天极按
近日,由MITRE、云安全联盟、先进技术学术研究中心和 IT 采购咨询委员会四个非营利组织组成的云安全工作组发布了安全策略建议文件《云安全工作组建议路线图》,向国会、白宫、联邦机构和行业提出建议施行措施,以提高政府云安全性。
最近对美国政府云IT基础设施的攻击通常是由国家行为者实施的,这些攻击导致了大规模的数据泄露,影响了数百万条记录,同时也引发了人们对在国家安全和其他关键政府业务中使用云解决方案的担忧。随着越来越多的数据迁移到云中,攻击也随之升级,引起了人们对网络复原力和操作卫生方面缺陷的关注,特别是在认证流程和处理已知漏洞方面。
2023年 9月,MITRE、云安全联盟(CSA)、先进技术学术研究中心(ATARC) 和 IT采购咨询委员会 (IT-AAC)在内的四家非营利性公司发起成立了云安全特别工作组,以审查政府云基础设施,并提供应对威胁的解决方案。该工作组于12月举行了首次活动,与行业和政府参与者共同讨论政策建议,以确保国家关键云托管数字基础设施的安全。本文总结了这些专家为改进标准、实践和政策而提出的主要建议。右图从整个政府的角度总结了这些建议。
在加强联邦政府云计算安全方面存在重大机遇。政府和行业利益相关者都认为:
政府认证流程耗时过长、成本过高,"进入成本"是中小型企业的主要障碍。
已认证云环境的重新授权过程既费钱又费时,阻碍了已认证产品的更新和更好的安全保护。云服务行业的安全控制框架之间不存在互惠性。
认证计划中使用的第三方独立评估机构评估需要更多信心和信任。
行业需要激励措施来提高透明度(如云材料清单、漏洞披露)和运营绩效。
需要加强威胁和薄弱环节的信息共享。
需要更好的衡量标准,包括实时监控的结果。
在整个认证和监控过程中,应充分利用自动化和人工智能(AI)。
如果不采取合作的方式来解决云安全的这些改进问题,我们的国家将继续面临重大攻击,给我们的国家安全和关键政府任务带来不必要的风险。特别工作组认识到业界、管理和预算办公室(OMB)、总务管理局(GSA)、国防部(DoD)、国土安全部(DHS)、国家标准和技术研究院(NIST)等机构迄今为止在提供和保护政府云环境安全方面所做的重要工作。特别工作组向国会、白宫、联邦机构和行业提出了本建议路线图。
引入安全云采用立法,解决以下问题:
共同承担责任(激励行业发现、预防和披露其系统和服务面临的威胁和漏洞)
提高各认证项目之间的互惠性,可能包括建立一个国家授权运行(ATO) 存储库
通过日常安全测试加强人工智能持续监控,以提高威胁检测能力
提高认证和事件响应的自动化程度
改进衡量标准
责任保护
加强对第三方独立评估机构的监督
监管协调
中小企业进入壁垒
利用一致的标准建立和实施实践的组织。
在国家网络安全总监办公室和联邦首席信息安全官的协助下,制定网络安全记分卡,其中包括实时指标,并利用行业的云安全衡量标准。
将 "云智能"指南更新为"云安全"指南。这应反映上述立法中涉及的许多主题,并包括实施指南,其中包括与最新政府建议的方法(如零信任)一致的安全实践,并要求NIST制定多云环境安全的互操作性标准。该总体指南应要求行政部门更新其他政策,包括《联邦信息处理标准》(FIPS)第200 号出版物,以反映现代安全实践和要求。
加强网络衡量标准,纳入实时指标,利用行业最佳实践和现有的NIST 指导。这些增强的指标应明确包括若干云安全指标,并与FISMA 和performance.gov 相关的现有网络指标报告要求保持一致。
建立公私合作伙伴关系,利用人工智能威胁检测加强信息共享。该实体将由总统执行办公室(EOP) 监管,并将作为所有行业网络安全互动的前门。
与国会、OMB、网络安全和基础设施安全局(CISA) 以及NIST 合作,改善持续监控、信息共享、认证计划和劳动力挑战。
与机构云管理办公室合作,帮助缩小知识和流程方面的差距。
向国会、OMB和机构领导层报告网络安全记分卡和指标。与行业合作,改进监控、测试、自动化和测量(通过上文建议的EOP 公私合作)。
确保政府与非政府商业云产品同步获得"创新和安全"更新。政府重新认证流程不能成为政府及时更新的障碍。
与 EOP和国会合作,加强持续监控,通过人工智能和常规安全测试改进威胁检测,提高认证和事件响应的自动化程度,实施实时网络安全指标报告,提高整体安全透明度,并改进云运营的敏捷采购和管理流程的采用。
云安全工作组正在与政策制定者接触,帮助其考虑解决这些立法和行政政策改进问题。目前已安排在2024年召开更多工作会议,并计划就这些建议发布详细文件,提供具体的解决方案,以更好地保护不断发展且至关重要的云环境。积极推进工作计划为所有利益相关者制定一个定期会议时间表,欢迎政府和行业参与。
天极智库聚焦网络安全相关领域,聚集网络安全职能部门、行业主管部门、科研院所、相关企业和专家学者的力量,组织开展政策研判、事件分析、技术研究、学术交流,为国家网络安全工作提供支撑,增强国家网络空间安全防御能力,提升国家关键信息基础设施安全保障能力和水平。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...