地實施。
四是善用“購買力”作爲重要杠杆。正如前CISA主任克裏斯·克雷布斯表示,“美國政府新的網絡安全行政令列出了一個雄心勃勃的、可實現的工作計劃,其中最爲突出的是提出利用購買力提高美國政府網絡的安全性”。對此,行政令在運用“購買力”上主要體現在兩方面:一方面是聯邦政府需要積極利用“采購權“來改善聯邦政府與私營部門合同條款關于信息共享的問題;另一方面是啓用消費者標簽計劃的試點計劃,要求向終端購買者提供符合相關安全准則的說明以及每個産品的軟件材料清單(SBOM);參與漏洞披露計劃等,解決供應商的基線安全,這也是美國吸收英國、新加坡等國已有的先例所采取的創新之舉。
雖然行政令出台即受到業界的歡迎,但仍然面臨著“時間緊,任務重”的質疑。行政令共提出了48項任務,並列出了每項任務的完成時間,基本需要在90天或更短時間內完成,其中部分任務更是美國網絡安全一直存在的“老大難”問題,如威脅信息共享等問題難以在短時間內解決,同時行政令還要求各機構在60天內制定實施“零信任”架構的計劃,在短時間內要求改變網絡安全文化的沖刺行動受到質疑。此外,新提出的“關鍵軟件”概念與國土安全部已存在的高價值資産(HVA)項目的區別和聯系還有待進一步界定。
附:拜登政府《改善國家網絡安全行政令》任務時間表
