每個(gè)人都知道美國存在網(wǎng)絡(luò )安全問(wèn)題��,拜登政府的 100 億美元緊急請求始于承認我們處于網(wǎng)絡(luò )危機之中����。問(wèn)題是美國該怎么做��。
今天��,美國政府對網(wǎng)絡(luò )安全采取了一種支離破碎的方法�����?���?纯淳o急撥款��,你會(huì )發(fā)現這些資金至少流向了五個(gè)不同的部門(mén)和機構:總務(wù)管理局�、網(wǎng)絡(luò )安全和基礎設施安全局�、聯(lián)邦首席信息安全官和美國數字服務(wù)局���。古語(yǔ)有云�����,人人有責�,實(shí)際上就是無(wú)人負責�����。
拜登和美國國會(huì )應該從根本上將其不同的工作重組為一個(gè)集中的網(wǎng)絡(luò )安全部��。這個(gè)新部門(mén)的職責應該是將三大因素——人員���、技術(shù)和流程——組織成一個(gè)有凝聚力的結構�。在兩黨政府下開(kāi)始的工作�,例如奧巴馬總統在管理和預算辦公室內設立聯(lián)邦信息安全官����,以及在唐納德總統領(lǐng)導下創(chuàng )建國土安全部的一個(gè)業(yè)務(wù)部門(mén)CISA��,特朗普是朝著(zhù)正確方向邁出的一步��,但現在應該在這些努力的基礎上再接再厲�����,并在一個(gè)有效的機構下共同阻止“像花生醬一樣傳播”網(wǎng)絡(luò )風(fēng)險的時(shí)候了�����。
這個(gè)網(wǎng)絡(luò )安全部人員將負責整個(gè)聯(lián)邦政府的網(wǎng)絡(luò )安全�����。這不僅僅是一個(gè)網(wǎng)絡(luò )防御角色��。在計算機系統的生命周期中����,至少有三個(gè)不同的時(shí)期需要網(wǎng)絡(luò )安全��。首先���,該部門(mén)將作為資源在整個(gè)政府中創(chuàng )建更現代的 DevSecOps 工作��。其次���,該部門(mén)將充當評估者��,幫助政府確定新的采購是否適合網(wǎng)絡(luò )用途���。第三�����,該部門(mén)將作為事件響應和防御行動(dòng)的中心點(diǎn)�����。
美國政府需要采取“左移”的心態(tài)����,盡可能早地將網(wǎng)絡(luò )安全納入發(fā)展之中�。這也是納稅人的最佳價(jià)值�。研究表明�����,部署后解決問(wèn)題的成本可能比早期發(fā)現的成本高出 100 倍����。網(wǎng)絡(luò )安全部將為實(shí)施提供安全的開(kāi)發(fā)框架和資源����。
該部門(mén)還將提供內部專(zhuān)業(yè)知識�,以確保系統在實(shí)施時(shí)考慮到網(wǎng)絡(luò )安全����。美國國防部的部分人員已經(jīng)采用了這種“左移”的思維方式���,并正在從中受益��。例如��,美國空軍在其 Platform One 計劃中采用了一種對 DevSecOps 更友好的方法����。我們需要將這種方法制度化為整個(gè)政府的一種做法�����。
其次�����,網(wǎng)絡(luò )安全部將在從商業(yè)供應商那里采購新系統或對現有系統進(jìn)行現代化改造時(shí)提供評估專(zhuān)業(yè)知識���。美國政府每年采購數十億美元的 IT 軟件�����,政府需要專(zhuān)家幫助評估該軟件是否足夠安全��。
拜登政府指出了 IT 現代化危機�。事實(shí)上��,在 100 億美元的緊急預算申請中��,約有 90 億美元將用于技術(shù)現代化�����。雖然技術(shù)上正確的 IT 系統需要現代化�����,但忽略了更大的背景����。最近的美國國會(huì )監督 記分卡顯示�����,美國政府目前只做好一件事:遵守商業(yè)許可證�。他們落后于風(fēng)險管理和網(wǎng)絡(luò )安全���,因為他們將網(wǎng)絡(luò )視為許可的小工具�。
美國政府問(wèn)責辦公室(GAO)最近發(fā)現�,美國政府仍未在武器合同中實(shí)施網(wǎng)絡(luò )安全要求�����。因為沒(méi)有簽約要求��,所以沒(méi)有完成�����。網(wǎng)絡(luò )安全部的任務(wù)之一不僅是確保有網(wǎng)絡(luò )安全要求�����,而且還提供主題專(zhuān)家來(lái)評估供應商是否滿(mǎn)足標準��。
最后�����,網(wǎng)絡(luò )安全部將作為 CISA 的自然延伸�,CISA 有望為各級政府和行業(yè)提供網(wǎng)絡(luò )安全���。在行業(yè)內��,這個(gè)角色將被稱(chēng)為“計算機信息安全官”并運行一個(gè)政府范圍的安全運營(yíng)中心���。
該角色將包括明確的網(wǎng)絡(luò )安全防御任務(wù)�。然而�����,網(wǎng)絡(luò )安全部不應成為執法機構��。這意味著(zhù)該部門(mén)將負責防御��,但仍依賴(lài)現有的執法機構對國內或國外的網(wǎng)絡(luò )威脅行為者采取任何行動(dòng)�。
總體而言���,這樣一個(gè)中央機構將為美國政府推動(dòng)網(wǎng)絡(luò )發(fā)展提供急需的權威來(lái)源�。正如GAO所說(shuō)�,“盡管美國在2018 年發(fā)布了國家網(wǎng)絡(luò )戰略���,但目前尚不清楚哪個(gè)行政部門(mén)官員最終不僅負責協(xié)調戰略的實(shí)施�,而且一旦活動(dòng)實(shí)施���,還讓聯(lián)邦機構承擔責任���。” 網(wǎng)絡(luò )安全部最終將為目前遍布整個(gè)美國政府的網(wǎng)絡(luò )安全工作提供一個(gè)家��。David Brumley 博士是 ForAllSecure 的首席執行官�。(邯鄲微信托管)
