“捍網(wǎng)”行動(dòng)ing:2021年9項(xiàng)值得關(guān)注的政府網(wǎng)絡(luò)安全舉措
各國政府正越來越多地關(guān)注網(wǎng)絡(luò)安全����,并積極出臺(tái)各項(xiàng)應(yīng)對(duì)網(wǎng)絡(luò)威脅的舉措���。
如今�����,網(wǎng)絡(luò)安全已經(jīng)穩(wěn)步上升至全球各國政府的重要議程���。這也催生了各項(xiàng)旨在解決威脅個(gè)人和組織的網(wǎng)絡(luò)安全問題的舉措���。Forrester的安全和風(fēng)險(xiǎn)分析師Steve Turner表示,政府主導(dǎo)的網(wǎng)絡(luò)安全舉措對(duì)于解決網(wǎng)絡(luò)安全問題至關(guān)重要��,例如破壞性攻擊���、大規(guī)模數(shù)據(jù)泄露����、糟糕的安全態(tài)勢(shì)以及對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊等等。這些舉措為組織和消費(fèi)者如何保護(hù)自身安全提供了統(tǒng)一指導(dǎo);為缺乏知識(shí)和金錢手段保護(hù)自身安全的企業(yè)提供服務(wù);對(duì)采取進(jìn)攻性行動(dòng)的民族國家網(wǎng)絡(luò)間諜組織�,以及最重要的是對(duì)重大網(wǎng)絡(luò)事件的調(diào)查以及調(diào)查之后的關(guān)鍵信息共享,提供可以利用的立法手段��。”
以下是2021年世界各國政府推出的一些最值得關(guān)注的網(wǎng)絡(luò)安全舉措:
美國國防部發(fā)布網(wǎng)絡(luò)安全成熟度模型認(rèn)證
2021年1月�����,美國國防部(DoD)發(fā)布了網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)�����,這是在整個(gè)國防工業(yè)基地(DIB)中實(shí)施網(wǎng)絡(luò)安全的統(tǒng)一標(biāo)準(zhǔn)�,其中包括供應(yīng)鏈中的300,000多家公司���。CMMC審查并結(jié)合了各種網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和最佳實(shí)踐�����,映射了從基本到高級(jí)網(wǎng)絡(luò)衛(wèi)生的多個(gè)成熟度級(jí)別的控制和流程���。參考整合的各類網(wǎng)絡(luò)安全標(biāo)準(zhǔn)包括:
NIST SP 800-171
NIST SP 800-171B
NIST SP 800-53
NIST CSF V1.1
CERT RMM V1.2
CIS Controls
ISO 270001和ISO 27032
AIA NAS9933
其他成熟的網(wǎng)絡(luò)安全最佳實(shí)踐體系(UK NCSC��、AU ACSC�����、FAR等)
CMMC是建立在現(xiàn)有法規(guī)(DFARS 252.204-7012)基礎(chǔ)上的�,2015年����,美國國防部發(fā)布了《國防采辦聯(lián)邦法規(guī)補(bǔ)充》(稱為DFARS),該法規(guī)要求私人DoD承包商根據(jù)NIST SP 800-171網(wǎng)絡(luò)安全框架采用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)����,旨在保護(hù)美國國防供應(yīng)鏈免受國內(nèi)外網(wǎng)絡(luò)威脅,并降低該部門的整體安全風(fēng)險(xiǎn)�����。
不過�,由于DFARS 252.204-7012法規(guī)的采用速度過慢,實(shí)際效果無法滿足國家級(jí)網(wǎng)絡(luò)防護(hù)的需求��,所以國防部又發(fā)布了CMMC���。除了評(píng)估企業(yè)實(shí)施網(wǎng)絡(luò)安全控制措施的成熟度外�,CMMC還將更廣泛地衡量企業(yè)的網(wǎng)絡(luò)安全實(shí)踐及安全運(yùn)營過程制度化的成熟度,以確保適當(dāng)水平的網(wǎng)絡(luò)安全控制和流程得當(dāng)并已部署就位��,更好地保護(hù)DoD承包商系統(tǒng)上的受控未分類信息(CUI)���。
Mandelbaum Salsburg P.C.的CIO Tom Brennan表示����,CMMC可能是美國2021年最重要的政府網(wǎng)絡(luò)安全計(jì)劃����。長期以來���,國防部一直告誡DIB承包商必須遵守NIST標(biāo)準(zhǔn)�,但與此特定控制相關(guān)的認(rèn)證�、執(zhí)法或?qū)徲?jì)為0,結(jié)局可謂一敗涂地�����。CMMC不同����,它涉及法律評(píng)估���,可以從安全角度測(cè)試政府承包商是否符合CMMC 1、2��、3�����、4 或5級(jí)(取決于項(xiàng)目所需的成熟度級(jí)別)�,如果他們不符合CMMC要求,就無法拿到合同��。
如今���,CMMC也越來越受到網(wǎng)絡(luò)安全行業(yè)的關(guān)注���,因?yàn)樵S多審計(jì)公司和服務(wù)提供商意識(shí)到這是一個(gè)“搖錢樹”。
西班牙政府向網(wǎng)絡(luò)安全行業(yè)投入4.5億歐元�,開設(shè)黑客學(xué)院
2021年4月,西班牙數(shù)字化和人工智能國務(wù)秘書Carme Artigas透露����,西班牙政府將在三年內(nèi)投資超過4.5億歐元�����,以促進(jìn)該國的網(wǎng)絡(luò)安全行業(yè)發(fā)展���。此外,該國政府還將為14歲及以上的西班牙居民開設(shè)在線黑客學(xué)院����,以培訓(xùn)和吸引人才。該培訓(xùn)計(jì)劃于5月3日至6月25日以在線形式運(yùn)行���,吸引了數(shù)百名參與者參加網(wǎng)絡(luò)安全挑戰(zhàn)�。
國家網(wǎng)絡(luò)安全研究所(INCIBE)將負(fù)責(zé)監(jiān)督這項(xiàng)網(wǎng)絡(luò)安全支出的新戰(zhàn)略計(jì)劃��,大力吸引人才����、加強(qiáng)個(gè)人��、中小企業(yè)和專業(yè)人士的網(wǎng)絡(luò)安全以及鞏固西班牙作為國際網(wǎng)絡(luò)安全中心的地位��。
美國政府宣布雄心勃勃的網(wǎng)絡(luò)安全行政命令
2021年5月���,拜登政府宣布了一項(xiàng)大膽的網(wǎng)絡(luò)安全行政命令���,以制定“改善國家網(wǎng)絡(luò)安全和保護(hù)聯(lián)邦政府網(wǎng)絡(luò)的新路線”���。該文件是在發(fā)生SolarWinds和Microsoft重大供應(yīng)鏈攻擊以及Colonial Pipeline勒索軟件攻擊事件之后發(fā)布的。
該行政命令旨在最大限度地減少此類事件的頻率和影響�����,并提出了一系列加強(qiáng)聯(lián)邦機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)安全的建議�����,包括:
消除政府和私營部門之間威脅信息共享的障礙;
在聯(lián)邦政府中實(shí)現(xiàn)現(xiàn)代化并實(shí)施更嚴(yán)格的網(wǎng)絡(luò)安全標(biāo)準(zhǔn);
提高軟件供應(yīng)鏈安全性;
建立網(wǎng)絡(luò)安全審查委員會(huì);
提高圍繞網(wǎng)絡(luò)安全事件的檢測(cè)�、調(diào)查和補(bǔ)救能力;
該網(wǎng)絡(luò)安全行政命令迅速要求各機(jī)構(gòu)通過引入零信任架構(gòu)、增強(qiáng)技術(shù)采購�、開發(fā)軟件物料清單(SBOM)要求、遷移至云等手段來實(shí)現(xiàn)安全態(tài)勢(shì)現(xiàn)代化����。這將對(duì)其他國家和組織產(chǎn)生廣泛的下游影響,因?yàn)樗鼘⑵仁乖S多與政府存在業(yè)務(wù)往來的供應(yīng)商和企業(yè)采取特定的安全措施�,并擁有其他組織能夠掌握的特定數(shù)據(jù)。
澳大利亞政府推出關(guān)鍵基礎(chǔ)設(shè)施提升計(jì)劃
2021年5月�,澳大利亞政府推出了關(guān)鍵基礎(chǔ)設(shè)施提升計(jì)劃(CI-UP)���,以識(shí)別和解決關(guān)鍵基礎(chǔ)設(shè)施中的漏洞,通過評(píng)估現(xiàn)有安全計(jì)劃和實(shí)施建議的風(fēng)險(xiǎn)緩解策略�����,幫助提供商提高網(wǎng)絡(luò)安全成熟度��。模塊化網(wǎng)絡(luò)安全計(jì)劃面向作為ACSC合作伙伴的關(guān)鍵基礎(chǔ)設(shè)施實(shí)體開放���,旨在:
結(jié)合網(wǎng)絡(luò)安全能力和成熟度模型(C2M2)以及Essential 8成熟度模型����,評(píng)估具有國家意義的關(guān)鍵基礎(chǔ)設(shè)施和系統(tǒng)的網(wǎng)絡(luò)安全成熟度;
提供優(yōu)先的脆弱性和風(fēng)險(xiǎn)緩解策略;
協(xié)助合作伙伴實(shí)施建議的風(fēng)險(xiǎn)緩解策略;
隨著針對(duì)電網(wǎng)和管道等關(guān)鍵基礎(chǔ)設(shè)施的攻擊日益增多�����,這項(xiàng)計(jì)劃的出臺(tái)可謂意義重大����,可以幫助實(shí)體快速提高安全態(tài)勢(shì)���。
美國立法者提出美國網(wǎng)絡(luò)安全素養(yǎng)法案
2021年6月��,眾議院兩黨議員提出了一項(xiàng)關(guān)于《美國網(wǎng)絡(luò)安全素養(yǎng)法案》的提案���,這是一項(xiàng)旨在提高美國互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)安全意識(shí)和數(shù)據(jù)安全認(rèn)知的新立法�。該法案目前正在接受眾議院能源和商務(wù)委員會(huì)的審查��,該法案規(guī)定美國在促進(jìn)網(wǎng)絡(luò)安全素養(yǎng)方面具有國家安全和經(jīng)濟(jì)利益���,并規(guī)定通信和信息部助理部長應(yīng)制定和開展網(wǎng)絡(luò)安全素養(yǎng)最佳實(shí)踐活動(dòng)����,以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��。
事實(shí)證明���,網(wǎng)絡(luò)攻擊的威脅以及采取高效應(yīng)對(duì)措施的必要性是美國政府獲得兩黨一致認(rèn)同的少數(shù)問題之一���。《美國網(wǎng)絡(luò)安全素養(yǎng)法案》對(duì)提高美國公眾認(rèn)知的關(guān)注是正確的���。很多時(shí)候�,我們個(gè)人面臨的威脅與公司面臨的威脅是相同的或衍生的。員工個(gè)人設(shè)備上收到的商業(yè)電子郵件妥協(xié)(BEC)攻擊數(shù)量便證實(shí)了這一點(diǎn)����。如今,工作和生活之間的界限已經(jīng)愈發(fā)模糊�����,這也導(dǎo)致針對(duì)個(gè)人的威脅很可能會(huì)危及整個(gè)企業(yè)�。
基于身份的攻擊是美國企業(yè)和個(gè)人最常見的攻擊類型之一,并且有充分的理由證明——破壞合法身份是繞過個(gè)人及其公司實(shí)施的安全保護(hù)措施的有效方法���。因此��,令人振奮的是����,《美國網(wǎng)絡(luò)安全素養(yǎng)法案》如果獲得通過����,將重點(diǎn)關(guān)注網(wǎng)絡(luò)釣魚的威脅以及每個(gè)人都需要盡可能啟用和使用多因素身份驗(yàn)證(MFA)。
法國政府發(fā)布網(wǎng)絡(luò)攻擊警報(bào)系統(tǒng)
2021年7月���,法國政府為中小企業(yè)啟動(dòng)了新的預(yù)警系統(tǒng)�,旨在發(fā)生網(wǎng)絡(luò)攻擊時(shí)為其提供支持,告知企業(yè)應(yīng)對(duì)事件應(yīng)采取的行動(dòng)�����。
根據(jù)政府新聞稿介紹����,當(dāng)檢測(cè)到對(duì)中小型公司特別重要的漏洞或攻擊行為時(shí)�,國家受害者援助系統(tǒng)和國家安全局(ANSSI)會(huì)向企業(yè)領(lǐng)導(dǎo)者發(fā)布簡短易懂的通知。法國政府認(rèn)為�����,信息速度和立即采取行動(dòng)的能力將使公司能夠更好地保護(hù)自己�����,從而限制網(wǎng)絡(luò)攻擊對(duì)法國經(jīng)濟(jì)結(jié)構(gòu)的影響��。
英國國防部完成首個(gè)漏洞賞金計(jì)劃
2021年8月����,英國國防部(MoD)宣布完成其首個(gè)漏洞賞金計(jì)劃。它與HackerOne合作����,邀請(qǐng)道德黑客參加為期30天的挑戰(zhàn)�����,允許他們直接訪問其內(nèi)部系統(tǒng)以調(diào)查和識(shí)別其數(shù)字資產(chǎn)中需要修復(fù)的漏洞��。該計(jì)劃旨在幫助國防部更好地保護(hù)和捍衛(wèi)其網(wǎng)絡(luò)系統(tǒng)和750,000臺(tái)設(shè)備��,遵循英國政府的新網(wǎng)絡(luò)戰(zhàn)略(于3月發(fā)布)����,以增強(qiáng)該國在日益數(shù)字化的世界中的網(wǎng)絡(luò)實(shí)力�����。
在項(xiàng)目結(jié)束時(shí)���,英國國防部CISO Christine Maxwell表示�����,國防部已采用透明設(shè)計(jì)的安全策略��,這是確定開發(fā)過程中需要改進(jìn)的領(lǐng)域不可或缺的一部分���。她表示���,對(duì)我們來說,繼續(xù)突破數(shù)字和網(wǎng)絡(luò)發(fā)展的界限以吸引具有技能�����、精力和信譽(yù)的人員�,這一點(diǎn)很重要����。與道德黑客社區(qū)合作使我們能夠建立自己的技術(shù)人才平臺(tái),并帶來更多樣化的觀點(diǎn)來保護(hù)和捍衛(wèi)我們的資產(chǎn)�。了解我們的漏洞所在并與更廣泛的道德黑客社區(qū)合作來識(shí)別和修復(fù)它們,是降低網(wǎng)絡(luò)風(fēng)險(xiǎn)和提高彈性的關(guān)鍵步驟�����。
同月����,國防部還呼吁初創(chuàng)公司設(shè)計(jì)新一代安全硬件和軟件,以幫助軍方減少其網(wǎng)絡(luò)攻擊面�,待遇是一份為期9個(gè)月價(jià)值30萬英鎊的合同���。
意大利政府成立國家網(wǎng)絡(luò)安全機(jī)構(gòu)
2021年8月,意大利議會(huì)批準(zhǔn)了政府“建立一個(gè)新的網(wǎng)絡(luò)安全機(jī)構(gòu)以打擊針對(duì)國家的網(wǎng)絡(luò)攻擊”的計(jì)劃����,這是該國創(chuàng)建安全、統(tǒng)一的云基礎(chǔ)設(shè)施的宏大戰(zhàn)略的一部分���。意大利政府6月首次宣布���,Agenzia per la Cybersicurezza Nazionale(ACN)最初將由300名員工組成,目標(biāo)是到2027年發(fā)展壯大至1,000名員工�。它將由信息安全部(DIS)副局長Roberto Baldini負(fù)責(zé)領(lǐng)導(dǎo)。其需要實(shí)現(xiàn)的各種目標(biāo)包括�,在網(wǎng)絡(luò)安全領(lǐng)域行使國家權(quán)力機(jī)構(gòu)的職能,發(fā)展國家預(yù)防��、監(jiān)測(cè)���、檢測(cè)和緩解能力以應(yīng)對(duì)網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)攻擊�����,并為提高信息和通信技術(shù)系統(tǒng)的安全性做出貢獻(xiàn)��。
Blackberry歐洲�����、中東和非洲地區(qū)副總裁Adam Bangle表示���,意大利政府新的國家網(wǎng)絡(luò)安全雄心成功與否將取決于它能否實(shí)現(xiàn)關(guān)鍵目標(biāo)���。他說����,首先是安全標(biāo)準(zhǔn)化問題。建立安全標(biāo)準(zhǔn)和安全軟件開發(fā)原則�����,在整個(gè)系統(tǒng)中實(shí)行零信任����,并確保實(shí)施和執(zhí)行每個(gè)安全協(xié)議以避免邊界防御中的任何盲點(diǎn),應(yīng)該成為任何國家網(wǎng)絡(luò)戰(zhàn)略的組成部分����。其次����,也是最重要的一點(diǎn)�����,他們必須對(duì)網(wǎng)絡(luò)安全采取主動(dòng)�、基于預(yù)防的安全態(tài)勢(shì)。
英國政府啟動(dòng)Cyber Runway業(yè)務(wù)增長計(jì)劃
2021年8月���,英國政府公布了旨在促進(jìn)英國網(wǎng)絡(luò)安全部門增長的Cyber Runway項(xiàng)目����。Cyber Runway將助推全國各地的企業(yè)家和企業(yè)獲得商業(yè)培訓(xùn)指導(dǎo)�、產(chǎn)品開發(fā)支持、社交活動(dòng)以及支持國際貿(mào)易和安全投資����,從而將他們的想法轉(zhuǎn)化為商業(yè)實(shí)踐。
英國數(shù)字基礎(chǔ)設(shè)施部長Matt Warman表示��,該項(xiàng)目將解決增長障礙��,增加投資��,并為企業(yè)提供重要支持,從而將其業(yè)務(wù)提升到一個(gè)新的水平��。此外���,該計(jì)劃還將支持來自不同背景的創(chuàng)始人和創(chuàng)新者����,主要針對(duì)英國網(wǎng)絡(luò)領(lǐng)域代表性不足的群體����,例如女性以及來自黑人、亞洲和少數(shù)族裔背景的人等�。
Cyber Runway項(xiàng)目的目標(biāo)是在六個(gè)月內(nèi)支持160家公司�����,由數(shù)字���、文化�����、媒體和體育部(DCMS)資助����,并得到CyLon、德勤和安全信息技術(shù)中心(CSIT)的支持���。如今�,英國的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)正處于發(fā)展的關(guān)鍵時(shí)刻�����。疫情大流行帶來了新的挑戰(zhàn)和新的機(jī)遇����,Cyber Runway項(xiàng)目將支持英國的創(chuàng)新者開發(fā)關(guān)鍵的安全技術(shù),以保護(hù)其數(shù)字經(jīng)濟(jì)的未來����。
參考及來源:https://www.csoonline.com/article/3630632/9-notable-government-cybersecurity-initiatives-of-2021.html
文章來源: 嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761