白宫国家网络安全战略：应对重大威胁的标志性行动

在过去十年中，我们生活的方方面面都越来越依赖软件。与此同时，我们看到对这一数字基础设施的攻击大幅增加，对金融市场、医院乃至人类生命造成伤害。虽然软件行业对这些风险的了解越来越多，但很明显我们的反应还不够快。

世界各国政府都在努力制定既能取得正确结果又不会对软件行业造成不应有的损害的法规。

改善网络安全的缓慢变革步伐跟不上针对我们系统的威胁行为者的快速发展。时间已经过去了一半的措施。我们迫切需要一个moonshot来将这个行业转移到它需要的地方。

拜登政府宣布了他们更新的国家网络安全战略——我相信这是我们需要的登月计划。

该战略承认我们生活在一个艰难的世界，以及与我们结盟的威胁行为者，其中许多是敌对的民族国家。它由美国将如何在网络空间分配角色、责任和资源的两个主要根本性转变组成。

呼吁网络安全责任——让软件提供商负责

这一新战略的第一个转变是重新平衡保卫网络空间的责任。这种转变包含了软件行业有史以来最大的变化。白宫呼吁转变保卫我们数字生态系统的力量和责任。具体来说，它要求彻底改变软件责任和合同法。

这是历史性的——美国政府从未就软件产品责任问题表态。目的是消除组织在消费者别无选择只能接受的最终用户许可协议 (EULA) 中否认所有责任的能力。该战略要求我们用一项让生产软件的公司承担责任的政策来取代这一长期存在的政策。它使这些公司能够以安全港的形式赢得责任保护，其中包括可能会随着时间的推移而成熟的明确定义的最佳实践和标准。

长期以来，我们一直在呼吁加强监管。在理想的世界中，公司会自我调节他们的网络安全卫生。然而，正如我们从每日违规事件的头条新闻中看到的那样，太多的公司正在用他们的网络安全实践进行赌博——而且几乎没有面临什么后果。

政府法规可能是采取行动的必要动力。

如果没有其他制造业被允许运送其产品中已知的易受攻击或有缺陷的部件，那么为什么软件制造商会有所不同呢？在任何其他部门，这将被视为重大过失。拜登政府的新网络安全战略理所当然地希望软件也能如此。

此外，该战略还采取行动，要求收集大量信息并将这些信息公开给攻击者的公司承担责任。如果不改变法规，这些类型的违规行为对消费者来说可能会产生巨大的影响。然而，由此产生的诉讼相当于四舍五入的误差和组织本身开展业务的成本。改变问责机制是推动适当结果的唯一途径。

当这一战略取得成果时，公司将无法再责怪集成到商业产品中的组件的开源开发人员。创建和使用软件的企业必须采用严格的方法来“防止不良结果”，并承担保护消费者的全部责任。我们已经看到其他行业的这一举措导致了技术解决方案的采用——现在正是时候。

投资于网络安全

该战略的第二个根本转变是重新调整激励措施，以支持对网络安全的长期投资。本节概述联邦政府将如何使用所有可用工具来帮助重塑动机和市场力量，以奖励安全和弹性，并通过设计拥抱安全。它还谈到建立一支强大的网络劳动力队伍，这将引领我们走向未来。

在另一项历史性举措中，政府呼吁世代投资

更新基础设施。
保护软件和半导体供应链。
使加密技术现代化。

与围绕责任的讨论类似，政府以前从未如此重视加强我们网络安全态势的未来。这是最高级别的承认，没有人能够单独赢得网络安全游戏，如果我们想阻止网络犯罪的激增，我们需要作为一个行业、私营部门、非营利组织和政府共同努力。

我们经常谈论Edwards Deming 并将他的供应链原则应用于软件——其中之一是不将已知缺陷传递到下游。这是一个问题的众多原因之一是当您必须返回并不断修复问题并阻止前进时会发生大量的技术债务。更不用说浪费了大量的时间和金钱。

我们在国家的网络安全基础设施中积累了大量的技术债务。由于没有特别强调为未来投资、规划后量子未来或支持不断增长的网络安全劳动力，我们有一个漏洞需要挖掘。

责任感和韧性：近乎完美的组合

我很幸运有机会审查和评论该战略的草案，并全心全意地支持其对问责制和整体方法解决多方面问题的呼吁。这是政府、ONCD、CISA以及参与开发的所有其他机构的大胆举措，也是该行业的里程碑时刻。但这一刻并非技术和网络安全行业的所有人都会欣赏……最需要这种推动的组织是那些抵制所有现有最佳实践的组织，而不是只关注底线或通过“勾选”最小值动作。

然而，仅仅转移责任并不能阻止不良行为者发动恶意攻击。只有投入和努力结婚，才能有进步。随着组织采取行动保护自己，我们绝不能忽视总体目标——通过预防来恢复弹性。成功的安全策略仍将取决于先发制人的措施和漏洞管理计划。

您是否想知道如何评估您是否接近“通过设计确保安全”？还是准备好承担本战略要求的责任？首先评估软件供应链。

将戴明的原则应用于软件可以帮助指导您：