拜登再次发布网络安全行政令,全面加强美国国家网络防御创新

安全动态 发布时间:2025-01-17 17:45:59 16 浏览

关注我们

带你读懂网络安全


新版网络安全行政令要求落实八大措施,包括落实软件安全要求、加强CISA对联邦网络的安全监管、提升AI在网络安全领域的使用度、采用端到端安全通信和抗量子加密技术等;


该行政令希望通过美国政府每年超千亿美元的IT采购预算,迫使供应商生产更安全的产品,并授予主责机构权力以更好保护政府网络等。


前情回顾·拜登首份网络安全行政令实施进展

  • 美国总统拜登签署改善国家网络安全行政命令

  • 美联邦政府网络安全态势感知项目(CDM)取得重大进展

  • 美国网络安全现代化工程重大成果:首次“实时”抓住APT攻击

  • 美国联邦政府网络安全取得重大进展

安全内参1月17日消息,在美国总统任期行将结束之际,乔·拜登签署了第二份网络安全行政命令,旨在强化本届政府制定的软件安全标准的执行力度。
这份文件名为《关于加强和促进国家网络安全创新的行政命令》,于1月16日签署。它还致力于进一步整合联邦网络防御,强化对国家级黑客和勒索软件团伙的制裁措施,打击数字身份欺诈,并推动AI技术的安全发展。
拜登的高级国家安全官员表示,这项新命令的目的是为即将上任的特朗普政府在网络安全领域提供主动权。
美国副国家安全顾问安妮·纽伯格在一场电话会议中向记者表示:“今天发布的网络安全行政命令是美国在数字基础设施领域的关键成果。它不仅旨在加强美国的数字基础,还为新一届政府和国家的长期成功打下坚实基础。”
不过,纽伯格提到,她尚未与即将上任的政府团队就该命令进行深度交流。
她表示:“据我了解,新政府的网络团队尚未正式任命。尽管我们就更广泛的国家安全展开讨论,目前尚不清楚谁将领导特朗普政府的这项工作。因此,我们尚未进行具体对话,但我们非常乐意在新团队组建后,在过渡期内随时展开交流。”


落实供应商软件安全要求


新行政命令明确要求,联邦软件供应商提供遵守安全开发实践的证据。
拜登在2021年5月签署了首份网络安全行政命令,促使美国国家标准与技术研究院(NIST)制定并发布安全软件开发指南。
同时,管理与预算办公室(OMB)要求各联邦机构确保其软件供应商通过提交声明表格,证明自身符合NIST的相关指南。然而,这些表格并未要求供应商提供任何实际证据来证明其遵守了这些标准。
纽伯格表示,拜登政府已经给予企业时间来适应NIST标准。
她说:“现在是时候提高标准了。通过要求企业向我们展示,他们已对软件进行了测试并修复了漏洞的证据,我们可以真正实现软件供应链的透明性和问责制。此外,将这些信息公开,不仅联邦政府可以受益,地方医院、区域银行,甚至一家全球制造企业也可以在线查看供应商是否真实测试过其产品并证明其安全性。”
她补充说,OMB将发布新软件安全要求的实施指南。
新行政命令还规定,与政府合作的云计算公司必须将其加密密钥存储在安全环境中。
纽伯格表示,此举旨在应对近期发生的重大网络安全事件,例如去年年底财政部遭遇的黑客攻击事件。攻击者通过窃取供应商的数字密钥,成功入侵了联邦网络。
美国网络安全与基础设施安全局(CISA)局长珍·伊斯特利在1月15日的一次独立讲话中,也敦促软件供应商优先改进其安全实践。
伊斯特利说:“我们在保护政府网络方面取得了显著而变革性的进步。但我们是否仍会遇到类似财政部遭入侵的问题?答案是肯定的,除非供应商明确专注于设计更安全的软件。”


加强CISA的作用


根据该行政命令,CISA将在验证软件供应商提交给政府机构的安全证据方面扮演核心角色。
纽伯格表示:“CISA将掌握所有向联邦政府销售产品的公司名单,并要求这些公司与CISA共享信息。他们将负责验证这些信息,而国家网络总监办公室(ONCD)则会在其网站上发布相关内容。这不仅让CISA在集中化联邦机构的网络威胁可视性和狩猎方面发挥关键作用,还能利用其网络专业知识审查公司提交的证据,从而真正实现更安全的软件环境。”
新行政命令还将加强CISA在联邦机构网络上进行网络威胁狩猎的职责。
纽伯格表示,行政命令确保CISA拥有覆盖所有联邦民事行政部门(FCEB)网络的“集中化可视性和威胁狩猎”能力。同时,命令也回应了部分机构的担忧,这些机构因数据敏感性问题希望确保其数据的安全性不受影响。


探索AI提升网络安全


新行政命令强调了AI在网络安全中的重要性。
文件要求能源部和国土安全部启动试点项目,利用AI技术保护能源基础设施,目标包括自动化漏洞检测和补丁管理等任务。国防部也将启动相关项目,利用“高级AI模型”提升网络防御能力。
文件还要求国土安全部、商务部和国家科学基金会将以下研究作为重点任务:探索人类与AI工具如何协作分析网络威胁数据;确保AI生成代码的安全性;设计安全可靠的AI模型;以及预防和应对涉及AI系统的网络事件。


更多联邦网络安全要求


在美国电信网络遭“盐台风”黑客入侵后,这项命令要求联邦机构对包括电子邮件和视频会议在内的通信采用端到端加密。
命令还提出加快采用抗量子计算技术的步伐。NIST去年已敲定一套初步的抗量子计算攻击加密算法。
根据命令,各机构需在现有网络中建立抗量子加密能力,并在市场推出相关产品后,尽快采用抗量子加密技术。
此外,命令还要求在数字身份领域采取行动,但未达到拜登在2022年国情咨文中提到的全面反欺诈措施规模。尽管白宫最终未敲定相关数字身份行政命令,但此次命令指示联邦机构为公共项目建立一个欺诈预警试点项目,用于提醒美国人可能存在以其名义提交的欺诈性申请。
从2027年起,政府机构将仅采购具有联邦通信委员会(FCC)“网络信任标志”认证的联网设备。白宫本月早些时候宣布正式启动“网络信任标志”计划,这是一项自愿性计划,允许物联网供应商申请“网络信任标志”认证,证明其产品符合特定网络安全标准。


参考资料:federalnewsnetwork.com


推荐阅读

  • 网安智库平台长期招聘兼职研究员

  • 欢迎加入“安全内参热点讨论群”




点击下方卡片关注我们,
带你一起读懂网络安全 ↓


免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

CVE-2024-51479: Next.js授权绕过漏洞影响数百万开发人员

针对 CVE-2024-30085:Windows 权限提升漏洞发布 PoC 漏洞利用程序

中职组第一!信职网安学子勇夺一带一路暨金砖国家技能发展与技术创新大赛——2024网络安全防护治理实战技能大赛总决赛一等奖!

全国网安标委发布《网络安全标准实践指南—— 一键停止收集车外数据指引》

CVE-2024-30088 遭到攻击: OilRig 瞄准 Windows 内核漏洞

APT29 黑客利用流氓 RDP 服务器和 PyRDP 瞄准高价值受害者