美國(guó)政府正式發(fā)布零信任戰(zhàn)略,擬在2024財(cái)年前實(shí)現(xiàn)特定目標(biāo)
美國(guó)當(dāng)?shù)貢r(shí)間1月26日,白宮發(fā)布了最終零信任戰(zhàn)略,要求在2024年財(cái)年前“實(shí)現(xiàn)具體的零信任安全目標(biāo)”,這將是業(yè)內(nèi)首個(gè)國(guó)家級(jí)零信任架構(gòu)。
這項(xiàng)戰(zhàn)略由白宮管理與預(yù)算辦公室(OMB)發(fā)布,備忘錄編號(hào)為M-22-09。此次公告是2021年9月發(fā)布首次草案后的正式政府文件,其制定授意來(lái)自拜登的第14028號(hào)總統(tǒng)行政令。該戰(zhàn)略是落實(shí)該行政命令的關(guān)鍵一步,其重點(diǎn)是在整個(gè)政府范圍內(nèi)啟動(dòng)零信任框架遷移,大幅降低針對(duì)聯(lián)邦政府?dāng)?shù)字基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。
該戰(zhàn)略共計(jì)30頁(yè),計(jì)劃列出了聯(lián)邦機(jī)構(gòu)在未來(lái)兩年內(nèi)需要采取的數(shù)十項(xiàng)措施,包括更嚴(yán)格地網(wǎng)絡(luò)分割、多因素認(rèn)證和廣泛地加密,以確保系統(tǒng)安全,并限制安全事故的風(fēng)險(xiǎn)。
該戰(zhàn)略對(duì)設(shè)聯(lián)邦政府提出了以下幾點(diǎn)展望:
- 聯(lián)邦政府人員擁有企業(yè)管理的賬戶(hù),供其訪(fǎng)問(wèn)工作所需的資料,同時(shí)還能保護(hù)其免于針對(duì)性、復(fù)雜性的網(wǎng)絡(luò)釣魚(yú)攻擊。
- 聯(lián)邦政府人員使用的工作設(shè)備被被持續(xù)跟蹤和監(jiān)控,而且在授予內(nèi)部資源訪(fǎng)問(wèn)權(quán)限時(shí),也應(yīng)考慮到設(shè)備的具體安全狀況。
- 各代理系統(tǒng)之間相互隔離,往來(lái)于不同系統(tǒng)及同一系統(tǒng)內(nèi)部的網(wǎng)絡(luò)流量應(yīng)經(jīng)過(guò)可靠加密。
- 企業(yè)應(yīng)用程序需經(jīng)過(guò)內(nèi)部和外部進(jìn)行測(cè)試,確保可通過(guò)互聯(lián)網(wǎng)安全地交付給雇員。
- 聯(lián)邦安全團(tuán)隊(duì)和數(shù)據(jù)團(tuán)隊(duì)共同合作規(guī)劃數(shù)據(jù)類(lèi)別和安全規(guī)則,以實(shí)現(xiàn)自動(dòng)檢測(cè)并最終阻止對(duì)未經(jīng)授權(quán)訪(fǎng)問(wèn)敏感信息。
戰(zhàn)略中提到,政府機(jī)構(gòu)必須在2024財(cái)年結(jié)束前滿(mǎn)足特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo)。各部門(mén)有60天或120天的時(shí)間來(lái)任命領(lǐng)導(dǎo),領(lǐng)導(dǎo)將執(zhí)行這些措施,并根據(jù)敏感性對(duì)某些信息進(jìn)行分類(lèi)。
據(jù)了解,此次修訂部分受啟發(fā)于 SolarWinds攻擊事件,該活動(dòng)潛入美國(guó)司法部、國(guó)土安全部和其他部門(mén)的非機(jī)密網(wǎng)絡(luò),且?guī)讉€(gè)月都未被發(fā)現(xiàn)。OMB表示,新版本納入網(wǎng)絡(luò)安全專(zhuān)業(yè)人士、非營(yíng)利組織和私營(yíng)企業(yè)要求的更改。最終確定的戰(zhàn)略包括強(qiáng)調(diào)體系訪(fǎng)問(wèn)控制,包括多因素身份驗(yàn)證以及加密所有DNS和HTTP 流量。
白宮表示,復(fù)雜的網(wǎng)絡(luò)攻擊威脅日益增長(zhǎng),強(qiáng)調(diào)聯(lián)邦政府不能再依靠傳統(tǒng)的外圍防御來(lái)保護(hù)關(guān)鍵系統(tǒng)和數(shù)據(jù)。
網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)局長(zhǎng)珍·伊斯特利表示,零信任是政府現(xiàn)代化和加強(qiáng)防御的一個(gè)關(guān)鍵因素。
伊斯特利表示,“隨著我們對(duì)手的攻擊和破壞方式不斷創(chuàng)新,我們必須繼續(xù)從根本上改變我們對(duì)待聯(lián)邦網(wǎng)絡(luò)安全的方式。”
