在云时代,政府只能像其供应链一样安全

尽管监管通常被视为与技术进步相对立,但供应链是一个领域,在其中明确定义,合理的指令对美国政府的安全性和技术领导力产生了巨大的积极影响。

 供应链
Thinkstock

在过去的一年中,我们看到美国联邦政府在几个关键领域采用新的网络安全标准方面发挥了领导作用。这些收益是过去两三年来发布的若干任务的直接结果。

现在,众议院目前正在审议的一项法案将使国土安全部 禁止存在网络安全风险的联邦承包商的权力.

毫无疑问,联邦承包商必须遵守与联邦政府本身相同的严格网络安全标准。但是,众议院法案的“禁令”是一种钝器。

白宫和国土安全部举例说明了一种更好的方法,他们对联邦机构的具体,可操作和精心编写的任务授权大大改善了政府的网络安全态势。

结构合理的任务剖析

从2015年开始, 政策指令 白宫的要求机构开始采用HTTPS加密Web连接。然后在2017年末,国土安全部的具有约束力的操作指令 (BOD)18-01 用于改善电子邮件和网络安全的特定技术,以及 董事会18-02 为代理商提供了一个库存和保护其高价值资产的框架。

这些指令中最具影响力的是BOD 18-01,具有成功完成技术指令所需的所有要素。它包括明确的具体说明;提供了大量技术背景材料,以支持机构遵守法规;并阐明了明确的时间表。最重要的是,它以易于验证的开放,成熟标准为中心。

该时间表是有针对性的,在BOD 18-01发布后的30到60天内有很多里程碑意义,以引起关注,并且由于相关风险而未能实施这三个必需的标准。一个可以理解的抱怨是该指令没有相关的预算分配来帮助机构合规。考虑到时间表和缺乏预算,要求每个联邦机构实施新的安全技术甚至被视为不现实。 。

然而,由于草案的特殊性和谨慎性,BOD 18-01取得了巨大成功。仅举一个例子:该指令于2017年10月15日首次发布时,只有18%的美国联邦域名开始进行自我认证的过程(使用强制性标准,即 DMARC ); 今天 这个数字超过70%. 而且,超过40%的联邦域已经完成了身份验证过程,现在受到保护,免受伪装成网络钓鱼攻击者的模仿。还有很多工作要做,但迄今为止取得的进展是惊人的。

加密的Web会话也是如此。在2015年中,超过25%的政府域支持HTTPS; 到2015年底已上升到约75%,这要归功于白宫发布的政策。今天,由于BOD 18-01的附加规定, 65% 正在使用HSTS 并且默认情况下已加密。

所有这一切表明,在对相关技术以及透彻技术的深刻了解制定计划和指令时,联邦政府可以敏捷,精通技术。明确定义的目标以及激进而合理的截止日期-并辅以大量精通技术的支持信息-对于政府成功提高基于Web和电子邮件通信的安全性至关重要。这些指令使政府处于无可争议的领导地位。

让我们使用这本剧本

但是,在某个地方政府仍然处于脆弱状态:承包商为联邦机构并代表联邦机构提供了大量政府服务。

例如,政府问责局最近对美国政府供应链进行的一项调查发现, 政府的IT供应链中存在许多漏洞。其中包括存在恶意或伪造的软件和硬件,以及存在缺陷或配置错误的服务。作为回应,GAO建议所研究的三个机构(司法,能源和国土安全部)采取具体行动,以“制定和记录应对IT供应链风险的政策,程序和监控能力。”

黑客知道目标仅与其最薄弱的环节一样安全。例如,当您查看 前100名联邦承包商中的电子邮件身份验证率 (按其2017年合同的美元价值计算),他们的进度大大落后于公共部门的同行。对于黑客来说,这代表了机会。如果他们所针对的代理商无法通过电子邮件进行假冒,并且已通过强制加密锁定了其网站,则黑客可能会通过更容易受到攻击的承包商找到另一种方式。

确实,虽然监管通常被视为与技术进步相对立,但在这个领域中,定义明确,合理的指令已对美国政府的安全性和技术领导力产生了巨大的积极影响。

将相同的要求扩展到与联邦政府有业务往来的承包商,而不是“锤子”方法,会更有效率,这有助于确保他们也锁定网站和电子邮件域,并消除另外一套薄弱环节。关键是要确保这些要求是特定的,详细的,可操作的,并具有积极进取但切合实际的时间表。

版权© 2018 IDG通讯,Inc.