为国家网络安全战略赋予实效的四种方法 媒体
拜登政府的新网络安全战略提案
关键要点
拜登政府的新网络安全战略提案旨在转移网络安全责任,从用户转向软件和硬件制造商。此战略承认“行业自我保护”方法失效,并计划通过立法加强软件供应链安全。建议立法要求行业透明软件内容、打击软件篡改与恶意内容、快速处理关键漏洞,并提升网络韧性。拜登政府上周公布了其全新的国家网络安全战略。这是一项开创性的政策提案,标志着美国政府在过去三十年中允许行业自行制定软件和硬件规范的现状的急剧转变,之前的政策被称为“公私合作伙伴关系”。
该战略认识到“行业自保”策略的失败,指出市场对引入脆弱产品和服务的实体施加的成本不足,且常常奖励这些行为。拜登政府报告中指出,这种劣质的软件安全实践“极大地增加了数字生态系统的系统性风险,让美国公民承担最终的代价。”因此,该战略希望将责任从消费者和企业转移到“未能采取合理预防措施保护其软件的实体”。
在该战略能够开始重塑IT行业之前,它需要一些实质性的措施而且是强有力的措施。这意味着联邦政府需要明确它希望看到的变化这一点国会长期以来一直避免。以下是国会应该立法的四个建议,能显著提升软件供应链和部署应用程序及设备的安全性:
西游加速器app要求行业解释软件内容
我们需要让最终用户确信,他们许可和使用的软件确实来自其声称的实际组织或生产商。这是合乎常理的。在软件业务中,软件发布者对第三方和开源组件的自由使用已达到流行程度,这增加了应用程序的攻击面,同时也使下游用户面临来自他们不知情的组件的供应链攻击。因此,首先应强制使用软件物料清单SBOM来追踪应用程序和服务的“成分”。此外,代码签名等技术可以记录部署软件在供应链中的来源,并在供应商受损时加速软件组件的撤销。国会需要通过新法律和法规支持这些努力,以明确需要提高软件来源透明度。
严厉打击软件篡改和恶意内容
SolarWinds攻击提醒我们,软件篡改攻击的风险,特别是内部恶意行为者或远程妥协开发团队所带来的风险。自该攻击首次曝光两年多以来,仍然很少有开发组织积极监测类似SolarWinds攻击中的篡改行为。许多发布者通常认为“希望是我们之外的”,而不是“这可能发生在我们身上”。在将国家战略中的政策提案转化为法律的过程中,国会应寻找强制软件篡改、未经授权的代码修改和恶意代码监测的方法。国会可以借鉴食品制造商监测生产线是否存在细菌或其他污染物的做法,要求软件供应商证明其软件开发和发布流程中没有恶意行为者和恶意软件。
迅速处理“名人”漏洞
识别原始和编译代码中的漏洞长期以来是开发组织的重点。然而,并非所有漏洞都是同等重要的。“名人漏洞”是指那些潜在严重网络安全风险、存在于普遍组件中的缺陷。我们在谈论Log4Shell漏洞。另外一个例子是:EternalBlue,这是微软服务器消息块SMB协议实现中的一个漏洞利用工具,推动了WannaCry和NotPetya攻击。除了联邦IT系统和电力生产与分配等高度管制的行业外,联邦政府几乎没有工具迫使私营行业采取行动应对这样的软件缺陷。国会应通过要求对高风险软件漏洞采取迅速行动,以及听取战略中关于“重新塑造统治数据丢失和因网络安全错误、软件漏洞及其他软件和数字技术造成的风险的责任法律”的呼声来推动这些变革。国会的这些举措应促