摘要:
本期给大家解读2023最新版美国国家网络安全战略... 
编者按
今天小编给大家带来新鲜出炉的2023版美国国家网络安全战略。介绍其重要的五大支柱并做个简单的解读。
注:本期推送仅为技术解读,小编不持任何政治立场。另,因为众所周知的原因,有关内容描述做了适度删减。
网络安全的新挑战
世界正在进入加深数字依赖的新阶段。在新兴技术和越来越复杂和相互依存的系统的推动下,未来十年的巨大变化将为人类的繁荣和繁荣开启新的可能性,同时也会增加不安全系统带来的系统性风险。
软件和系统变得越来越复杂,为公司和消费者提供价值,但也增加了我们的集体不安全感。很多时候,我们以牺牲安全性和弹性为代价,将新功能和技术分层到已经复杂而脆弱的系统上。人工智能系统的广泛引入,其行为方式甚至连它们自己的创造者都出乎意料。它正在加剧与我们许多最重要的技术系统相关的复杂性和风险。
互联网继续在共享平台上连接个人、企业、社区和国家,从而实现规模化的业务解决方案和国际交流。但这种加速的全球互联互通也带来了风险。对一个组织、部门或国家的攻击可以迅速蔓延到其他部门和地区,就像俄罗斯2017年对乌克兰发动的“NotPetya”网络攻击一样,该攻击波及欧洲、亚洲和美洲,造成数十亿美元的损失。此类攻击的潜在成本只会随着相互依赖性的增加而增加。
数字技术越来越多地触及我们生活中最敏感的方面,在提供便利的同时,也带来了新的、往往无法预料的风险。COVID-19大流行促使我们更加深入地生活在数字世界中。随着我们的生活与视频和音频流、可穿戴设备和生物识别技术交织在一起,个人数据收集的数量和亲密程度呈指数级增长。这些数据的盗窃也在迅速增长,并为恶意行为者提供了新的载体来监视、操纵和勒索个人。
下一代互连正在打破数字世界和物理世界之间的界限,并使我们最重要的一些系统面临中断。我们的工厂、电网和水处理设施,以及其他重要的基础设施,正在越来越多地淘汰旧的模拟控制系统,并迅速引入在线数字操作技术 (OT)。先进的无线技术、物联网和天基资产,包括那些支持民用和军用定位、导航和授时、环境和天气监测以及从银行到远程医疗的日常基于互联网的活动的技术——将加速这一趋势,推动许多重要的基础设施系统在线并使网络攻击对我们的日常生活更具破坏性和影响。
恶意网络活动已经从恶意破坏、间谍活动和知识产权盗窃,到对关键基础设施的破坏性攻击,再到勒索软件攻击和旨在破坏公众对我们民主基础的信任的网络影响活动。攻击性黑客工具和服务(包括外国商业间谍软件)曾经仅供少数资源充足的国家/地区使用,现在却可以广泛使用。这些工具和服务使以前无力损害美国在网络空间中的利益并使有组织犯罪集团的威胁越来越大的国家获得权力。
与2017年的“NotPetya”攻击一样,俄罗斯为支持其2022年对乌克兰的野蛮和无端入侵而发起的网络攻击对其他欧洲国家的民用关键基础设施造成了不负责任的溢出影响。伊朗和朝鲜民主主义人民共和国 (DPRK) 政府在网络空间开展恶意活动的手段和意愿也同样日趋成熟。伊朗利用网络能力威胁美国在中东和其他地方的盟友,而朝鲜开展网络活动以通过犯罪企业创收,例如通过盗窃加密货币、勒索软件和秘密部署信息技术 (IT) 人员以助长其核野心。这些能力的进一步成熟可能会对美国、盟国和合作伙伴的利益产生重大影响。
犯罪集团的网络行动现在对美国及其盟友和伙伴的国家安全、公共安全和经济繁荣构成威胁。勒索软件事件已经扰乱了全国和世界各地的关键服务和企业,从能源管道和食品公司到学校和医院。勒索软件攻击造成的总经济损失继续攀升,每年达到数十亿美元。犯罪集团通常在不与美国执法部门合作的州以外开展活动,并经常鼓励、窝藏或容忍此类活动。这些和其他恶意网络活动继续威胁整个社会的美国人,包括不成比例地影响那些没有必要资源来保护自己、恢复或寻求追索权的人。
构建高弹性网络空间之路
数字生态系统中利益相关者之间深入而持久的合作将成为我们使其更具内在防御性、弹性并与美国价值观保持一致的基础。该战略旨在围绕五个支柱建立和加强合作:(1) 保卫关键基础设施,(2) 破坏和消除威胁行为者,(3) 塑造市场力量以推动安全和弹性,(4) 投资于弹性未来,以及(5) 建立国际伙伴关系以实现共同目标。每一项努力都需要在其各自的利益相关者社区之间进行前所未有的合作,包括公共部门、私营企业、民间组织以及国际盟友和合作伙伴。组织该战略的支柱阐明了这些社区的共同目标和优先事项的愿景,突出了他们在实现这一愿景方面面临的挑战,并确定了组织工作所围绕的战略目标。为实现这些支柱提出的愿景,我们将对美国在网络空间分配角色、责任和资源的方式进行两项根本性转变。在实现这些转变的过程中,我们不仅希望提高我们的防御能力,而且希望改变那些目前违背我们利益的潜在动力。
重新平衡保护网络空间的响应能力
网络空间中最有能力和最有利位置的参与者必须更好地管理数字生态系统。今天,最终用户在减轻网络风险方面承担了太多的负担。个人、小型企业、州和地方政府以及基础设施运营商的资源有限且优先事项相互竞争,但这些参与者的选择会对我们的国家网络安全产生重大影响。一个人的瞬间判断失误、使用过时的密码或错误地点击可疑链接不应该对国家安全造成影响。我们集体的网络弹性不能依赖于我们最小的组织和公民个人的持续警惕。相反,无论是在公共部门还是私营部门,我们都必须要求更多最有能力和最有条件的参与者来确保我们的数字生态系统安全且有弹性。在一个自由和相互联系的社会中,保护数据和确保关键系统的可靠性必须是持有我们的数据并使我们的社会运转的系统的所有者和运营商的责任,以及 构建和服务这些系统的技术提供商。政府的作用是保护自己的系统;确保私人实体,特别是关键基础设施,保护他们的系统;执行核心政府职能,例如参与外交、收集情报、施加经济成本、执法以及采取破坏性行动来应对网络威胁。行业和政府必须共同推动有效和公平的合作,以纠正市场失灵,最大限度地减少网络事件对社会最弱势群体的危害,并捍卫我们共享的数字生态系统。
重新调整激励措施以支持长期投资
我们的经济和社会必须激励决策,使网络空间在长期内更具弹性和防御性。平衡短期需求与长期愿景并非易事。我们必须捍卫我们现有的系统,同时投资和建设一个本质上更具防御性和弹性的未来数字生态系统。该战略概述了联邦政府将如何使用所有可用工具来重塑激励措施并以协作、公平和互利的方式实现共同努力。我们必须确保市场力量和公共计划等奖励安全性和弹性,建立一支强大而多样化的网络劳动力队伍,通过设计拥抱安全性和弹性,战略性地协调网络安全的研发投资,并促进我们数字生态系统的协作管理。为实现这些目标,联邦政府将关注杠杆点,微小行动将在这些点上产生最大的防御能力和系统弹性。联邦政府正在更新我们的基础设施、数字化和脱碳我们的能源系统、保护我们的半导体供应链、使我们的密码技术现代化,以及振兴我们的国内外政策重点。美国有机会重新平衡必要的激励措施,为构建我们数字生态系统的未来奠定更强大、更有弹性的基础。
五大战略支柱
第一支柱 |保护关键基础设施
保护构成我们关键基础设施的系统和资产对我们的国家安全、公共安全和经济繁荣至关重要。美国人民必须对这种基础设施及其提供的基本服务的可用性和弹性充满信心。我们旨在实施持久有效的协作防御模型,公平分配风险和责任,并为我们的数字生态系统提供基础级别的安全性和弹性。
只有当关键基础设施的所有者和运营商拥有适当的网络安全保护措施,使对手更难破坏它们时,合作应对高级威胁才会有效。政府在某些关键部门制定了新的网络安全要求。在其他领域,新的主管部门将需要制定法规,以推动大规模更好的网络安全实践。本届政府与行业进行了特定部门的接触,以构建一致的、可预测的网络安全监管框架,重点是实现安全成果并实现运营和功能的连续性,同时促进协作和创新。
私营部门实体已做出重大承诺,参与协作防御工作。在俄罗斯2022年对乌克兰发动残酷无端的战争之前开展的“Shields Up”运动旨在积极加强准备并促进采取有效措施打击恶意活动,这是必须扩大和重复的公私合作的一个例子。
我们必须建立新的创新能力,使关键基础设施的所有者和运营商、联邦机构、产品供应商和服务提供商以及其他利益相关者能够快速和大规模地有效协作。支持关键基础设施提供商的联邦机构必须增强自身能力以及与其他联邦实体协作的能力。当事件发生时,联邦响应工作必须与私营部门和州、地方、部落和地区 (SLTT) 合作伙伴协调并紧密结合。
最后,联邦政府可以通过使自己的系统更具防御性和弹性来更好地支持关键基础设施的防御。本届政府致力于通过长期努力实施零信任架构战略并使IT和 OT基础设施现代化来改善联邦网络安全。通过这样做,联邦网络安全可以成为美国关键基础设施的模型,用于成功构建和运行安全且有弹性的系统。
第二支柱 |扰乱和消除威胁行为者
美国将使用国家权力的所有工具来瓦解和摧毁其行为威胁我们利益的威胁行为者。这些努力可能整合外交、信息、军事(动能和网络)、金融、情报和执法能力。我们的目标是让恶意行为者无法发动持续的网络活动,威胁美国的国家安全或公共安全。
事实证明,联邦和非联邦实体的协调努力可以有效阻止外国政府、犯罪分子和其他威胁行为者的恶意网络活动。联邦政府提高了应对网络事件的能力;逮捕并成功起诉跨国网络犯罪分子和国家支持的行为者;对恶意网络行为者实施制裁,包括旅行禁令和拒绝接触货币服务提供商;并剥夺威胁行为者访问数字基础设施和受害者网络的权限。联邦政府还针对用于非法活动的金融基础设施;制定新的外交举措,将破坏性、破坏性或其他破坏稳定的网络活动归咎于网络活动,以追究行为者对其恶意行为的责任;并收回了价值数十亿美元的不义之财。我们将在这些成功的基础上再接再厉,以更持久、更有效地破坏对手。
我们的努力将需要公共和私营部门合作伙伴加强合作,以改善情报共享,大规模开展破坏活动,阻止对手使用美国基础设施,并挫败全球勒索软件活动。
第三支柱 |塑造市场力量以提高安全性和弹性
为了建设我们想要的安全和有弹性的未来,我们必须塑造市场力量,让我们的数字生态系统中最有能力降低风险的人承担责任。我们会将网络安全不佳的后果转移到最脆弱的人群身上,使我们的数字生态系统更值得信赖。在这一努力中,我们不会取代或削弱市场的作用,而是有效地引导市场力量来保持我们国家的弹性和安全。我们的目标是建立一个现代数字经济,促进在保持创新和竞争的同时增强我们数字生态系统的安全性和弹性的做法。
关键基础设施的持续中断和个人数据的盗窃清楚地表明,仅靠市场力量还不足以推动广泛采用网络安全和弹性方面的最佳实践。在太多情况下,选择不投资网络安全的组织会对那些投资网络安全的组织产生负面和不公平的影响,通常会对小企业和我们最脆弱的社区产生不成比例的影响。尽管市场力量仍然是通向灵活有效创新的首要、最佳途径,但它们并未充分动员行业优先考虑我们的核心经济和国家安全利益。
为了应对这些挑战,政府将塑造数字生态系统的长期安全性和弹性,以应对今天的威胁和明天的挑战。我们必须让我们的数据管理员对保护个人数据负责;推动更安全的连接设备的开发;重塑有关网络安全错误、软件漏洞以及软件和数字技术造成的其他风险造成的数据丢失和损害责任的法律。我们将利用联邦购买力和赠款来激励安全。我们将探索政府如何稳定保险市场以应对灾难性风险,以推动更好的网络安全实践,并在灾难性事件确实发生时提供市场确定性。
第四支柱|投资于有弹性的未来
未来的网络安全弹性和繁荣的数字经济始于今天的投资。我们可以通过战略投资和协调协作的行动,建立一个更安全、更有弹性、保护隐私和公平的数字生态系统。通过这样做,美国将保持其在安全和有弹性的下一代技术和基础设施领域作为世界最重要创新者的领先地位。
我们数字生态系统的基本元素,如互联网,是公共和私营部门实体持续和相互支持投资的产物。然而,公共和私人对网络安全的投资长期以来一直落后于我们面临的威胁和挑战。随着我们建设新一代数字基础设施,从下一代电信和物联网到分布式能源,并为人工智能和量子计算带来的技术格局革命性变化做准备,解决这一投资缺口的需求变得更加迫切。
联邦政府必须利用对创新、研发和教育的战略性公共投资来推动经济可持续发展并服务于国家利益的成果。我们将利用美国国家科学基金会 (NSF) 的区域创新引擎计划、长期存在的安全可信网络空间计划;两党基础设施法、通货膨胀减少法以及CHIPS和科学法中建立的新赠款计划和资助机会;制造研究所;和联邦研发企业的其他元素。
作为现代工业和创新战略的一部分,这些投资将确保美国在技术和创新方面继续处于领先地位。数十年来,对手和恶意行为者利用我们的技术和创新来对付我们——窃取我们的知识产权,干涉或影响我们的选举进程,削弱我们的国防——这表明,没有安全保障的创新领导力是不够的。我们将通过集中、协调的行动来补充我们在创新方面超越其他国家的努力,以在开发和部署时优化用于网络安全的关键和新兴技术。我们将确保弹性不是新技术能力的任意元素,而是创新和部署过程中商业上可行的元素。
支柱五 |建立国际伙伴关系以实现共同目标
美国寻求一个世界,在这个世界中,负责任的国家行为在网络空间中得到预期和奖励,而在这个世界中,不负责任的行为是孤立的和代价高昂的。为实现这一目标,我们将继续与在共同问题上反对我们更大议程的国家接触,同时我们建立一个广泛的国家联盟,致力于维护一个开放、自由、全球、可互操作、可靠和安全的互联网。
几十年来,我们一直通过国际机构来定义和推进网络空间中负责任的国家行为。我们利用联合国(UN)政府专家组和不限成员名额工作组等多边进程制定了一个框架,其中包括一套和平时期规范和建立信任措施,所有联合国成员国都在联合国确认了这些框架大会。我们支持扩大《布达佩斯网络犯罪公约》和其他旨在使网络空间更加安全的全球努力。我们将继续这些努力,同时认识到需要与合作伙伴合作,以挫败其他专制政府推动的对互联网未来的黑暗愿景。为此,我们将向经济体和社会展示开放的价值,并共同对违反商定的国家行为规范的行为施加后果。
为了应对共同威胁,维护和加强全球互联网自由,防止跨国数字压制,并建立一个更具内在弹性和防御能力的共享数字生态系统,美国将努力扩大国家网络安全利益攸关方的新兴合作模式,以与国际社会合作。我们将扩大联盟,共同打击跨国犯罪分子和其他恶意网络行为者,建设我们的国际盟友和合作伙伴的能力,加强现有国际法对网络空间国家行为的适用性,维护和平时期负责任国家行为的全球公认和自愿规范,并惩罚那些从事破坏性、破坏性或破坏稳定的恶意网络活动的人。
国家战略的实施
术语
实现本战略中概述的战略目标需要高度重视实施。在NSC工作人员的监督下并与OMB协调,ONCD将协调该战略的实施。ONCD将与机构间合作伙伴合作制定和发布实施计划,以规定实施该战略所需的联邦工作路线。如果该战略的实施需要审查现有政策或制定新政策,NSC工作人员将通过NSM-2“更新国家安全委员会系统”中描述的流程来领导这项工作。
评估有效性
在实施这一战略时,联邦政府将采取数据驱动的方法。我们将衡量所做的投资、我们在实施方面的进展以及这些努力的最终结果和有效性。ONCD将与 NSC工作人员、OMB以及部门和机构协调,评估该战略的有效性,并每年向总统、总统国家安全事务助理和国会报告该战略、相关政策的有效性,以及实现其目标的后续行动。
吸取的教训
联邦政府将优先吸取从网络事件中的教训,并将这些教训应用到该战略的实施中。CSRB于2022年夏季完成了对Log4j漏洞的第一次审查,在此期间,CSRB对发生的事情进行了权威描述,从漏洞的发现到历史上最大规模的网络事件响应的进展。CSRB还根据审查发现的内容向行业、联邦机构和软件开发社区提供了清晰、可操作的建议,以便社区能够在未来得到更好的保护。
当CSRB结束其审查时,联邦政府将通过在可能的情况下通过行政行动改善自身运营来解决其建议,并将在必要时与国会合作以加强权力。联邦机构还将促进和扩大针对私营部门网络维护者的CSRB建议。除了CSRB之外,还需要更广泛的国家努力来从网络事件中吸取教训。鼓励监管机构将事件审查流程纳入其监管框架。还鼓励CISA和执法机构建立流程,定期提取从调查和事件响应活动中吸取的经验教训。同样鼓励私营公司进行这些审查,并分享他们为实施该战略所做的努力的结果。
进行投资
维护一个开放、自由、全球、可互操作、可靠和安全的互联网并建立一个更具防御性和弹性的数字生态系统将需要联邦政府、盟友和合作伙伴以及私营部门的世代投资。该战略中包含的许多联邦行动旨在增加私营部门在安全、弹性、改进协作以及研发方面的投资。联邦机构要支持其私营部门合作伙伴并提高他们执行重要联邦任务的能力,将需要有针对性的投资。为指导这项投资,ONCD和OMB将联合向部门和机构发布关于网络安全预算优先事项的年度指南,以推进政府的战略方针。ONCD将与OMB合作,确保部门和机构预算提案的一致性,以实现该战略中规定的目标。政府将与国会合作,资助网络安全活动,以跟上网络生态系统固有的变化速度。
战略解读
本月公布的美国国家网络安全战略外界期待已久。该份战略有效地将国家置于永久性网络战争的基础上,联邦政府采用零信任,同时要求技术提供商承担更多责任来保护其产品和应对网络威胁。
确保关键基础设施安全的自愿方法将因针对各个部门的监管而得到加强。联邦政府还将从自己的资产中根除不安全的遗留系统,同时建立自己的网络防御和攻击能力。该战略指出应对网络安全威胁的责任不平等。例如,地方联邦机构被迫与国际网络威胁行为者对抗,这不仅不公平,而且效率低下。
该战略浓墨重彩的描述了中国在美国网络安全挑战中所扮演的角色。也将俄罗斯、朝鲜和伊朗以及纯粹的网络犯罪集伙都被标记为威胁。
白宫还希望该版国家网络安全战略为美国提供了一个机会,不仅可以增强其自身的网络安全态势,而且可以在全球范围内发挥领导作用和影响力。
更公平地分担责任
应对所有这些威胁以确保“自由开放”的互联网安全意味着美国必须“重新平衡保卫网络空间的责任”。这意味着将责任负担从个人、小企业和地方政府身上转移开。这意味着联邦政府将发挥更大的作用,但私营部门的大型组织也将承担更多责任。它还强调了当开源开发人员将其组件集成到商业产品中时,不应让他们为不良后果承担责任。太多的供应商逃避了他们的责任,无论是通过不安全的开发、运送带有已知漏洞的产品,还是集成未经审查或来源不明的第三方软件。他们还试图利用市场地位按合同免除责任。这一切都会导致更大的系统性风险。
该版网络安全战略还能促进网络安全众包行业的发展。业内人士表示该行业需要从“率先推向市场”转变为“安全推向市场”。政府将与国会合作制定确定软件产品和服务的责任的立法。
捍卫它或取代它
过时的,无法防御的联邦系统必须现代化,管理和预算办公室将为此制定一项多年计划,消除维护成本高且难以防御的遗留系统。迁移到云端将是其中的核心。
NSA将领导确保国家安全系统安全的工作。从防御转向进攻,美国将继续努力破坏和摧毁威胁行为者,使他们无法发起持续的网络活动,威胁美国的国家安全或公共安全。
美国国防部将制定与国家安全战略、国防战略和国家网络安全战略相一致的更新网络战略。该战略称,私营部门通常对威胁行为者有更深入的了解,联邦机构和私营部门之间需要更多的日常合作,这将动用国家力量的所有要素来应对威胁。该战略专门对量子技术可能对现有加密技术产生的影响作了表述。联邦政府已经在努力将易受攻击的网络和系统过渡到抗量子密码学,该战略呼吁私营部门跟进这项研究。该文件还将数字身份生态系统的发展作为一项战略目标,称今天的混战导致效率低下和身份盗用,以及排斥和不平等。
战略需要更大的人力资源
但如果政府不能让相关技术人才进入网络空间,所有这一切都将毫无意义,因此它还承诺建立美国网络安全所需的人力,并制定专门的国家网络人力和教育战略。美国国防部可能会在这里提供一个模型,其最近计划扩大其网络工作人员并使其保持最新状态。通过美国的100万网络安全认证计划,政府正在让更多女性、有色人种、入门级专业人士、残疾人、美国移民、LGBTQI+社区成员和其他代表性不足的社区进入该行业。该战略公告致力于建立在这些共同目标的基础上,利用几个政府机构、州和联邦倡议的现有努力,并支持行业本身的积极努力。
结束语
互联网因为其开放性的基因,一直被安全问题所困扰。特别是在国家安全层面。美国作为互联网价值的洼地一直是大大小小的恶意行为者眼中的一块肥肉。指望新一版网络安全战略就完成解决网络安全所面临的挑战,显然是不现实的。美国业内人士一直有人主张重构互联网基础架构,抛弃TCP/IP, HTTP/HTTPS协议建设一个安全的互联网,一劳永逸的解决互联网安全问题。例如Richard A Clarke,美国国家安全专家,曾担任基础设施保护和反恐协调专员。就曾主张以美国军方的安全互联网协议路由网络(SIPRNET)为蓝本改造现有民用互联网基础通讯协议。以目前互联网产业的规模要实施大规模的改造谈何容易。新版战略对于网络安全的责任作了较大改进,有个比较形象的说法,要靠市场来引导私营企业应对国家级网络安全威胁,和上个世纪60年代要美国企业自己买导弹来防御苏联的导弹威胁一样不现实。最后,至于2023年拜登版美国国家网络安全战略效力如何,且让我们拭目以待。
另外,2023版美国国家网络安全战略传送门在此:
(全文完)
