Tổng thống Hoa Kỳ Joe Biden tuần này đã ký một bản ghi nhớ về tăng cường an ninh mạng của An ninh Quốc gia, Bộ Quốc phòng và Hệ thống Cộng đồng Tình báo.
Mục tiêu của bản ghi nhớ an ninh quốc gia mới là thực hiện các yêu cầu an ninh mạng được nêu trong lệnh hành pháp do Biden ký vào tháng 2021 năm XNUMX để cải thiện khả năng phòng thủ trên không gian mạng.
Cụ thể, bản ghi nhớ thiết lập hướng dẫn và thời hạn để thực hiện các yêu cầu về an ninh mạng của Hệ thống An ninh Quốc gia (NSS) được mô tả trong lệnh hành pháp.
Bản ghi nhớ yêu cầu các cơ quan báo cáo bất kỳ sự cố mạng nào của NSS cho NSA và nó cho phép NSA (cơ quan có vai trò là Giám đốc quốc gia) tạo ra các chỉ thị hoạt động ràng buộc (HĐQT) yêu cầu các cơ quan thực hiện các biện pháp để giải quyết các mối đe dọa và lỗ hổng mạng đã biết.
Các chuyên gia trong ngành đã bình luận về bản ghi nhớ và ý nghĩa của nó.
Và phản hồi bắt đầu…
Andrew Howard, Giám đốc điều hành của Kudelski Security
“Các tiêu chuẩn cơ sở này đã tồn tại theo Khung quản lý rủi ro NIST 800-37 của chính phủ trong một thời gian dài nhưng không phải lúc nào cũng được triển khai trừ khi hệ thống máy tính có những lo ngại về tính bảo mật, tính toàn vẹn hoặc tính khả dụng. Việc triển khai rộng rãi hơn xác thực đa yếu tố và mã hóa đĩa cứng trên các hệ thống của chính phủ là một bước đi thận trọng. Dấu ấn của các hệ thống của chính phủ là rất lớn và một đường cơ sở vững chắc là một ý tưởng hay. ”
Rick Holland, CISO, Phó chủ tịch chiến lược, Digital Shadows:
“Vụ xâm nhập SolarWinds tàn phá mạng lưới chính phủ xảy ra vào tháng 2020 năm 14028. Chính quyền Biden đã công bố Lệnh hành pháp 2021 (Cải thiện an ninh mạng của quốc gia) vào tháng XNUMX năm XNUMX, tuy nhiên chúng tôi mới thấy hướng dẫn cho Hệ thống an ninh quốc gia. Với bối cảnh mối đe dọa và sự cấp thiết phải xây dựng các mạng lưới chính phủ có khả năng bảo vệ và kiên cường, tôi ngạc nhiên rằng chỉ thị đã mất nhiều thời gian để đưa ra.
Người đọc không nên cho rằng chỉ vì một chương trình được chỉ định là Hệ thống An ninh Quốc gia (NSS), nó sẽ an toàn hơn nhiều so với các hệ thống chưa được phân loại hoặc khu vực tư nhân. “Cấp quân sự” không phải lúc nào cũng đồng nghĩa với tốt hơn hoặc an toàn hơn. Bảo vệ các hệ thống đã phân loại có nhiều thách thức giống nhau mà tất cả chúng ta đều phải đối mặt. Bản ghi nhớ nhấn mạnh việc khám phá tài sản, ghi nhật ký, Zero Trust, ứng phó sự cố, là những cơ hội phổ biến và lâu dài để cải tiến.
Quy trình quản lý ngoại lệ sẽ thực hiện hoặc phá vỡ bản ghi nhớ này. Có những mục tiêu cao cả xoay quanh xác thực và mã hóa đa yếu tố. Nếu một đại lý không thể đáp ứng các mốc thời gian, họ có thể yêu cầu các trường hợp ngoại lệ. Việc đánh giá và xác nhận các ngoại lệ này như thế nào là rất quan trọng; nếu Người quản lý quốc gia không thách thức các trường hợp ngoại lệ và yêu cầu các cơ quan phải chịu trách nhiệm, phần lớn bản ghi nhớ này sẽ là một con hổ giấy. "
John Bambenek, Thợ săn đe dọa chính, Netenrich:
“Đây có vẻ như là một chỉ thị đơn giản để tạo ra thẩm quyền và quyền kiểm soát duy nhất đối với các loại hệ thống này để một người có thể chịu trách nhiệm và chịu trách nhiệm bảo vệ nó. Những hệ thống này chứa thông tin nhạy cảm nhất và điều quan trọng là phải có “một cổ họng để làm nghẹt thở” khi có sự cố. ”
Joseph Carson, nhà khoa học bảo mật và cố vấn CISO, ThycoticCentrify:
“Thực tế là các cuộc tấn công mạng đang diễn ra ngay bây giờ và chúng ta phải hành động nhanh chóng để giảm thiểu rủi ro của một thảm họa lớn xảy ra sớm hơn là muộn hơn. Các sáng kiến gần đây của chính quyền Biden là rất tốt, tuy nhiên, chúng ta phải ưu tiên những gì chúng ta có thể làm bây giờ và những gì chúng ta phải làm trong tương lai. Chúng ta phải tìm cách thúc đẩy nhu cầu về công nhân có kỹ năng trong lĩnh vực an ninh mạng và nhanh chóng đưa họ vào ngành vì sự thiếu hụt kỹ năng ngày càng lớn hơn. An ninh mạng không còn chỉ là một vấn đề của ngành. Đây là một hoạt động có thể tác động đến toàn xã hội và điều đó có nghĩa là cần phải đào tạo về an ninh mạng cho tất cả mọi người để giảm thiểu rủi ro từ các cuộc tấn công mạng. An ninh mạng không còn chỉ là một con đường sự nghiệp. Đó là một kỹ năng cần thiết trong xã hội kỹ thuật số ngày nay ”.
Jim Richberg, Khu vực Công CISO Field, Fortinet:
“Hệ thống An ninh Quốc gia (NSS) thường không tuân theo các chỉ thị của Tổng thống về an ninh mạng; chúng có một trọng tâm khác và chúng được điều chỉnh bởi một nhóm các cơ quan pháp lý khác nhau. Thông thường, giả định là bởi vì những dữ liệu này xử lý dữ liệu an ninh quốc gia, chúng vốn dĩ an toàn hơn và được bao phủ bởi các cấp độ bảo vệ cao hơn — hoặc ít nhất là ngang bằng —. Bản ghi nhớ an ninh quốc gia (NSS) ngày nay làm rõ rằng các yếu tố tương tự về vệ sinh mạng cơ bản mà EO 14028 quy định cho các mạng không thuộc NSS của chính phủ đều tồn tại trong các mạng an ninh quốc gia, đảm bảo rằng có khả năng tương tác. Điều này rất hữu ích, dựa trên số lượng các ưu tiên không gian mạng mà các cơ quan Liên bang phải đối mặt.
Bạn không thể nói quá mức độ khó để bảo vệ bản thân trước một mối đe dọa mà bạn không thể phát hiện ra, mà bạn không nhìn thấy đang đến hoặc điều đó ảnh hưởng đến tài sản mà bạn không biết là mình có. Chỉ thị này củng cố khả năng của NSA, với tư cách là Giám đốc Quốc gia về các hệ thống NSS, để thống nhất các hệ thống quan trọng này và các sứ mệnh mà chúng hỗ trợ. Nó yêu cầu các cơ quan tạo và chia sẻ hàng tồn kho với NSA và báo cáo các sự cố mạng. Nó cũng cho phép NSA ban hành Chỉ thị Hoạt động Ràng buộc (BOD) yêu cầu các cơ quan có NSS thực hiện các hành động cụ thể. Điều này song song với thẩm quyền của DHS đối với các mạng dân sự không thuộc NSS, đảm bảo Hành động của Toàn bộ Chính phủ chống lại mối đe dọa tiềm ẩn hoặc lỗ hổng bảo mật.
Điểm mấu chốt: Bằng cách tập trung vào NSS, điều này làm rõ rằng các mức độ bảo vệ và tập trung vào các hệ thống quan trọng này phải bằng hoặc vượt quá các mạng không thuộc Liên bang NSS. Hơn nữa, nó thúc đẩy khả năng tương tác và hợp tác trong việc xác định và bảo vệ khỏi các mối đe dọa đối với toàn bộ các mạng Liên bang. ”
Mike Wiacek, Người sáng lập và Giám đốc điều hành, Stairwell:
“Hướng dẫn này dường như giúp ích cho vai trò của NSA trong việc quản lý các hệ thống đã phân loại trên khắp các mạng lưới của chính phủ Hoa Kỳ, thúc đẩy hơn nữa việc áp dụng các hiệu trưởng không tin cậy giữa các cơ quan và giúp đảm bảo rằng các cơ quan có kế hoạch toàn diện trong trường hợp khẩn cấp.
Mặc dù zero-trust cung cấp các nguyên tắc quan trọng để đảm bảo an ninh của mạng, nhưng một lưu ý quan trọng là nó không phải lúc nào cũng ngăn chặn việc khai thác từ các lỗ hổng, chẳng hạn như Log4j. Nó sẽ làm giảm đáng kể khả năng của kẻ tấn công trong việc di chuyển ngang và xoay trục sang các hệ thống khác - giúp người phòng thủ có thêm thời gian để phản ứng. ”
Thượng nghị sĩ Mark R. Warner, Chủ tịch Ủy ban Lựa chọn Thượng viện về Tình báo:
“Tôi hoan nghênh Tổng thống Biden đã ký lệnh này để cải thiện an ninh mạng của quốc gia chúng ta. Trong số các ưu tiên khác, Bản ghi nhớ An ninh Quốc gia (NSM) này yêu cầu các cơ quan liên bang báo cáo các nỗ lực xâm phạm hệ thống của họ bởi tội phạm mạng và tin tặc được nhà nước bảo trợ. Bây giờ đã đến lúc Quốc hội hành động bằng cách thông qua luật lưỡng đảng của chúng tôi yêu cầu các chủ sở hữu và nhà khai thác cơ sở hạ tầng quan trọng phải báo cáo những vụ xâm nhập mạng như vậy trong vòng 72 giờ ”.
Eduard Kovacs (@EduardKovacs) là một biên tập viên đóng góp tại SecurityWeek. Anh từng là giáo viên CNTT trung học trong hai năm trước khi bắt đầu sự nghiệp báo chí với tư cách là phóng viên tin tức an ninh của Softpedia. Eduard có bằng cử nhân tin học công nghiệp và bằng thạc sĩ về kỹ thuật máy tính ứng dụng trong kỹ thuật điện.
tags: Nguồn: https://www.securityweek.com/industry-reactions-biden-cybersecurity-memo-feedback-friday
