美國國土安全部發布的《網絡安全戰略》
本周,美國國土安全部 (DHS) 發布延遲多時的《網絡安全戰略》。國會曾要求在2017年3月發布,但它最終在2018年5月15日才現身。
五大內容七大目標
這份網絡安全戰略文檔長達35頁,目的是為“國土安全部提供未來五年執行網絡安全責任的框架,通過減少漏洞和構建彈性的方式跟進不斷演進的網絡風險局勢、應對網絡空間的惡意者、響應安全事件并促使網絡生態系統更加安全和更具彈性。” DHS 發布的網絡安全框架由五大部分組成,包含七個獨立目標。這五大部分包括識別風險、減少漏洞(包括保護聯邦系統和關鍵行業的雙重目標)、積極降低風險、緩解后果(即改進事件響應)以及賦能網絡安全結果。最后一部分是增強網絡生態系統的安全性和可靠性以及改進活動管理。 DHS 部長 Kirstjen Nielsen 指出,“網絡威脅局勢實時不斷變化,而我們已到達一個歷史性轉折點。目前,數字化安全已經和個人及物理安全融合在一起,而且很明顯我們的網絡競爭對手現在能夠威脅到我們國家的核心安全。而這就是 DHS 為何通過采用更加綜合的網絡安全策略來重構其方法的原因。在安全泄露事件不斷涌現的時代,我們思考的內容必須超越對具體資產的防御,應對影響從網絡巨頭到家庭的全方位系統風險。我們的戰略勾勒了 DHS 如何在數字化戰場上利用其獨特能力防御美國網絡的安全并走在新型網絡威脅的前面。” 具體方法涉及少 然而,這五大內容以及七大目標有必要以非常基礎的術語進行定義。它們定義了目標、子目標以及結果,不過對方法談之甚少。例如,在談到第一個目標(識別風險部分)評估不斷演進的網絡安全風險時指出,可通過和“利益相關者,包括具體行業機構、非聯邦網絡安全企業和其它聯邦及費聯邦實體協作,以正確理解國家網絡安全風險態勢、分析不斷演進的相互依賴型和系統風險以及評估惡意者不斷變化的技術”實現。 然而,無人能夠預測、檢測或阻止俄羅斯對2016年美國總統大選的干預或“想哭 (WannaCry)”和 NotPetya 攻擊的爆發。這說明要實現真正的風險識別目的,除了加強機構間合作之外還需要應用新型方法。 第三部分降低風險以及第四個目標(阻止并摧毀犯罪分子對網絡攻擊的使用)也值得一提。戰略寫到,“我們將通過應對跨國犯罪組織和復雜的網絡犯罪分子來降低網絡威脅。”這里又涉及一個顯而易見“如何做”的問題。戰略還指出,“我們的執法管轄范圍廣”。但它并未抵達那些通常被認為是嚴重網絡犯罪活動的主要發動者所在國家:俄羅斯、中國、伊朗和朝鮮。 確實,美國政府目前未能讓俄羅斯將愛德華?斯諾登遣返回國,甚至未能在歐盟逮捕朱利安?阿桑奇。很難想象 DHS 如何能夠在不使用新技術如基于“黑回去 (hacking back)”更加激進的積極防御手段阻止并摧毀高階的國外網絡犯罪分子。而戰略文檔中并未提及“積極防御”或“黑回去”的內容。 Virsec 公司的首席運營官 Ray DeMeo 也有同樣的擔憂。他指出,“網絡安全是天然的全球問題,DHS 認識到需要‘國際努力的積極參與’這一點很好。但是,目前尚不清楚受國內管治的機構如何有效地在全球范圍內參與。現實情況是大量互聯網犯罪活動受國際‘西大荒’驅動,這些地方執法不嚴或受國家支持。這個問題既是技術問題也是外交問題。” 明確 DHS 的職責 這份網絡安全文檔作為正式的戰略目標,涵蓋了 DHS 在清晰目標下的整體責任:“到2023年止,國家安全部將通過提升政府網絡和關鍵基礎設施的安全性和彈性來改進國家網絡安全風險管理;降低不合法的網絡活動;改進對網絡安全事件的響應;并通過統一的部門行動、強大的領導以及和其它聯邦及非聯邦實體的密切合作來構建更加安全更加可靠的網絡生態系統。” Demisto 公司的聯合創始人 Rishi Bhargava 指出,“這份由 DHS 提出的戰略非常全面且計劃周密。‘緩解后果’部分包含響應計劃協作是降低攻擊損失的關鍵內容。任何戰略在執行前都是好的。我很期待看到各個部門和政策機構的實際執行情況。” 提倡使用現有的網絡安全框架 令人欣慰的是,DHS 并不計劃開發自己的新框架,而是提倡使用現有的相關框架。文檔指出,“DHS 必須積極推動應用可適用的網絡安全最佳實踐,包括國家標準與技術協會 (NIST) 頒布的《改進關鍵基礎設施網絡安全的框架》。” 然而,有點讓人驚訝的是,雖然提到了 NIST,但并未提到 DMARC (Domain Message Authentication Reporting & Conformance,域消息認證報告和一致性)協議。2017年10月,DHS 發布具有法律約束力的業務指南,要求所有聯邦機構開始使用 DMARC。截止2018年1月,據報道,約一半的機構已經執行 DMARC,不過僅達到最低要求。 行動最重要 批評一份高規格的戰略文檔很容易。魔鬼在細節。執行細節才能體現出戰略的有效性。目前而言,這份文檔是對統一并加強 DHS國內網絡安全影響范圍的重要方法。Cavirin 公司的工程副總裁 Brajesh Goyal 評論稱,“DHS 在管理國家級別的網絡安全風險上采用的方法很好地比對了組織機構管理自身網絡態勢所需要做的事情。其中一個比較好的框架就是 NIST 網絡安全框架 (CSF)。它可被視作其它深入的安全行動的基石。” DeMeo 解釋稱,“DHS 最終發布了網絡安全戰略這一行為起著重要作用。但它是高規格的。文檔的大部分恩日歐冠呢都是合理的推薦內容。目前很重要的事情是踐行戰略內容。文檔的其中一個指導原則是培育創新和敏捷性,這是一個很大的問題,現有的時間跨度必須從年減少到月。如果我們計劃更改當前威脅局勢的不對稱性,我們需要加強和私營奇機構的協作,因為私營機構每天都在發生有意義的安全創新。” 來源:乾冠信息安全沙龍
