針對由SolarWinds入侵事件引發(fā)的一系列黑客活動,白宮即將發(fā)布行政命令,要求采取包括提高軟件透明度在內(nèi)的一系列應(yīng)對措施。
美國白宮高級網(wǎng)絡(luò)安全官員正在與證券交易委員會、環(huán)境保護局、能源部門以及工業(yè)控制系統(tǒng)專家合作,制定關(guān)鍵基礎(chǔ)設(shè)施保護計劃。
隨著互聯(lián)網(wǎng)連接度的不斷提升,與水資源管理、電網(wǎng)運行、地鐵系統(tǒng)以及其它基礎(chǔ)服務(wù)相關(guān)的底層系統(tǒng)也面臨著愈發(fā)嚴峻的網(wǎng)絡(luò)攻擊威脅。就在上個月,一個身份不明的攻擊者試圖將佛羅里達州一家水處理廠的化學(xué)成分操縱到危險的水平。這個案例說明系統(tǒng)的低能見度不僅能造成數(shù)字威脅,還能造成物理傷害,帶來災(zāi)難性的后果。
美國網(wǎng)絡(luò)與新興技術(shù)國家安全副顧問Anne Neuberger表示,“考慮到任務(wù)影響、風(fēng)險、威脅與文化差異,我們需要建立起有針對性的OT(運行技術(shù))網(wǎng)絡(luò)安全方法,來保護美國本土的工業(yè)基礎(chǔ)設(shè)施。”
Neuberger上周五在SANS研究所舉辦的工業(yè)控制系統(tǒng)安全虛擬峰會上發(fā)表講話,她強調(diào):“如果你無法看見網(wǎng)絡(luò),自然無法保護網(wǎng)絡(luò);如果無法快速看見網(wǎng)絡(luò),自然無法及時捍衛(wèi)網(wǎng)絡(luò)。我們必須把這兩點作為IT與OT的核心原則?!?/p>
Neuberger表示,這項計劃的初步范圍將集中在對美國民眾影響最大,或者對國防、天然氣、電力、管道、水資源以及化學(xué)系統(tǒng)具有重大意義的運營技術(shù)身上。此項計劃還迎來另一位私營電力組織的重量級參與者——美國南方電力公司CEO Tom Fanning,同時也是國會授權(quán)的網(wǎng)絡(luò)空間日光浴委員會成員。
由多位立法者組成的網(wǎng)絡(luò)空間日光浴委員會,曾建議對2002年頒布的《薩班斯-奧克斯利法案》做出修訂,批準(zhǔn)證券交易委員會針對上市公司提出的網(wǎng)絡(luò)安全監(jiān)督與報告要求。上周三,該委員會的審查部門已經(jīng)將信息安全與運營彈性(特別是網(wǎng)絡(luò)安全)列為2021年內(nèi)的高優(yōu)先級事項。
Neuberger強調(diào),白宮也在與美國證券交易委員會進行對話,“希望在采取實際行動之前明確雙方擁有共同的目標(biāo),并通過討論確定有效方法。”
目前,受SolarWinds事件影響的至少9家聯(lián)邦政府部門與100多家企業(yè)受害者都表達了系統(tǒng)與軟件透明度的重要意義。Neuberger認為,政府不僅需要從企業(yè)處獲取洞見,同時也應(yīng)關(guān)注企業(yè)所運營產(chǎn)品的實際質(zhì)量,在源頭上阻遏入侵行為的發(fā)生。
她認為,“我們需要從根本上轉(zhuǎn)變觀念,從事件響應(yīng)轉(zhuǎn)變?yōu)槭孪阮A(yù)防,并據(jù)此規(guī)劃時間與資源投入?!?/p>
她還提到,即將發(fā)布的這項最新行政令還將包括一系列標(biāo)準(zhǔn),可引導(dǎo)軟件采購方輕松做出更好的安全決策。此外,美國國家電信與信息管理局也將提出一項改進軟件物科清單質(zhì)量的措施。
最后,她對這份即將發(fā)布的行政令做出總結(jié):
“如今,一個網(wǎng)絡(luò)所有者在采購網(wǎng)絡(luò)管理軟件等技術(shù)方案時,往往無法了解軟件構(gòu)建當(dāng)中所使用的具體網(wǎng)絡(luò)安全實踐,也無法了解做出的產(chǎn)品選擇將引入怎樣的風(fēng)險級別。我們必須扭轉(zhuǎn)不利局面,推動軟件物料清單及其他相關(guān)信息建立起良好的可見性。也只有這樣,我們才能有效運用網(wǎng)絡(luò)安全資金,明確表達我們在決策中最為重視的考量因素。”