上周三,白宫宣布了一项新的网络安全战略,以围绕零信任模式重新定位联邦政府的数字基础设施。
在所述模型下,网络内外的设备和用户都需要持续授权才能使用其资源。在网络安全协议范围之外运行的任何人都不值得信任,因此称为「零信任」。
鉴于网络攻击日益复杂,白宫在一份新闻稿中表示,这种方法变得更加必要,并补充说联邦政府「不能再依赖传统的基于周边的防御」,例如保护政府的本地安全措施数字资产。
事实上,在私营部门,零信任方法也变得越来越必要,因为远程工作变得越来越重要,网络接入点和漏洞也在增加。
该战略作为管理和预算办公室的正式备忘录发布,并发给所有执行机构的领导层,他们的任务是在接下来的 30 天内指定实施负责人,并在接下来的 60 天内提交正式计划。
机构负责人还负责加强身份和访问控制,主要是通过硬件进行多因素身份验证,并根据网络安全和基础设施安全局 (CISA) 制定的规则清点和监控每个网络授权设备等。
OMB 主任 Shalanda Young 在一份声明中说:「面对日益复杂的网络威胁,政府正在采取果断行动来加强联邦政府的网络防御,这种零信任战略旨在确保联邦政府以身作则,它标志着我们努力击退那些可能对美国造成伤害的人的攻击的另一个关键里程碑。」
在其发布中,白宫提到的一种"日益复杂"的网络威胁是去年 12 月发现的 Log4j 安全漏洞。该漏洞允许潜在的攻击者通过让受害者的计算机记录特定消息来触发恶意代码。
该漏洞最初被认为仅限于Minecraft:Java 版;然而,后来发现几乎所有使用 Java 库的程序都存在潜在风险,包括 iCloud
当时,CISA 主任 Jen Easterly 称此事「至关重要」,并呼吁私营和公共部门合作伙伴更新软件并修补漏洞。
她上月初告诉记者,没有美国联邦机构因该漏洞而受到损害,但她补充说,她预计它将「用于未来的入侵」。
伊斯特利在上周三的新闻稿中说:「零信任是现代化和加强我们的防御努力的关键要素。CISA 将继续为机构提供技术支持和运营专业知识,因为我们努力实现共同的成熟基线。」
白宫表示,上周三敲定的战略于 9 月首次宣布,并根据网络安全专业人士、非营利组织和私营企业的见解进行了修订。
- 1.https://www.whitehouse.gov/omb/briefing-room/2022/01/26/office-of-management-and-budget-releases-federal-strategy-to-move-the-u-s-government-towards-a-zero-trust-architecture/
- 2.https://www.theverge.com/2022/1/26/22902630/white-house-instructs-agencies-cybersecurity-strategy-memo-cisa
- 3.https://www.cisa.gov/news/2021/12/11/statement-cisa-director-easterly-log4j-vulnerability
- 4.https://www.lawfareblog.com/whats-deal-log4shell-security-nightmare
- 5.https://www.cnet.com/tech/services-and-software/cisa-director-well-be-dealing-with-log4j-for-a-long-time/
