拜登-哈裡斯政府最近公佈了 《國家網路安全戰略 》,以應對數位世界日益增長的互聯性和軟體系統日益複雜的情況。該戰略旨在保證一個安全可靠的數位生態系統,供所有美國人使用並從中受益。數字連接現在幾乎滲透到我們生活的方方面面,連接著個人和專業領域,並彌合了數位領域和實體領域之間的鴻溝。隨著民族國家和惡意行為者繼續發動網路攻擊,政府致力於透過確保我們的數位生態系統強大、有彈性並符合我們的核心價值觀來改變其應對這些持續威脅的方法。
雖然政府已經為實現這些目標採取了重大措施,但新方法側重於我們可以建立和加強合作的五大支柱:保護關鍵基礎設施、破壞和拆除威脅行為者、塑造市場力量以推動安全和復原力、投資於有復原力的未來,以及建立國際夥伴關係以追求共同目標。所有這些支柱都是必不可少的,並且從防禦關鍵基礎設施 我們可以向美國人民保證,他們致力於保護這16個部門及其提供的基本服務。
保護關鍵基礎設施
我們必須建立網路安全要求(目標1.1),以支持國家安全和公共安全。這一戰略可能會在關鍵部門產生更多的法規,與其他領域的現有法規保持一致。雖然並非所有行業都需要相同的網路安全要求,但確保法規的一致性和可預測性可以減輕合規負擔。現有法規和新法規的目標是鼓勵並要求大規模實施更好的網路安全實踐。此外,網路安全要求應優先考慮基於經過驗證的資料證明有效性的關鍵技術,例如深度檔案無毒化 (Deep CDR),以消除網路威脅並確保全面可靠的網路安全方法,而不是關注網路安全公司如何推銷其解決方案。
規模對這一戰略至關重要,協作也至關重要(目標1.2)。為了有效地大規模應對高階威脅,必須加強公私合作。如該戰略檔概述了,與俄羅斯對烏克蘭戰爭有關的「盾牌」運動加強了準備,並促進了打擊惡意活動的有效措施。未來的努力必須複製這種合作,並讓國際盟友和平民參與進來,投資於一個更有彈性的未來,一個不依賴於小組織和公民個人不斷保持警惕的未來。私營部門實體與聯邦機構密切合作,可以實現更快速和協調的反應,以盡量減少攻擊對關鍵基礎設施的影響,或者最好是防止攻擊。我希望這種合作將是開放的、合作的,並優先考慮美國公司,以促進國內的增長和創新。
已經有多個部門和機構負責支持關鍵基礎設施的防禦。新戰略旨在整合聯邦網路安全中心(目標1.3),創建協作節點以推動政府間協調。這聯合網路防禦協作 CISA 的 (JCDC) 是透過整合網路防禦規劃和營運來實現這一目標的第一步。JCDC在整個聯邦政府中與國際合作夥伴和私營部門合作,這樣做。雖然還有更多工作要做,但這些中心提供了更多的合作機會,並使這些中心能夠與私營部門合作夥伴分享及時、相關和可操作的資訊。為了最有效,我們希望聯邦政府能夠披露這些中心的目標、指標以及非機密和非敏感活動。
雖然私營部門通常能夠在沒有聯邦援助的情況下減輕網路事件,但新目標是在需要時提供統一的回應。這意味著更新聯邦事件計劃和流程(目標 1.4),以便組織知道在成為網路威脅目標時應聯繫哪個政府機構。組織還必須知道聯邦政府應提供何種形式的支援。為此,CISA 正在領導一個流程,以更新國家網路事件回應計劃 (NCIRP) 以加強流程、程序和系統。這2022年關鍵基礎設施網路事件報告法案 (CIRCIA) 要求在數小時內向 CISA 報告關鍵基礎設施中涵蓋的實體的涵蓋網路事件。這種快速通知可加速識別事件原因,並有助於做出快速、明智的決策。總的來說,這是一項值得稱讚的措施,但我希望可以披露所報告的網路事件的一些關鍵方面,以便我們學習如何預防威脅。這種方法將使我們能夠從典型的檢測和反應周期轉變為更積極主動的預防思維方式。
最後,該戰略旨在實現聯邦防禦的現代化(目標1.5)。聯邦政府依靠通訊、彈性和安全的資訊以及營運技術和服務來履行其職責。在這種複雜的數字環境中,這意味著聯邦政府系統必須進行現代化改造,以確保其網路具有彈性和防禦性。這些現代化工作的一部分包括應用零信任原則來應對傳統網路邊界內外的威脅。這是一項了不起的措施,我希望它能結合Deep CDR、檔案原產地評估等技術,並確保零信任方法不僅僅是取代 VPN,而是創建更全面、更強大的網路安全戰略。
私營和公共部門的零信任
透過使自己的系統更具防禦性和彈性,聯邦政府可以確保更有效地保護關鍵基礎設施。這從零信任架構策略開始,同時還要實現現代化 IT 和 OT 基礎設施。零信任方法將防禦從基於網路的邊界轉移到基於資源、使用者和資產的邊界。供應鏈(包括軟體供應鏈)也必須採用零信任原則,並且不假設基於實體或網路位置的隱式信任。
此方法更側重於透過確保在與受保護的資料或系統建立連接之前進行身份驗證和授權來防止攻擊。隨著軟體變得越來越複雜和互聯,網路安全必須包括遠端使用者的新現實、自帶設備 (BYOD) 趨勢以及存取雲端運算的資產。雖然該方法更側重於預防而不是檢測,但該策略的部分目標是提高整體網路彈性和可靠性,即使確實發生了未遂攻擊。
所有這些措施都依賴於培養一支稱職的網路勞動力隊伍,以測試、保護、分析和現代化我們的國家安全。雖然保護資料和確保關鍵系統的可靠性是該系統的擁有者和營運商的責任,但技術供應商、關鍵基礎設施系統和聯邦機構之間的合作可以幫助我們安全地保存我們的資料,並確保我們作為一個自由和互聯的社會運作。
想要詳細瞭解如何操作 OPSWAT 保護關鍵基礎設施? 請聯繫 我們的網路安全專家。
