盡管缺乏明確的定義，但拜登政府新發(fā)布的行政令可能比過去的更為有效，尤其是在Colonial Pipeline攻擊之后。

　　主要石油管道供應(yīng)商Colonial Pipeline遭受勒索軟件攻擊癱瘓。在經(jīng)歷了戲劇性的一周之后，拜登政府發(fā)布了備受關(guān)注的《改善國家網(wǎng)絡(luò)安全行政令》，或產(chǎn)生深遠而復(fù)雜的影響。該行政令旨在描繪“改善國家網(wǎng)絡(luò)安全和保護聯(lián)邦政府網(wǎng)絡(luò)的新路線”。

　　這份雄心勃勃的文件從SolarWinds和Microsoft Exchange供應(yīng)鏈攻擊，以及Colonial Pipeline勒索軟件感染出發(fā)，提出了一系列最小化此類網(wǎng)絡(luò)安全事件頻率和后果的舉措。這些舉措包括：

　　1.消除政府與私營行業(yè)之間共享威脅信息的障礙，重點確保IT服務(wù)提供商能夠與美國聯(lián)邦政府共享安全事件信息。

　　2. 現(xiàn)代化并實現(xiàn)更強的聯(lián)邦政府網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，包括遷移到云服務(wù)和零信任架構(gòu)，以及采用多因子身份驗證（MFA）和強制加密。

　　3. 提升軟件供應(yīng)鏈安全，包括為出售給政府的軟件制定軟件開發(fā)基線安全標(biāo)準(zhǔn)。美國商務(wù)部必須公布軟件材料清單（SBOM）的必備要素，跟蹤構(gòu)成軟件的各個組件。

　　4. 建立由政府和私營產(chǎn)業(yè)專家組成的網(wǎng)絡(luò)安全安全審查委員會，在發(fā)生重大網(wǎng)絡(luò)安全事件后召開會議，提出建議，就像國家運輸安全委員會（NTSB）在發(fā)生重大運輸事故后所做的那樣。

　　5. 創(chuàng)建事件響應(yīng)標(biāo)準(zhǔn)行動手冊，確保所有聯(lián)邦機構(gòu)都參照標(biāo)準(zhǔn)的行動手冊和事件響應(yīng)定義行事。

　　6. 啟用政府范圍的端點檢測與響應(yīng)（EDR）系統(tǒng)，改進聯(lián)邦政府內(nèi)部的信息共享，從而提升聯(lián)邦政府各網(wǎng)絡(luò)上的網(wǎng)絡(luò)安全事件檢測。

　　7. 為所有聯(lián)邦機構(gòu)建立網(wǎng)絡(luò)安全事件日志要求，改善調(diào)查與修復(fù)能力。

　　立法者盛贊這項行政令

　　立法者對此項行政令的最初反應(yīng)是正面的。國會議員 Jim Langevin 是眾議院網(wǎng)絡(luò)安全、創(chuàng)新技術(shù)和信息系統(tǒng)軍事小組委員會主席，也是網(wǎng)絡(luò)空間日光浴室委員會成員，他發(fā)表聲明說：“網(wǎng)絡(luò)安全是我們國家最緊迫的國家安全挑戰(zhàn)，我贊成拜登總統(tǒng)在任期初期采取行動，解決和消除突出的弱點?！?/p>

　　參議院情報委員會主席、弗吉尼亞州民主黨參議員Mark Warner認為，行政令的發(fā)布是“良好的第一步”。馬薩諸塞州民主黨參議員Edward J. Markey和加利福尼亞州民主黨國會議員Ted W. Lieu稱贊這項行政令創(chuàng)建了新的試點項目，可以“教育公眾熟悉物聯(lián)網(wǎng)（IoT）設(shè)備的安全能力?！薄?/p>

　　專家指出定義挑戰(zhàn)

　　然而，這項行政令包含了46個限期完成的目標(biāo)，目前尚缺乏關(guān)于如何實現(xiàn)這許多目標(biāo)的詳細說明。Wiley Rein律師事務(wù)所合伙人Megan Brown向媒體透露：“行政令給美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）和聯(lián)邦采購管理委員會（FAR）留下了許多未定義的內(nèi)容，并賦予了巨大的自由裁量權(quán)?！痹撔姓钜驨IST制定實現(xiàn)零信任架構(gòu)的計劃，并要求其定義關(guān)鍵軟件并制定評估軟件安全的指南。

　　根據(jù)行政令，NIST被進一步分配了一系列任務(wù)，敲定物聯(lián)網(wǎng)消費品安全標(biāo)簽計劃的關(guān)鍵組成部分，包括建立試點計劃和確定計劃中使用的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。聯(lián)邦采購管理委員會則被分配了許多與信息共享要求相關(guān)的合約語言開發(fā)任務(wù)。

　　安全事件的定義很主觀

　　前白宮首席信息官、網(wǎng)絡(luò)安全公司Fortalice Solutions現(xiàn)任首席執(zhí)行官特Theresa Payton贊揚了網(wǎng)絡(luò)安全安全審查委員會的成立，但表示對該行政令的執(zhí)行存有顧慮?！靶姓钜驣T服務(wù)提供商向政府報告可能影響美國網(wǎng)絡(luò)的網(wǎng)絡(luò)安全事件。這個要求太過主觀?！?/p>

　　“從網(wǎng)絡(luò)安全從業(yè)人員管理者的角度出發(fā)，面對這種相當(dāng)主觀的要求，老實說，我覺得自己根本不知道該怎么遵從。行政令并沒有真正明確哪個部門或機構(gòu)負責(zé)確保這一點。比如說，你報告給哪個政府部門？聯(lián)邦調(diào)查局（FBI）嗎？國家安全局（NSA）？還是說，中央情報局（CIA）？”

　　撇開向聯(lián)邦政府發(fā)送安全事件信息和為網(wǎng)絡(luò)罪犯創(chuàng)造易得手目標(biāo)的安全影響不談，僅定義上的挑戰(zhàn)就十分巨大。Payton說：“未授權(quán)登錄或未授權(quán)訪問被認為是網(wǎng)絡(luò)事件。但如果客戶說”我們安全運營中心觀測到異常情況“，網(wǎng)絡(luò)安全公司就會出動事件響應(yīng)團隊，然后發(fā)現(xiàn)某個軟件應(yīng)用運行異常需要修復(fù)。沒錯，確實有未授權(quán)訪問，但沒有任何數(shù)據(jù)落入網(wǎng)絡(luò)罪犯之手。這種也需要報告嗎？”

　　此外，行政令要求的安全事件報告與美國各州和司法轄區(qū)要求的數(shù)據(jù)泄露事件報告之間也需要協(xié)調(diào)。Payton表示：“美國現(xiàn)在有關(guān)數(shù)據(jù)泄露通報的法律多如牛毛。世界上沒幾個國家像美國這么搞。我們到底是遵守州政府的規(guī)定，還是有新的規(guī)則來規(guī)定什么是可報告的事件？”

　　美國國土安全部協(xié)調(diào)委員會前副主席、西雅圖前首席信息官、事件響應(yīng)公司CI Security首席信息官Michael Hamilton表示，行政令中許多章節(jié)“相當(dāng)直白，放之四海而皆準(zhǔn)”，比如要求聯(lián)邦機構(gòu)以標(biāo)準(zhǔn)化的方式管理漏洞和安全事件。他還認為，拜登政府“還需要打磨一些細節(jié)，有些定義上的問題需要解決和澄清?！?/p>

　　NSA挑大梁

　　美國國家安全局（NSA）在這份行政令的實施中扮演重要角色，包括定義企業(yè)和機構(gòu)需要向政府報告的安全事件由哪些要素構(gòu)成。Hamilton稱：“尤其是NSA，這個機構(gòu)擁有追蹤和通報這些罪犯的專長。NSA不得開展國內(nèi)監(jiān)視。如果NSA拿出一套規(guī)則確定服務(wù)提供商什么時候得移交數(shù)據(jù)供調(diào)查，如果他們是解決這個問題的人，那可能是因為他們想從流經(jīng)服務(wù)提供商和運營商的網(wǎng)絡(luò)流量方面繞開無法監(jiān)視美國國內(nèi)的障礙?！?/p>

　　“我覺得他們會用這種方法嘗試解決這一問題。如果他們有一席之地，那是因為有些東西是他們想要的，他們知道怎么利用。”

　　行政令與之前的操作有何不同？

　　我們尚不清楚該行政令與聯(lián)邦政府之前的網(wǎng)絡(luò)安全工作有何差異。Payton稱：“我想再多觀察觀察。我希望這份行政令能夠少談框架和信息共享，因為這事兒從克林頓政府時期就一直是他們追求的目標(biāo)了。達成目標(biāo)不外乎‘加大投資，再呼吁投更多人和更多框架進來’?；蛟S我們可以從完全不同的角度看問題。比如從加密貨幣和非同質(zhì)化通證領(lǐng)域借鑒點兒創(chuàng)新思維?？赡芪覀冃枰氖遣灰粯拥膭?chuàng)新者，而不是一直以來的從業(yè)者?！?/p>

　　Hamilton認為，這一次，聯(lián)邦政府提出的解決網(wǎng)絡(luò)安全棘手問題的倡議不同以往，可能會奏效。“我們從未像過去六個月里那樣過得這么慘。這次是不一樣的。這并非最好的，但直接關(guān)系到過去六個月發(fā)生的一些事情的核心，特別是供應(yīng)鏈安全問題。”

　　“聯(lián)邦政府花了這么多錢，自然可以隨心所欲地給產(chǎn)品和供應(yīng)商提需求，而供應(yīng)商如果不想丟掉飯碗，就必須跟進。所以這次是不一樣的，純粹是利用經(jīng)濟手段、市場力量、錢包的力量、競爭差異化來獲得你想要的網(wǎng)絡(luò)安全，而不是硬邦邦說‘你必須滿足以下所有要求’?！?/p>