乔·拜登总统签署了一长批网络安全行政命令周三,他再次呼吁政府与私营部门建立合作关系。
”我认为你将看到我们需要大量的网络安全专家为私营公司工作,以及私营公司愿意分享他们如何保护自己的数据。”拜登在新冠肺炎新闻发布会上表示周三,在命令发布之前。
由于殖民地管道恢复运营后其赎金软件攻击之后,该国家从太阳能和微软交换妥协恢复,网络安全问题已成为主流,从监管机构和政府官员试图防止更大的攻击审查。
执行订单要求更广泛的信息共享,软件安全标准和加深的交叉仪协作,以帮助提高政府的网络安全姿势。希望是,更高的标准将改善私营部门的安全。
该命令承认,政府和私营部门的公司不能在有限范围内开展跨网络威胁活动,以有效地在网络空间进行防御。
该命令“没有为积极行动提供真正的激励。激励不仅仅是在你失败时避免惩罚;它是关于奖励那些知道该做什么,并努力去做的人。”
大卫Brumley
的首席执行官ForAllSecure
”殖民输油管道事件提醒我们,仅靠联邦行动是不够的。”白宫说。“这些私营企业在网络安全投资方面有自己的决定,”把政府排除在关键基础设施和安全领域之外。
虽然联邦政府对私营部门安全的期望,但遵守此类订单是可选的。
命令 ”没有真正的激励措施积极主动。激励不仅仅是在你失败时避免惩罚;这是关于奖励那些了解正确的事情的人,并努力去做额外的一英里,“Forallsecure的首席执行官David Brumley告诉网络ecurity在电子邮件中潜水。
行政命令建立了一个网络安全安全审查委员会,由政府和私营部门成员组成。在其成立的90天内,拜登政府预计该委员会在12月份与Solarwinds妥协方面的初步审查后,请在DHS提出建议。
根据网络事件的性质,董事会将带来一个具有相关知识的私营部门,一个一位高级政府官员星期三对记者说。奥巴马政府希望成立一个具有相关经验和对未来事件的洞察力的委员会,为其他行业提供指导。
什么是秩序和缺少的东西
这名官员说,这项行政命令是网络防御现代化的“首付款”。虽然该命令的重点是改善政府和联邦机构的网络安全,但它也影响到私营部门。
”私营部门必须适应不断变化的威胁环境,确保其产品安全构建和运行,并与联邦政府合作,促进更安全的网络空间,”该命令说。
这两个部门都渴望信息分享,但联邦政府已被证明更需要它,较少提供回报。这一点正在慢慢地开始改变,尽管一些安全从业者并不乐观。
信息共享是“如此重要,显然是我们在执行命令中包括它,我们需要批准它,但怎么样?喜欢,它应该做什么?”奥斯汀·博格拉斯(全球专业服务负责人)Bluevoyan.t和前助理特殊代理商负责Cyber在FBI。
他说,虽然该命令有“伟大的意图”,但在理解他们应该投资什么以及为什么要投资方面缺乏粒度。
在参议院听证会周二,CISA的代理主任Brandon Wales表示,殖民地管道在赎金软件攻击之后并没有直接联系代理机构,尽管贝格拉斯表示,该决定可能是由于联系执法习惯。
CISA被FBI带入了,哪种殖民主义最初联系过。律法执法未在其调查中尚未包括CISA,威尔士不相信殖民地将联系CISA,阻碍了该机构的整体使命:分享相关威胁信息,以帮助行业。
官方表示,执行命令将被CISA作为信息分享竞技场的领导者作为信息分享竞技场的领导者,并“确定需要分配的门槛,”该官员表示。
如果私营部门首先检测到攻击,则拜登政府希望消除防止服务提供商共享与违规相关数据的“合同障碍”。
具有多米诺骨牌效应的额外安全箍
Fireeye与联邦政府之间的信息共享最终解开了Solarwinds软件妥协。私营部门在政府所做的内容之前发现了侵入,包括CISA。“Fireeye是一个公司的伙伴之一,当他们发现违规行为时;所以在这里我们称之为的人在被砍封的时候被打电话给被黑客感到黑客,”参议员罗恩波特曼,R-OH,哦,哦说在三月听证会。
拜登的订单要求管理和预算办公室(OMB)的主任审查政府如何与IT和OT服务提供商签订合同。这是消除威胁情报共享障碍的努力。要求将确保服务提供商为其控制的系统“收集并保存”与网络安全事件预防、检测、响应和调查相关的信息”。
官方说,Solarwinds和Microsoft交换黑客中的常见线程是糟糕的软件安全性。“目前的建设,销售和可能补丁的市场发展意味着我们常常将具有重要漏洞的软件安装到我们最关键的系统和基础设施中,”他们说。
“今天,坚持不懈的技术成本于最后承担,”官方说。行政命令答复问题政府已有“延长时间太长”。销售给政府的软件制造商也将具有透明度要求。
“没有办法评估市场上的安全性,所以没有办法说,‘嘿,我愿意多花一点钱来激励市场。’”
高级拜登行政官员
该命令现在要求在45天内进行,商务秘书将为关键软件规范定义,这将“反映运作所需的特权或获取水平”及其依赖性,如果发生事故,潜在损害。
对于不是政府承包商的公司,拜登政府预计额外的安全篮球们对私营企业有多米诺骨牌效应。官方表示,安全的软件开发“不仅有益于政府”。“我们都使用相同的软件,对吗?我们都使用Outlook电子邮件,我们都使用Cisco和Juniper路由器。”
然而,这项命令本身对防止软件漏洞的关注不够,Brumley说。我想让政府从经济学的角度思考:他们能做什么来激励预防性行为?”
作为确保软件标准的努力的一部分,该订单包括任何给定软件的试点标签程序“能源之星”式的标签。为了在软件安全方面达到“能源之星”,软件必须满足测试和评估的标准。
这位官员表示,将有经济激励来满足这些标准,这是“目前巨大的市场优势,”他们说。“没有办法评估市场上的安全性,所以没有办法说,‘嘿,我愿意多花一点钱来激励市场。’”
规模较小的公司可能没有足够的资源来满足新的安全标准,但仍在供应链中发挥作用。Berglas说:“这没有任何顺序可言。
