上周，美國總統(tǒng)拜登在白宮發(fā)布了最新的《國家網(wǎng)絡安全戰(zhàn)略》（以下簡稱《安全戰(zhàn)略》），闡述了美國未來十年的數(shù)字生態(tài)體系的發(fā)展計劃，其核心目的是網(wǎng)絡防御和網(wǎng)絡彈性。

拜登進一步指出，這份長達 35 頁的《安全戰(zhàn)略》旨在“更好地保護網(wǎng)絡空間，并確保美國處于最有利的地位，以實現(xiàn)數(shù)字未來的所有好處和潛力。”

《安全戰(zhàn)略》認為，美國在網(wǎng)絡空間分配角色、責任和資源的方式發(fā)生根本性轉(zhuǎn)變，是新戰(zhàn)略背后的推動力；并強調(diào)制定強制性的關(guān)鍵基礎設施網(wǎng)絡安全政策要求，政府須以協(xié)調(diào)的方式使用國家權(quán)力的所有工具來保護國家安全、公共安全和經(jīng)濟繁榮。

同時，該戰(zhàn)略也是美國政府針對日益嚴峻的黑客攻擊和數(shù)字犯罪，所提出的加強防御的最新舉措，并且將我國和俄羅斯列為美國最突出的網(wǎng)絡安全威脅，值得我們警醒。

五大支柱

為了重塑美國網(wǎng)絡空間，該戰(zhàn)略通過概述五個基本支柱來完成這項任務，這些支柱將導致加強美國境內(nèi)的基礎設施和與海外盟友的聯(lián)系。

總體而言，該戰(zhàn)略旨在重新平衡網(wǎng)絡安全的責任，使其在政府、私營和公共部門之間平均分配，而不是嚴重依賴小公司和個人。

Quest Software 的首席解決方案顧問 Bryan Patton 表示，白宮新的國家網(wǎng)絡安全政策為美國所有人提供了一個基礎，以發(fā)展企業(yè)安全最佳實踐并進一步提高網(wǎng)絡彈性。而公共部門和私營部門之間的合作進一步放大了優(yōu)勢，涉及開發(fā)設計安全的軟件，投資網(wǎng)絡安全人才管道，為政府支持網(wǎng)絡保險創(chuàng)建等。”

支柱1：保護關(guān)鍵基礎設施

根據(jù)《安全戰(zhàn)略》，首個支柱就是保護關(guān)鍵基礎設施，這對美國的國家安全、公共安全和經(jīng)濟繁榮至關(guān)重要。為此，拜登計劃將有助于制定和實施不同關(guān)鍵基礎設施部門的法規(guī)，促進私人和公共伙伴關(guān)系，并加強已經(jīng)建立的最佳實踐。

身份安全管理公司Venafi的副總裁 Kevin Bocek 表示：“國家網(wǎng)絡戰(zhàn)略早該出臺了，非常歡迎看到白宮領(lǐng)導層將網(wǎng)絡安全視為本世紀世界自由和秩序的基本風險。”

此外，該計劃將建立新的合作，旨在通過建立創(chuàng)新的安全能力、改進協(xié)調(diào)的事件響應以及在全國建立新的聯(lián)邦網(wǎng)絡安全中心來保護和保護國家的關(guān)鍵基礎設施。

該目標的一部分是優(yōu)先考慮聯(lián)邦網(wǎng)絡系統(tǒng)的現(xiàn)代化。美國管理和預算辦公室（OMB）將與CISA合作制定一項行動計劃，通過集體作戰(zhàn)防御、擴大集中式共享服務的可用性和軟件供應鏈風險緩解來確保聯(lián)邦系統(tǒng)的安全，更換或更新無法抵御復雜網(wǎng)絡威脅的IT和OT系統(tǒng)。

支柱2：打擊和摧毀威脅行為體

知名安全專家Foster認為，《安全戰(zhàn)略》的第二支柱——擾亂和消除威脅行為者，是“全面的整體網(wǎng)絡戰(zhàn)略的重要組成部分”。

在面對媒體時，他補充道，隨著現(xiàn)代威脅行為者擴大他們的攻擊活動并變得足夠復雜以繞過傳統(tǒng)的防御安全，追蹤檢測到的威脅就像在原地打轉(zhuǎn)一樣。網(wǎng)絡犯罪分子只需稍有失誤，便可乘虛而入。

該戰(zhàn)略將利用所有途徑：包括外交、軍事、金融、情報和執(zhí)法能力等，并再次促進聯(lián)邦和非聯(lián)邦合作，以保護公共和國家安全。Foster認為，優(yōu)先破壞威脅行為者將我們的安全戰(zhàn)略從被動轉(zhuǎn)變?yōu)橹鲃樱@是美國人對網(wǎng)絡安全整體看法的微妙而重要的變化。

同時，聯(lián)邦政府將繼續(xù)加強CISA與其它SRMA之間的協(xié)調(diào)，投資于SRMA能力的發(fā)展，并以其它方式使SRMA能夠積極響應其行業(yè)關(guān)鍵基礎設施所有者和運營商的需求。聯(lián)邦政府將與工業(yè)界合作，逐個確定行業(yè)需求，并評估當前SRMA能力方面的差距。聯(lián)邦政府在建設SRMA能力方面的投資將使關(guān)鍵基礎設施的安全和彈性得到改善。SRMA將與CISA協(xié)調(diào)，以提高其主動應對行業(yè)需求的能力等。

值得一提的是，第二支柱將網(wǎng)絡犯罪和勒索軟件列為國家的主要目標，該目標將整合資源、新技術(shù)并開發(fā)快速通道，以支持在國家和全球所有部門之間即時共享有關(guān)威脅和受害者的信息。

鑒于勒索軟件對關(guān)鍵基礎設施服務的影響，美國將利用國家權(quán)力從以下四個方面應對威脅：（1）利用國際合作破壞勒索軟件生態(tài)體系，孤立那些為罪犯提供安全避難所的國家；（2）調(diào)查勒索軟件犯罪，利用執(zhí)法部門和其它權(quán)力機構(gòu)破壞勒索軟件基礎設施和行為體；（3）加強關(guān)鍵的基礎設施彈性，以防御勒索軟件攻擊；（4）解決濫用虛擬貨幣進行勒索軟件支付的問題。

但是，身份安全管理公司Venafi的副總裁Bocek依舊認為，即使是有聯(lián)邦國家大力支持網(wǎng)絡安全產(chǎn)業(yè)，企業(yè)依舊不能放松警惕：“我們不能自欺欺人，保護企業(yè)自身和客戶的安全，依舊是重要任務，沒有任何政府的力量可以讓企業(yè)從網(wǎng)絡攻擊的漩渦中拯救出來，這是我們必要認清的現(xiàn)實。”

支柱3：塑造市場力量以推動安全性和彈性

《安全戰(zhàn)略》第三個支柱是“塑造市場力量以推動安全性和彈性”，不僅會促進個人的數(shù)據(jù)隱私，還會推動企業(yè)承擔開發(fā)安全軟件、產(chǎn)品和服務的責任，這其中還包括當下及未來極為重要的物聯(lián)網(wǎng)設備安全。

第三支柱還計劃利用聯(lián)邦采購機制來加強問責制度。CCFI將追究那些通過故意提供有缺陷的網(wǎng)絡安全產(chǎn)品或服務，故意歪曲其網(wǎng)絡安全實踐或協(xié)議，或故意違反監(jiān)控和報告網(wǎng)絡事件和違規(guī)行為的義務而使美國信息或系統(tǒng)面臨風險的實體或個人的責任。

同時還積極探索以聯(lián)邦網(wǎng)絡保險為后盾的新機制。當發(fā)生災難性事件時，政府有責任在不確定的時期穩(wěn)定經(jīng)濟并提供確定性。如果發(fā)生災難性的網(wǎng)絡事件，可以要求聯(lián)邦政府穩(wěn)定經(jīng)濟并幫助復蘇。

Snyk 的首席執(zhí)行官 Peter McKay 對此表示不認可，他認為這種類似對開發(fā)人員喊“集會口號”的安全形式，應該是企業(yè)在規(guī)則和處罰確定之前就需要解決的問題。

“Snyk 已經(jīng)觀察到，許多企業(yè)/組織從一開始或最初的代碼行，就已經(jīng)將安全軟件最佳實踐嵌入到他們的開發(fā)周期中。通過授權(quán)開發(fā)人員以無縫和負責任的方式，創(chuàng)建安全的應用程序來做到這一點。”

McKay進一步指出，通過將安全軟件開發(fā)實踐集成并自動化到開發(fā)人員的工作流程中，他們正在部署各種方法來查找、修復和補救預生產(chǎn)和生產(chǎn)應用程序中的漏洞，從而將開發(fā)人員、IT 和安全團隊整合成一個團隊。

但Strategic Security Solutions (S3) CTO Paul Kohler 認為，《安全戰(zhàn)略》對網(wǎng)絡安全產(chǎn)業(yè)實質(zhì)性的影響有限。他認為，目前絕大多數(shù)的違規(guī)行為都與人為因素有關(guān)。

“很多安全問題是由憑證丟失、配置錯誤、未能遵循流程等人為因素引發(fā)，與產(chǎn)品缺陷沒有直接關(guān)系。作為一個組織或個人，我不能將我的風險外包給另一個實體，因此很多知名科技公司已經(jīng)在采取合理措施來保護他們的產(chǎn)品和服務。”

該觀點獲得了部分網(wǎng)絡安全專家的同意，企業(yè)安全中的這些變化并不會因為新指令而改變。他認為建立高安全性，如建立強化客戶或設備身份認證措施等，依舊是企業(yè)通往未來和成功的唯一途徑。

“好消息是，部分領(lǐng)先的企業(yè)已經(jīng)認識到這種需求，某些時候安全工程師最終決定不僅是他們自己企業(yè)的成敗，還有其他企業(yè)的成敗。”

支柱4：塑造市場力量以推動安全和彈性

《安全戰(zhàn)略》第四個支柱是塑造市場力量以推動安全和彈性。未來我們需要建設安全和安全富有彈性的未來，將責任寄托在數(shù)字生態(tài)系統(tǒng)中，而這些生態(tài)體系最有能力降低風險。為了實現(xiàn)這一目標，那么需要引導市場進行長期投資，以減少系統(tǒng)性技術(shù)漏洞、增強安全彈性并培養(yǎng)強大的網(wǎng)絡勞動力。

《安全戰(zhàn)略》指出，這些投資將優(yōu)先考慮下一代技術(shù)的網(wǎng)絡安全研究和開發(fā)，并為人工智能和量子計算帶來的技術(shù)面貌的革命性變化做準備。其中包括保護互聯(lián)網(wǎng)的技術(shù)基礎、重振聯(lián)邦層面的網(wǎng)絡安全研發(fā)、為后量子時代做好準備、清潔能源基礎設施和數(shù)字身份解決方案等。

全球最大的量子計算公司 Quantinuum 首席法律顧問 Kaniah Konkoly-Thege 表示，“該戰(zhàn)略是在拜登總統(tǒng)于 12 月簽署的量子立法之后制定的，旨在幫助聯(lián)邦機構(gòu)主動轉(zhuǎn)向后量子安全態(tài)勢，優(yōu)先在整個政府范圍內(nèi)采用后量子密碼學標準”。

他認為，新的國家網(wǎng)絡安全戰(zhàn)略將進一步支持這些變化，并幫助聯(lián)邦機構(gòu)“加強抵御來自未來幾代的更強大的量子計算機的網(wǎng)絡攻擊。聯(lián)邦政府與量子相關(guān)的公告和要求的新形勢也給許多供應商和政府承包商帶來了緊迫感，因為那些不合規(guī)的人將在報告中被點名，并可能遭受聲譽和經(jīng)濟后果。

“《安全戰(zhàn)略》雖然沒有深入探討為后量子未來做準備的步驟，但 NIST 目前正在使用將于 2024 年發(fā)布的最終標準對這些算法進行標準化。”

支柱5：建立國際伙伴關(guān)系以實現(xiàn)共同目標

《安全戰(zhàn)略》的第五支柱是建立國際伙伴關(guān)系以實現(xiàn)共同目標。該支柱更側(cè)重于加強與美國盟友的關(guān)系，制定參數(shù)以定義全球范圍內(nèi)的正常網(wǎng)絡行為，并建立讓其他民族國家對危險行為負責的方法。

在這個支柱中，我國以及俄羅斯被重點提及，并污蔑我們有組織的網(wǎng)絡犯罪活動，公開壓制言論自由和其他基本人權(quán)等，顯示出美國《安全戰(zhàn)略》的極大全球化野心，值得我們警醒。