美国网络安全和基础设施安全局 (CISA) 发布了一项计划,以调整联邦机构的“集体运营防御能力”,以降低其网络风险。该计划的重点是在联邦政府中实现更同步和强大的网络防御、改进的通信以及更好的敏捷性和弹性。
在大多数情况下,联邦机构已经根据他们面临的威胁建立了自己的防御能力。CISA 表示,因此,这些机构在管理风险的有效性方面差异很大,并且没有“没有凝聚力或一致的基线安全态势”。这种差异意味着,尽管在网络安全方面进行了投资,但这些机构仍然容易受到威胁。
CISA 表示:“需要集体行动防御来充分降低对 100 多个 FCEB 机构构成的风险,并解决对政府服务和数据的动态网络威胁。
在联邦文职行政部门 (FCEB) 运营网络安全调整 (FOCAL) 计划中,CISA 规定了“联邦网络安全的广泛组织概念”和机构应实施的战术指导。该计划涵盖了组织应该用来保护其数据和信息系统的日常活动和流程,并涵盖五个领域:资产管理、漏洞管理、防御架构、网络供应链风险管理和事件响应。它还为企业设定了集体安全目标,并为协调的支持和服务提供了一个框架。
FOCAL 并非旨在提供机构必须完成的所有工作的全面或详尽清单。
“FOCAL 计划中的行动指导和指导 FCEB 机构走向有效和协作的运营网络安全,并将建立弹性,”CISA 网络安全执行助理主任 Jeff Greene 在一份声明中说。
Phosphorus Security 的安全战略师 John Vecchi 说,FOCAL 的基本组件是“可靠的”。Vecchi 表示,从网络成熟度和文化的角度来看,各机构之间存在“非常大的差异”,但如果实施 FOCAL 的基本原则,这些机构可以实现“更一致的网络安全态势和基线安全卫生”。
然而,Vecchi 指出,完成如此艰巨的任务可能是一项挑战。代理 IT 团队仍然需要员工、知识和技能来实际部署和实施技术和流程。完成计划中各种要素所需的安全工具数量庞大,可能会给机构安全团队带来问题。虽然专注于修补和漏洞管理是必不可少的,但这两个领域很难大规模实施。
Vecchi 说,同样重要的是要记住,这些机构中大约三分之一的资产代表智能设备、物联网、运营技术和嵌入式设备。这些类型的系统在安全卫生方面通常不合规。
“资源分配肯定会是一个问题,但我的猜测是,所有机构之间大量不同的团队和文化差异将带来更大、更紧迫的挑战,”Vecchi 说。“对于单个机构内的不同团队来说,有效协作可能非常具有挑战性,更不用说跨这么多独特、独立的机构和网络了。”