|
美国政府本周二发布了广受期待的国家网络安全战略,推动对关键基础设施供应商的强制性监管,并为应对外国对手和勒索软件参与者的更积极的“反黑客”方法开绿灯。 正如之前报道的那样,白宫计划通过监管来“公平竞争”,并将责任转移给未能采取合理预防措施来保护其软件的组织。 该文件称,并呼吁将责任大幅转移“[虽然] 关键基础设施网络安全的自愿方法产生了有意义的改进,但缺乏强制性要求往往导致结果不一致,在许多情况下不充分,到那些未能采取合理预防措施来保护其软件的实体。” 该战略文件指出:“在为关键基础设施制定网络安全法规时,鼓励监管机构推动采用安全设计原则,优先考虑基本服务的可用性,并确保系统设计为安全故障并快速恢复。法规将定义最低预期的网络安全实践或结果,但政府鼓励并将支持实体进一步努力超越这些要求。” 联邦政府计划利用现有权力制定“关键部门必要的网络安全要求”,如果权力存在法律漏洞,白宫计划与国会合作消除这些漏洞。 该战略分为五个支柱,旨在:
该战略还向执法机构和情报机构提供高级授权,以“扰乱和摧毁威胁行为者”,包括外国 APT 活动和数据勒索勒索软件组织。 白宫强调说:“破坏运动必须变得如此持续和有针对性,以至于犯罪网络活动变得无利可图,从事恶意网络活动的外国政府行为者不再将其视为实现其目标的有效手段,”并指出联邦政府将提高信息共享的速度和规模,以主动警告迫在眉睫的威胁。 “联邦政府将与云计算和其他互联网基础设施提供商合作,快速识别恶意使用美国基础设施的行为,与政府共享恶意使用报告,让受害者更容易报告滥用这些系统的情况,并使其更加困难让恶意行为者首先获得对这些资源的访问权限,”它补充道。 侵略性战略旨在通过授权美国国防、情报和执法机构侵入犯罪分子和外国政府的计算机网络,先发制人地“破坏和拆除”敌对网络。 白宫也不鼓励向网络罪犯支付数据勒索赎金,认为“破坏这些犯罪集团动机的最有效方法是降低获利的可能性。” “我们的目标是让恶意行为者无法发起持续的网络活动,威胁美国的国家安全或公共安全,”该战略说。 战略文件更深入,将工作分配给 FBI 的国家网络调查联合工作组,该工作组与美国所有相关机构协同工作。它表示,私营公司将成为“全面合作伙伴”,以发布预警并帮助抵御网络攻击。 政府还在探索联邦网络保险支持,以在灾难性事件或重大危机期间为经济提供稳定性。 编译自:安全周刊
|
|
|
