编者按
美国正在推动在联邦层面建立民间网络安全预备队,并已授权美国陆军通过试点计划为美国网络司令部提供人力资源。
在美国州一级方面,美国密歇根州2013年创建了密歇根网络民间军团(MiC3),率先提出了民间网络安全志愿者的概念。随后,威斯康星州、俄亥俄州、德克萨斯州、加利福尼亚州和马里兰州也建立了类似计划,俄克拉荷马州、华盛顿州、蒙大拿州、科罗拉多州和西弗吉尼亚州正在启动民间网络志愿者计划。大多数州计划都利用民间志愿者来帮助当地司法管辖区和其他组织(例如学校系统)参与事件响应、基本技能评估和培训,以改善本州公共部门机构的网络安全。大多数州都建立了与地方政府和其他相关组织(例如州级网络司令部、国民警卫队和军事预备役组织)合作的工作组结构,并在州级机构下进行运作,通过全职人员来管理预备役招募和运营流程,并为网络安全志愿者购买设备和技术。州网络安全志愿者计划取得了成功,但面临的挑战是找到足够的合格网络安全人员来完成任务。
在美国联邦层面,《2002年美国国土安全法》首次提出了政府志愿者的概念,以帮助网络安全风险管理和事件响应。美参议员杰基·罗森和玛莎·布莱克本2023年3月提出平民网络安全预备队法案,寻求授权美国防部和国土安全部招募合格的平民人员担任预备人员,以确保美国政府拥有击败、阻止或应对恶意网络活动所需的人才。2023年12月通过的《2024年美国国防授权法案》(NDAA)授权美国陆军部长开展试点计划,建立民间网络安全预备役,为美国网络司令部提供人力资源,从而以有效地预先制止、击败、阻止或响应恶意网络活动,开展网络空间行动,确保美国防部的信息和系统免受恶意网络活动的影响,协助解决网络劳动力相关的挑战。
奇安网情局编译有关情况,供读者参考。
面对信息安全人员短缺,网络安全志愿者后备队伍正在不断增长,美国网络司令部最近在2024年美国国防授权法案中被授权创建自己的民间网络安全预备役部队。
过去几年,随着美国联邦政府和州政府在招聘稀缺网络安全人才并为其支付高薪时面临着与私营部门相同的限制,民间网络预备役的创建受到了关注。
《2002年美国国土安全法》首次提出了政府志愿者的概念,以帮助网络安全风险管理和事件响应。该立法授权成立“网络卫士”(NET Guard),这是一支由当地志愿者组成的团队,“具有相关科学技术领域的专业知识,旨在帮助当地社区应对信息系统和通信网络的攻击并从中恢复。”
2013年,美国密歇根州通过创建密歇根网络民间军团(MiC3),在州一级率先提出了民间网络安全志愿者的概念,威斯康星州、俄亥俄州、德克萨斯州、加利福尼亚州和马里兰州也紧随其后。俄克拉荷马州正在与华盛顿州、蒙大拿州、科罗拉多州和西弗吉尼亚州一起启动自己的民间网络志愿者计划,并调查自己计划的创建。
在联邦层面,2023年12月通过的《2024年美国国防授权法案》(NDAA)授权美国陆军部长开展试点计划,建立民事网络安全储备库,为美国网络司令部提供人力资源,以有效应对恶意网络活动并开展网络空间行动等。
2024年NDAA第1536条款:开展民间网络安全储备试点计划的权力
(a)权力——美国陆军部长可以开展试点计划,建立民间网络安全预备役,为美国网络司令部提供人力,以有效地——
(1)预先制止、击败、阻止或响应恶意网络活动;
(2)开展网络空间行动;
(3)确保美国防部的信息和系统免受恶意网络活动的影响;
(4)协助解决网络劳动力相关的挑战。
······
该试点计划是参议员杰基·罗森和玛莎·布莱克本提议的立法计划的一部分。该计划中没有被纳入已颁布的NDAA的一项内容还包括在美国土安全部网络安全和基础设施安全局(CISA)内创建一项民间网络安全储备计划。立法者根据美国国会国家军事、国家和公共服务委员会以及网络空间日光室委员会(CSC)的报告中包含的建议,对这一立法方案的两个组成部分进行了建模。根据立法方案,民用网络安全预备役的参与将是自愿的,并且只能通过邀请,并且不包括军方选定的预备役。
州级网络预备役计划的成功和挑战
州一级网络预备役计划的经验可以提供关于美国网络司令部(或可能是CISA)在联邦一级创建民间网络预备役部队时可能面临的一些成功和挑战的见解。大多数州计划都使用民间志愿者来帮助当地司法管辖区和其他组织(例如学校系统)参与事件响应、基本技能评估和培训,以改善本州公共部门组织的网络安全。
大多数州都建立了与地方政府和其他相关组织(例如州级网络司令部、国民警卫队和军事预备役组织)合作的工作组结构。大多数在州级组织下运作,密歇根州在技术、管理和预算部下运作,威斯康星州在州应急管理部下运作,俄亥俄州在州副将部下运作。
大多数州通常配备不超过两名全职人员来管理预备役招募和运营流程,并为志愿者购买设备和技术。根据2022年至2023年的水平,适度的预算范围为每年25万美元至75万美元。
到目前为止,州级项目的协调员认为它们是成功的。俄亥俄州网络预备役项目管理官克雷格·贝克表示,“现在我开始弄清楚这将花费多少成本,以及我们为人们拯救的是什么,这真是太棒了。当我加入时,人员不到 50 人。现在我们的进度是144。我还有另外 15 多人正在完成这个过程来加入我们。所以,这真是太棒了。”
俄亥俄州网络预备役的一项特别成功的举措是为全州十几个学区举办为期3小时的研讨会,以加强其网络。俄亥俄州志愿者还为地方政府执行了30至40项协助任务,根据《NIST SP 800-53修订版5:信息系统和组织的安全和隐私控制》进行审计,告诉其在安全和隐私控制方面的状况。
对于所有公共和私营机构来说,挑战在于找到足够的合格网络安全人员来完成任务。在俄亥俄州,志愿者必须拥有5年相关经验、接受背景调查并通过 SANS 测试,但不需要任何教育学位或认证。克雷格·贝克表示,“我们拥有各种各样的人才,你能想到的一切,其中一些在国际投资者关系工作方面经验丰富。我们公司有高层人士、首席信息安全官等。我们有在各自领域非常知名的学者。我们有博士、硕士学位的人、为国家工作的人、为政府工作的人、在不同行业工作的人,同时在网络安全或强大的IT领域工作,具有一定的网络安全知识。”
尽管如此,俄亥俄州在吸引人才方面仍面临竞争阻力。克雷格·贝克表示,“存在很多挑战,你要找的人是在这方面工作了10年、15年以上的人。但随后你会对这些人进行常识性检查。他们30多岁了,一般都有家庭,所以他们很难提供志愿者时间。所以,我们一直在寻找。”
CISA 的网络储备还在酝酿之中吗?
美国网络司令部在NDAA中获得了试点网络预备役计划。相比之下,CISA类似试点计划的提议在该机构的最高批评者、参议员兰德·保罗的压力下被否决。网络与技术创新中心高级主任兼网络空间日光室委员会(CSC)后继组织CSC2.0 主任马克·蒙哥马利表示,“我认为将其交给陆军是明智之举。我认为陆军拥有各军种中最有效的网络安全计划。”
但是,他补充称,“网络司令部的试点计划很有用,但这并不是我们本可以做的最有用的事情。如果杰基·罗森立法在CISA设立试点计划,那就更好了。它解决了一个更严峻的挑战:非军事联邦机构内部缺乏足够的人才。我想要CISA试点,因为更高的需求是在.gov域,而不是.mil域。”
网络安全公司CyberSaint创始人兼首席创新官帕德里克·奥莱利表示,“我喜欢 CISA 网络后备的概念。任何能够解决整个行业人才短缺问题并采取结构化方法来解决的方法都是很棒的。我认为杰基·罗森和与CISA合作的人员可能清楚地听到,有时某个特定部门会发生事件,但他们缺乏纯粹的分析专业知识。对我来说,这似乎是解决CISA在处理关键基础设施的响应和沟通方面的一些不足的一种方法。”
杰基·罗森在CISA制定后备计划的努力未能通过 NDAA 程序,这是立法者的第二次尝试。她于2021提出的一项法案也包含创建 CISA 计划的条款。
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...