白宮發布2024財年網絡安全預算備忘錄

VSole2022-07-27 10:53:58

本周三，白宮發布備忘錄公布了拜登政府的跨政府部門網絡安全投資優先事項，并呼吁聯邦民事行政部門(FCEB)在三個網絡安全重點領域進行投資，分別是：

提高政府網絡的防御能力和彈性
深化關鍵基礎設施防御方面的跨部門合作
加強數字化未來的基礎

備忘錄稱，網絡安全研發優先事項的指導可以在即將發布的政府部門重點研發項目2024財年預算備忘錄中找到。“這些優先事項應在管理和預算辦公室（OMB）公布的2024財年預算指導范圍內解決。”

政府部門零信任戰略落實到預算

管理和預算辦公室(OMB)和美國國家網絡總監辦公室(ONCD)將審查政府部門對這些網絡優先事項的反應，同時確定潛在差距和可能的解決方案來彌補這些差距。此外，這兩個部門將協調向其他政府部門提供反饋，說明其網絡優先事項是否得到充分解決并與整體網絡安全戰略和政策保持一致。

拜登在2021年5月的總統行政命令中呼吁美國政府“做出大膽的改變和重大投資，以捍衛支撐美國生活方式的重要機構”，加固IT系統和網絡并推動其現代化。FCEB將以身作則，在2024財年預算提交中優先考慮零信任實施和IT現代化。

拜登政府在今年1月份的一份備忘錄中指示各政府部門和機構選擇最高價值應用作為零信任戰略道路的起點。

“這一戰略是一個起點，而不是一個完全成熟的零信任架構的綜合指南。”備忘錄說。該備忘錄中規定的聯邦零信任戰略還要求各機構在2024財年年底之前實現具體的零信任安全目標，預計提交的預算需要優先確保完成這項工作。

“各政府部門已向OMB提交了零信任實施計劃，來自OMB、ONCD和網絡安全與基礎設施安全局(CISA)的跨政府網絡安全專家團隊正在與各政府部門合作，以完善這些計劃并確定可實現目標，”最新的備忘錄指出：“聯邦零信任戰略定義了政府部門的優先目標，在部門內實現一致的網絡安全基線，該基線基于最小特權原則、最小化攻擊面以及機構安全邊界被攻破的假設設計保護措施。”

白宮備忘錄補充說：“這是FCEB運營的重大轉變，各政府部門需要在預算中體現出對實現新的、更具彈性的安全基礎態勢的承諾。”

關鍵基礎設施安全：深化橫向和垂直合作

備忘錄指出，美國的關鍵基礎設施越來越多地與網絡空間交互并由網絡空間定義，因此確保基礎設施對網絡威脅的防御和彈性需要“公共部門和私營企業之間前所未有的（垂直）合作水平”。此外還需要深化跨部門橫向合作以確保關鍵基礎設施機構的安全。

根據備忘錄，美國各政府部門將在2024財年建立橫向深度合作，優先考慮其部門風險管理機構(SRMA)的職責，并確保通過指定的網絡安全中心進行充分的信息共享。

備忘錄強調，2024財年預算提交應優先考慮具體提案，以確保SRMA有足夠的資源來履行其第9002節的職責。這些提案應使SRMA能夠與CISA和其他SRMA更緊密地合作，以改善各政府部門的集體（政府和行業）防御、響應和恢復流程。預算還應該促進政府和行業之間的信息交流，包括通過美國聯邦網絡中心和信息共享和分析組織以及信息共享和分析中心，以開發可操作的運營情報。這些措施還將提供有意義的威脅緩解建議。

各政府部門提交的材料還必須深入闡述與各部門相關的國家安全風險的詳細內容，這些風險正在或可能被包括民族國家在內的對手利用。預算提案還需要更深入地了解威脅參與者的網絡策略、技術和程序（TTPs）以及對每個部門構成的風險。最后，這些提案必須促進行業和政府在網絡威脅情報、安全指標和防御措施（包括安全、物理或虛擬環境中的事件）方面加強共享和協作。

給數字化未來打下堅實基礎

隨著美國從數字化經濟向數字經濟轉型，各機構在塑造、指導和推動這一轉型方面做出的決策將在未來數十年內產生重大影響。FCEB各部門將優先考慮物理基礎設施、人力資本和供應鏈風險管理。

隨著拜登政府通過《基礎設施投資和就業法案》（IIJA）對基礎設施進行“千載難逢”的投資，FCEB各部門的預算應支持保護該基礎設施免受網絡攻擊的威脅。

備忘錄稱，IIJA資金沒有覆蓋與技術支持相關的成本，因此2024財年的投資預算應優先為（關鍵基礎設施安全）技術支持項目審查和評估提供資金，以應對網絡安全威脅，并在現有標準不足的情況下為基礎設施投資制定網絡安全性能標準。此外還必須推動跨部門的協作，以便在整體設計和實施階段為項目提供充分的安全保障。

對于供應鏈風險管理(SCRM)，被網絡指出成立聯邦采購安全委員會的目的就是為了管理此類網絡安全風險。

“聯邦機構必須為自己的采購建立正式的SCRM計劃，特別是與信息和通信技術和服務（ICTS）有關的項目，”備忘錄指出：“這些規定即將在2023年底到期，有待立法將該規定延長至2026年。2023財年的總統預算對政府部門的SCRM計劃進行了關鍵投資。各部門應在其2024財年提交的文件中延續這些投資。此外，各部門應將額外資源用于培訓和適當跟蹤供應鏈投資，以支持改進聯邦政府整體SCRM的工作。”

來源：@GoUpSec

網絡安全預算

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

網絡安全預算中的成本陷阱

2023-11-29 17:23:44

最近，有關網絡安全預算相關問題的數據出現了相互矛盾的現象。

網絡安全預算正在上升，為什么數據泄露沒有下降呢?

2023-02-08 10:15:09

網絡安全在過去幾年已經成為全球企業關注的主要事項。此外，將近70%的網絡安全工作者認為他們的公司沒有足夠的網絡安全人員。預計這一趨勢將持續下去，全球網絡安全支出預計每年增長11%，到2026年將達到2673億美元。據報道，從2020年到2021年，這一數字同比增長了50%。因此，企業需要進行戰略轉變，將重點轉移到預測威脅、實施預防性戰略并提高敏捷性上面，以盡快發現和消除威脅。

企業網絡安全預算場景下的風險量化評估探索與研究

2023-06-16 14:58:51

本文提出將網絡安全風險量化評估與戈登—洛布模型結合起來分析企業的網絡安全預算的收益情況。網絡安全風險是指由于網絡系統存在脆弱性，因人為或自然的威脅導致安全事件發生所造成的損失。網絡風險評估就是評估威脅者利用網絡資產的脆弱性造成網絡資產損失的嚴重程度。一是對機密性的威脅。二是對完整性的威脅。GL 模型使用安全漏洞概率函數作為條件，這些函數有兩種類型，一種是線性型，另一種是指數型。

三分技術七分人：網絡安全預算該怎么花？

2021-10-28 08:57:15

2021年上半年，有1097個組織遭受了勒索軟件攻擊，而2020年全年為1112個。在接受調查的公司中，大約三分之二的公司沒有專項預算來處理勒索軟件攻擊。規模較小的組織根本不太可能有任何解決方案，而只有10%到12%的員工規模超過1000人的企業沒有勒索軟件防御解決方案。當組織確實實施以勒索軟件為中心的安全解決方案時，它通常與不同的產品或服務捆綁在一起。

企業網絡安全預算控制條件：規劃和談判

2020-10-26 14:18:05

中斷的影響 Olyaei認為，無法預料的危機或疫情可能引發網絡安全預算的變化，但這種反應通常遵循典型的模式。在這種情況下，安全支出可能會增加。Olyaei還指出，預算必須“具有適應性并切合實際”，因此IT團隊應制定預算計劃以應對任何可能的情況。McKay說，如果供應商使用“白金客戶”一詞，這可能是一個好兆頭，并表明該交易對該供應商的重要性。McKay建議與供應商談判以壓低價格，并詢問在談判合同時是否包括支持服務或折扣。

資金預算和員工培訓，企業網絡安全建設繞不過的兩道坎

2023-02-07 09:12:20

企業內部人員安全意識培訓公司自身防御體系對于應對網絡威脅至關重要，但員工的安全意識同樣不可或缺。因此，無論經濟形勢好壞，網絡安全預算應始終排在企業支出前列，以避免產生更大的經濟損失。調查結果顯示，只有 5% 的受訪者表示公司計劃減少 IT 人員，67% 受訪者其公司將保持人員配置不變，4% 不確定，甚至有 24% 的企業計劃增加人員。

企業在決定網絡安全預算分配時都會尋求“高性價比”

2023-12-04 17:15:42

目前，情報與網絡安全咨詢公司S-RM發布《網絡安全洞察報告2023》，報告顯示，企業在決定網絡安全預算分配時都會尋求“高性價比”，并且“更為重視從現有資源獲取價值”。

CISO正在努力爭取網絡安全預算

2023-09-28 14:29:42

在2022年第四季度的后半部分，許多CISO報告說，作為整體預算緊縮的一部分，他們被批準的2023年預算正在被大幅削減。

合理的網絡安全預算比例是多少？

2023-07-04 09:52:34

德勤最近的研究發現，網絡安全已經成為企業云計算數字化轉型的核心，接近50%的數字化轉型支出都與網絡安全有關。令人擔憂的是，教育、零售和制造業在網絡安全方面的支出嚴重偏低。一位CISO透露，基準測試、預算編制和修正周期需要成為組織成功基因的一部分。此外，基準測試數據因行業的細分市場和子細分市場而異，因此了解其面臨的獨特挑戰至關重要。

2023年的網絡安全預算分配

2022-09-01 11:46:00

為了幫企業做到這一點，Forrester發布了一份報告。Forrester的副總裁兼研究總監Merritt Maxim說。公司在云安全方面支出不足，在本地安全方面支出過多報告指出，企業在云安全方面的支出可能不足。該報告的作者之一Maxim解釋說。然而，Forrester預測，傳統上對托管安全服務提供商的支出將轉向新產品和提供更好結果的新提供商。

VSole

網絡安全專家