佛瑞斯特研究所安全与风险分析师Steve Turner表示:“政府主导的网络安全倡议是解决破坏性攻击、大规模数据泄露、不良安全状况和关键基础设施攻击等网络安全问题的关键。这些倡议为组织和消费者如何保护自己提供了一致的指南,为没有知识或金钱手段来保护自己的公司提供各项服务,给出了可以利用的立法杠杆,以及对民族国家对手采取进攻性行动的手段;最重要的是,确立了对重大网络事件的调查以及在这些事件期间或之后的关键信息共享。”
2021年,世界各国政府推出的网络安全政策或举措中,以下九项尤为值得关注:
一、美国国防部公布网络安全成熟度模型认证
今年一月,美国国防部发布网络安全成熟度模型认证(CMMC),美国国防工业基础(DIB)超30万家供应链公司从此有了实现网络安全的统一标准。CMMC仔细考查并整合了各种网络安全标准和最佳实践,映射从基础到高级网络卫生多个成熟度水平的各项控制措施与过程。
负责采购与维持的国防部副部长办公室网站上写道:“对于给定的CMMC级别,实现相关控制措施与过程后,特定网络威胁的风险将可有所降低。CMMC工作建立在基于信任的现有法规(DFARS 252.204-7012)的基础之上,添加了网络安全要求相关的验证组件。”CMMC旨在为所有组织提供经济高效且价格合理的服务,由经授权和认可的CMMC第三方执行评估,并向达到适当级别的DIB公司颁发CMMC证书。
Tom Brennan身为纽约知识产权和品牌管理律师事务所Mandelbaum Salsburg P.C.首席信息官,且兼任网络安全认证机构和行业标准倡导者CREST International美国区主席,对他而言,CMMC可能是美国2021年最重大的政府网络安全倡议。他表示:“很长一段时间以来,美国国防部都要求DIB承包商必须遵循美国国家标准与技术研究院(NIST)制定的标准,但这一控制措施根本没有任何相关的认可、实施或审计,可以说是毫无效果。”他说,CMMC真是太重要了,因为其中涉及从安全角度检测政府承包商是否信守承诺的法律评估,如果承包商未能达到CMMC要求,就将丢掉他们的合约。
“如果要签下新的国防部合同,这些联系人会明确指出,在签订新合同之前,公司必须符合CMMC 1、2、3、4或5级标准(取决于项目所需的成熟度水平)。”Brennan指出,CMMC也日渐吸引了网络安全行业的视线,因为许多审计事务所和服务提供商都认识到这就是棵摇钱树。
二、西班牙政府承诺向网络安全行业投入4.5亿欧元,开设黑客学院
今年四月,西班牙数字化与人工智能国务秘书Carme Artigas透露,西班牙政府将在三年间投资4.5亿欧元用于推动该国网络安全产业发展。Artigas还宣布,将开设在线黑客学院招揽人才,年龄14周岁及以上的西班牙居民均可参与培训。这项培训计划预计以线上形式在5月3日到6月25日期间执行,届时将有数百名参与者参与网络安全挑战。
国家网络安全研究院(INCIBE)将督导一项新的战略计划,监督网络安全开支,夯实推进网络安全行业商业生态系统建设的三个重要支柱;并吸引人才,强化个人、中小企业与专业人员的网络安全状况,巩固西班牙作为国际网络安全中心的地位。
三、美国政府宣布雄心勃勃的网络安全行政令
今年五月,拜登政府发布雄心勃勃的网络安全行政令,描绘“改善美国国家网络安全及保护联邦政府网络的新路线”。行政令是在SolarWinds和微软重大供应链攻击和Colonial Pipeline勒索软件攻击等重大攻击事件之后发布的。
该网络安全行政令旨在削减此类事件的频率和影响,提出了一系列加强联邦机构内部网络安全的建议,包括:
- 消除政府与私营行业间威胁信息共享的障碍
- 现代化并实现更健壮的联邦政府网络安全标准
- 改善软件供应链安全
- 设立网络安全安全审查委员会
- 提升网络安全事件检测、调查与缓解能力
Turner称:“这项网络安全行政令要求机构加快现代化其安全形势:引入零信任架构,强化技术采购,制定软件物料清单(SBOM),转移到云端等等。该行政令将给其他国家和组织带来深远的下游影响,因为这将会迫使许多跟美国政府有生意往来的供应商和公司设置特定安全措施,并掌握其他组织和机构可以利用的特定数据。”
四、澳大利亚政府推出关键基础设施提升计划
今年五月,澳大利亚政府提出了关键基础设施提升计划(CI-UP),旨在识别和解决关键基础设施中的漏洞,帮助提供商通过评估其安全项目和实现建议风险缓解策略,来提升其网络安全成熟度。该模块化的网络安全计划面向身为ACSC合作伙伴的关键基础设施实体,旨在:
- 综合采用网络安全能力与成熟度模型(C2M2)和八种基础成熟度模型评估国家级关键基础设施与系统的网络安全成熟度
- 交付划分了优先顺序的漏洞与风险缓解策略
- 辅助合作伙伴实现推荐的风险缓解策略
Turner表示:“随着电网和油气管道等关键基础设施面临的攻击越来越多,帮助快速提升此类实体的安全状况也成为了一项十分重要的服务。”
五、美国立法者提出《美国网络安全素养法案》
今年六月,两党众议院议员提出了《美国网络安全素养法案》提案,希望设立新的立法以提高美国互联网用户的网络安全意识和数据安全知识。该项提案目前正接受众议院能源与商业委员会的审查。法案规定,促进网络安全知识普及符合美国的国家安全与经济利益,并规定通信和信息部助理部长应制定和开展网络安全知识普及活动,从而减少网络安全风险。
CyberGRX首席信息安全官Dave Stapleton评价此提案称,事实证明,网络攻击威胁和对有效对策的需求,是美国政府中少数几个能获得两党一致同意的问题之一。“《美国网络安全素养法案》的重点在教育美国公众。作为个人,我们大家面对的威胁往往与企业所面临的威胁是相同或类似的。员工个人设备遭遇的商务电邮入侵(BEC)攻击数量就很能说明问题了。我们工作和个人生活之间的界限越来越模糊,导致员工个人面对的威胁同时也是雇主面临的威胁。
基于身份的攻击是美国企业和个人最常见的攻击类型,有充分的理由相信,窃取合法身份是绕过个人及其公司安全防护措施的有效方法。“因此,如果《美国网络安全素养法案》能够通过,我们或可见证关注重点放在网络钓鱼威胁和要求所有人尽可能启用多因素身份验证(MFA)上。”
六、法国政府发布网络攻击警报系统
今年七月,法国政府为中小企业推出了新的警报系统,旨在支持中小企业应对网络攻击事件,告知他们应采取的事件响应动作。该系统是由负责数字转型与电子通信的国务秘书Cédric O及其他高级官员提出的。
政府新闻稿显示,检测到针对中小企业的重大漏洞或攻击活动时,法国国家受害者辅助系统和国家信息系统安全局(ANSSI)会向企业领导发出简明扼要且易于理解的通知。然后,在尽可能广泛地传达给各企业领导之前,该通知先转发至包括跨行业组织、工商协会(CCI)和工艺商会(CMA)领事网络在内的实体。法国政府认为,信息共享的速度和采取即时行动的能力可使企业更好地保护自身,从而限制网络攻击对法国经济结构的影响。
七、英国国防部完成首个漏洞赏金计划
今年八月,英国国防部(MoD)宣布其首个漏洞赏金计划完成。英国国防部与HackerOne合作,邀请道德黑客参与为期30天的挑战,赋予他们直接访问其内部系统的权限,请他们调查并找出其数字资产中需要修复的漏洞。英国政府今年三月发布了新的网络战略,意图在逐渐数字化的世界中增强国家的网络力量。该计划遵循此项网络战略,旨在帮助英国国防部更好地护卫自身网络系统和75万台设备。
谈及此项计划的完成,国防部首席信息安全官Christine Maxwell称,国防部采纳了设计安全策略,将透明性作为确定开发过程中有待改进领域的一个组成部分。“我们很有必要推动数字与网络开发的边界,吸引具备技术、精力和使命感的人才。与道德黑客社区合作有助于建设我们的技术人才队伍,从更多样化的角度保护和防御我们的资产。摸清我们的漏洞位置,与更广泛的道德社区合作以识别和发现漏洞,是减少网络风险和提升弹性的重要步骤。”
同样在八月,英国国防部还向初创企业发出了号召,呼吁他们设计新一代安全硬件及软件,帮助军方缩减其网络攻击面,并承诺为为期九个月的创新提案合同提供高达30万英镑的资金。
八、意大利政府成立国家网络安全局
八月,意大利议会批准了政府建立新网络安全机构的计划,希望能够打击针对该国的网络攻击,补全该国创建安全、统一云基础设施的宏大战略。今年六月首次透出消息的意大利国家安全局(ACN)最初将由300名员工组成,到2027年扩充至1000名雇员的规模。该机构将由信息安全部(DIS)副部长Roberto Baldini领导。其各项任务包括:履行国家当局在网络安全领域的职能,发展国家预防、监测、检测和缓解能力,从而能够应对网络安全事件和网络攻击,并帮助提高信息和通信技术系统的安全性。
黑莓公司欧洲、中东和非洲副总裁Adam Bangle表示,意大利政府新国家网络安全雄心的成功将取决于其能否实现几个关键目标。“首先,安全标准化。建立安全标准和安全软件开发原则,跨整个系统施行零信任,并确保实现并强制施行各安全协议以避免边界防御出现任何盲点,应该成为任何国家网络策略中不可或缺的组成部分。其次,也是最关键的一点,必须采取基于预防的主动式网络安全方法。”
九、英国政府启动网络跑道业务增长计划
今年八月,英国政府公布了网络跑道(Cyber Runway)计划,旨在促进英国网络安全产业发展。撰写本文之时,该计划还处于意向书阶段,希望看到英国的创业者和各家公司能够接触到商业大师课程、指导、产品开发支持、社交活动,以及国际贸易和安全投资支持,从而能够将他们的创意转化为商业成功。
数字基础设施部长Matt Warman表示,该计划将解决增长障碍,增加投资,并为企业提供至关重要的支持,推动企业更上一层楼。“该计划还将支持不同背景的创始人和创新者,面向英国网络行业弱势群体的申请人,如女性和黑人、亚裔及少数民族背景的人。”
网络跑道计划的目标是在六个月内为160家公司提供支持,资金来源为数字、文化、媒体和体育部(DCMS),并由CyLon、德勤和安全信息技术中心(CSIT)提供的支持。CyLon首席执行官Nick Morris补充道:“英国的网络安全生态系统正处于令人激动的发展关键期,新冠肺炎疫情带来了新的挑战和机遇。网络跑道计划将支持英国创新者开发重要安全技术,帮助捍卫我们数字经济的未来。”