美國政府強化零信任，實現多層級網絡安全

美國企業和基礎設施頻頻遭遇重大網絡攻擊，凸顯網絡安全對政府的高度重要性。

拜登政府意圖強化其網絡防御，正為各聯邦機構實現“零信任”網絡安全策略，并要求美國國家安全局（NSA）和美國網絡司令部“嚴密關注”網絡威脅。這些變化反映出，在美國企業和基礎設施遭到一些引人注目的攻擊后，網絡安全對政府的重要性日趨凸顯。

9月14日，美國NSA局長和網絡司令部司令保羅·中曾根上將向美聯社透露稱，美國政府專家團隊正加緊“打擊”針對公共和私營部門的網絡攻擊。中曾根表示：“就在六個月前，我們可能還會說，‘勒索軟件就是個犯罪行為’，但如果影響到國家了，就像我們所看到的那樣，那這個問題就上升為國家安全問題了。只要是國家安全問題，那我們肯定要嚴厲打擊的。”

為什么美國要強化其網絡防御？

Colonial Pipeline和肉類加工企業JBS所遭受的這些網絡攻擊引發美國政府重新審視網絡安全的重要性。重新聚焦網絡安全后，拜登政府發布零信任網絡安全計劃藍圖，要求所有聯邦機構實現零信任網絡安全。

英國智庫國際戰略問題研究所（IISS）研究員Franz-Stefan Gady表示，這兩項公告都表明對在線安全的高度關注，且可能歸屬由美國國防部轄下美國網絡司令部實施的總體網絡安全戰略（該戰略稱為“持續交手”）。他說：“中曾根將軍關于加強網絡入侵打擊力度的評論符合美國網絡司令部的‘持續交手’戰略，其中可能包括針對網絡空間中惡意黑客網絡的先發制人行動。”

持續交手是一種雙管齊下的策略，旨在通過降低惡意黑客實施攻擊的能力來盡量降低攻擊風險，同時減少滲透到其系統的機會。

適用《首席財務官法案》（CFO Act）的非軍事聯邦機構中，國土安全部的網絡安全預算最高。

圖：按機構劃分的民用聯邦網絡安全支出預測（單位：百萬美元）

圖中數字囊括了美國行政管理和預算局對適用《首席財務官法案》的所有24個聯邦部門和機構做出的預測（國防部除外）。

零信任能發揮效用嗎？

零信任方法要求維持嚴格的控制，默認不信任任何東西，無論其源自組織內部還是外部。Gady稱：“拜登政府引入零信任方法，是要實現層級化的網絡防御。”

英國安全公司Darktrace的威脅追蹤主管Max Heinemeyer認為，此類策略在當前安全環境中是“絕對必要”的。他解釋道：“盡管不是抵御網絡攻擊的萬全之策，零信任仍然是實現當今任何組織所需網絡彈性的重要一步。不同于預先假定信任供應商、內部網絡、研究部門、VIP等，零信任方法質疑一切事物，只授予所必需的最小權限，且安全團隊以自身已遭入侵為工作原則。”

英國皇家國際事務研究所（查塔姆研究所，Chatham House）副研究員Emily Taylor表示，美國政府最近幾周不僅提出了多層級安全方法，還表達出了在網絡攻擊響應方面與私營產業合作的意愿。她補充道，令人印象深刻的人才招募也加強了美國政府內部的安全專業知識。“他們將一些經驗豐富的專家補充到了高層網絡職位上，現在他們擁有了大量專家。”