合規與風險
前美國特勤局資安長對拜登網路安全行政命令的看法
前美國特勤局資安長和趨勢科技現任網路安全長Ed Cabrera檢視了拜登總統行政命令的成果以及各式組織能夠從中學到什麼。

為了應對發生在Colonia Pipeline的嚴重勒索病毒(勒索軟體,Ransomware) 攻擊,美國拜登總統在2021年5月12日簽署了第14028號行政命令 – 改善國家網路安全(Executive Order 14028, “Improving the Nation’s Cybersecurity)。拜登行政命令的目的是要讓國家網路安全現代化,保護關鍵基礎設施對抗未來的攻擊。
本文我將檢視過去一年多以來,該行政命令的成果、面臨的挑戰,以及各行各業的CISO資安長能從中學到什麼來加強自身的網路安全策略。
拜登網路安全行政命令概述
根據白宮所發布的說明書,行政命令涉及七大重點:
- 消除政府單位和私人機構間共享網路威脅資訊的藩籬
- 為聯邦政府建構現代化且更為強大的網路安全標準
- 提升軟體供應鏈安全
- 建立網路安全審查委員會
- 建立應對網路事件的標準劇本(Playbook)
- 改善聯邦政府對網路安全事件的偵測能力
- 提高調查和處理能力
行政命令還為實施零信任 (Zero Trust) 架構、多因子身份認證及部署端點偵測和回應(EDR)等措施設定了期限。
其他還包括要求CISA開發和發表雲端服務治理框架及雲端安全技術參考架構文件以描述推薦的雲端轉移及資料保護方法。
資安的勝利及挑戰
在2021年11月,CSO報告指出在46項任務中有19項已完成,但並非所有聯邦機構都有回報進展。有些機構可能因為工作的高度敏感性而無法做到。
無論你的組織是否受到影響,但我經常說成功的資安團隊會採取聯邦優先的做法,將自己的資安策略與聯邦政府保持一致。按照邏輯,聯邦政府必須能夠擋下最先進的網路攻擊;因此,他們吸取的教訓和衍生的策略對所有組織都有幫助。
考量到這一點,讓我們來檢視對想執行行政命令所列出任務的企業(不僅是被要求的企業)來說最重要的“勝利”和“挑戰”:
🔴 消除共享威脅資訊的藩籬
勝利:更成熟的威脅情報及資訊共享
之前的資訊共享缺乏脈絡,使得要操作或用於保護網路時很困難。資安產業從手動傳遞包含大量可疑或惡意IP列表的PDF檔轉變為自動化大批量資訊反饋加上少量的脈絡資訊。
現在,資訊透過MITRE ATT&CK等標準化框架共享,這些框架為資安團隊提供調查及處理網路威脅所需的脈絡資訊。
挑戰:法律責任
私營企業可能不願共享威脅情報或IoC,因為裡面包含了敏感或機密資訊,如果分享不當,可能會導致訴訟。此外,競爭對手共享資訊也存在了反壟斷問題。儘管過去兩年對解決處理敏感資訊的法律挑戰方面取得了進展,但廣泛的情報和資訊共享仍未達到應有的水平。
🔴實現網路安全現代化
挑戰:細微處沒做到位
零信任的定義很全面,通常有幾種解釋。組織的架構及它是否建立在隱性信任的基礎上將會影響零信任的實施方式。有些組織只專注於實施MFA就認為完事了,而更成熟的企業則希望能夠涵蓋CISA所描述零信任成熟度模型的全部五個支柱。成熟度模型為各機構提供了傳統、進階及最佳零信任架構的具體範例。
🔴提升軟體供應鏈安全
勝利:有更多人意識到
如果組織開始清楚地認識到,不提高軟體供應鏈安全就會面臨問題。這就能夠導致其他措施的推廣,如軟體物料清單(SBOM)。根據定義,SBOM提供用於構建關鍵軟體之各項元件詳細資訊和供應鏈關係的正式記錄。軟體開發人員和供應商通常會組裝現有的開放原始碼和商業軟體元件來建立產品。SBOM列舉了產品中的這些元件,這有助於資安團隊更好地識別和評估風險。
挑戰:開放原始碼
從許多報告可以看出,開放原始碼軟體(OSS)的使用量在持續增長。根據一些針對企業的調查,這數字可高達80%。我們在DevOps最親密的合作夥伴Snyk整合了開發人員工具及工作流程以不斷發現並自動修復漏洞,透過他們2022年開放原始碼軟體安全狀況報告所記錄的研究發現,許多組織對處理開放原始碼軟體(OSS)風險方面毫無準備。
具體來說,他們發現:
- 有41%的組織對自己所使用開放原始碼軟體的安全性沒有信心。
- 開發中的應用程式平均包含49個漏洞和69個依賴項。
- 修復開放原始碼專案漏洞所需的時間持續增加,從2018年的49天翻倍到2021年的110天。
- 有51%的組織沒有針對開放原始碼軟體開發或使用的資安政策。
- 在沒有開放原始碼資安政策的組織中,有30%承認自己的團隊中沒有人負責解決開放原始碼資安問題。
開放原始碼對企業來說仍是件兩難的事情;它對需要盡速完成專案的開發人員來說必不可少,但同時也會帶來重大的資安風險。如果沒有適當的工具及合作夥伴,團隊很難去識別出軟體內各出用到開放原始碼的地方,因而容易受到攻擊。我認為安全的程式碼開發是軟體供應鏈安全的第一要務。
🔴 建立標準劇本以回應全球軟體供應鏈遭受攻擊事件
勝利:更具彈性
在為網路攻擊和惡意活動做準備時,劇本(Playbook)相當有效,但要注意的是必須定期練習和演練。劇本非常有效,因為它們列舉了要做的事情和時間點。你越快修補漏洞,系統就越有彈性。考慮到漏洞攻擊的時間已經從一個多月縮短到幾個小時,這一點尤其關鍵。我注意到,組織往往是因為低效或破碎流程而受害,而不是因為嚴重漏洞本身。
挑戰:安全性無法一體適用
在另一方面,應對全球軟體供應鏈攻擊事件的劇本少之又少。在為組織建立劇本時,框架是很好的起點,但不要忘記考量到自身獨特的IT環境及符合本地法規要求。
🔴 改善對網路安全事件的偵測
挑戰:缺乏能見度
大型組織擁有50-60種的資安解決方案,拖慢了威脅活動資料的收集及關聯。平均偵測時間(MTTD)越慢,惡意攻擊就有越多時間深入到網路架構深處。有越多的單點產品,就有越多問題。
下一步
缺乏資金以及仍需回應任務更加凸顯了這些挑戰。進一步加劇了要盡快提高安全性及合規性的壓力。一個好的開始是透過全方位網路資安平台來整合你的單點解決方案,這樣你就可以提高安全效率、加強自動化並降低成本。從單點解決方案轉向擁有完善第三方整合能力的全方位網路資安平台,讓資安專家能夠快速識別和處理所有攻擊面的網路風險。一個具備XDR功能的平台能夠收集和關聯平台內解決方案的資料,更快速地偵測、回應及修復網路威脅。XDR還能夠取代八名全職員工的工作,幫助企業解決網路資安技能不足的問題。
想了解更多相關資訊,請查看以下資源: