Amerikaanse kuberveiligheidstrategie verhoog die voorsprong teen aanvallers
INHOUDSOPGAWE:
Kort nadat ons ons gepubliseer het preview van die Amerikaanse nasionale kuberveiligheidstrategie (NCS), het die regering die finale dokument onthul. Dit bevat sterker taal as ooit, aangesien dit maatskappye regoor die VSA gevra het om hul kuberveiligheid te versterk en het ook 'n paar insiggewende denke getoon wat ontwerp is om 'n paar langtermyn kuberveiligheidsprobleme tuis en oorsee aan te pak.
'n Fokus op kritieke infrastruktuur
Die Strategie spreek veiligheidsuitdagings oor vyf pilare aan, waarvan die eerste die verdediging van kritieke infrastruktuur is. Dit verg 'n wortel-en-stok-benadering tot hierdie uitdaging. Aan die een kant bepleit dit strenger regulering wat maatskappye meer aanspreeklik sal maak vir kuberveiligheid. Dit erken egter dat sommige sektore te min hulpbronne het in vergelyking met ander en doen 'n beroep op reguleerders om die vlak van beskikbare hulpbronne in ag te neem wanneer nuwe kuberveiligheidsreëls gemaak word.
Die dokument koppel hierdie regulatoriese stok met aansporings vir goeie langtermyn-kuberveiligheidsbesluite. Hierdie aansporings sal afkomstig wees van meganismes, insluitend koersbepaling en belastingstrukture, sê dit.
Hou Tegniese Verkopers en Operateurs aanspreeklik
Nog 'n pilaar in die NKV, oor die vorming van markkragte om kuberveiligheid te ondersteun, lui ook 'n fokusverskuiwing in. Dit dra aanspreeklikheid oor van wat dit die mees kwesbare spelers in die ekosisteem noem (tegnologiegebruikers) na die verskaffers en operateurs wat die tegnologie verskaf. Om laasgenoemde meer aanspreeklik te hou, is 'n grondbeginsel van die Strategie.
Hierdie operateurs sluit wolkdiensverskaffers (CSP's) in, wat toenemend belangrik is in die tegnologiese ekosisteem. Dieselfde week wat die NKV laat vaar het, het Kemba Walden, waarnemende nasionale kuberdirekteur genoem die wolk "te groot om te misluk". Wolkdienste is ook plaaslik genoeg vir aanvallers om te ontgin. Oorsese teëstanders gebruik gereeld hul infrastruktuur vir aanvalle, wat geoblokkering en ander beskermingsmaatreëls moeilik maak.
Met dit in gedagte, doen die NKV 'n beroep op GSP's om meer verantwoordelikheid te neem in die beoordeling en vermindering van risiko vir hul stelsels. Dit haal aan Executive Order 13984, "Neem bykomende stappe om die nasionale noodgeval aan te spreek met betrekking tot beduidende kwaadwillige kuber-geaktiveerde aktiwiteite". Hierdie Trump-era dokument het 'n beroep gedoen op 'n beter kliënt-identifikasie onder CSP's, maar is nie afgedwing nie - tot nou toe.
Hierdie nuwe fokus op aanspreeklikheid strek tot diegene wat data hanteer en sagteware skep om dit te bestuur. Die Withuis wil wetgewing hê wat "nasionale vereistes sal stel om persoonlike data te beveilig in ooreenstemming met standaarde en riglyne wat deur NIST ontwikkel is." Dit is die duidelikste aanduiding nog van die begeerte vir sterk federale privaatheid en datasekuriteitswetgewing wat verbruikers beskerm eerder as 'n lappieskombers van wette op staatsvlak.
Die NKV vra ook vir wetgewing wat sagtewareverkopers dek, wat volgens hulle aanspreeklikheid vir onveilige sagteware in hul lisensie-ooreenkomste ontduik. Hierdie wette sal aanspreeklikheid afdwing vir sagtewareverkopers wat nie voldoen aan sagteware-sekuriteitstandaarde wat reeds deur mense soos NIST vasgestel is nie. Daar sal egter 'n veilige hawe-ooreenkoms wees vir diegene wat dit wel doen.
Gaan op die offensief
Die verdediging van binnelandse netwerke en verbruikers is een arm van die strategie. Nog 'n pilaar, Disrupt and Dismantle Threat Actors, beveel meer aggressie aan om aanvallers se stelsels af te neem.
Hierdie benadering teiken die hele kriminele ekosisteem, nie net aanvallers se botnets nie. Die regering sal losprysware-aanvallers teëwerk deur te probeer om hul onwettige besigheid minder winsgewend te maak. Dit beteken om voort te gaan om die cryptocurrency-uitruilings te teiken waar hulle byvoorbeeld uitbetaal. Die tesourie het reeds verskeie sulke stelsels goedgekeur, so dit artikuleer en verdubbel 'n bestaande tendens soos baie ander dele van die Strategie.
Die weermag sal 'n meer belangrike rol speel in hierdie aanval op aanvallers se ekosisteme, en 'n nuwe strategie skep om nouer met burgerlike agentskappe saam te werk om kwaadwillige akteurs te teiken. Private maatskappye sal ook 'n belangrike rol speel. Die regering het voorheen saam met organisasies soos Microsoft gewerk om kwaadwillige netwerke af te haal. Tog is dit nou besig om die ante te verhoog en maatskappye openlik in te roep in sy veldtog om aanvallers af te neem. Dit raai hulle aan om "ratse, tydelike selle" te vorm vir geteikende bedrywighede, wat werk via 'n reeks nie-winsgewende kubersekuriteit-gefokusde middelpuntorganisasies wat 'n koppelvlak met die Feds verteenwoordig.
Hande oor die oseaan
Deel van hierdie aanstootlike strategie behels internasionale samewerking, gegewe dat soveel kwaadwillige akteurs oorsee is. Die dokument wy 'n hele pilaar aan hierdie strategie, wat aan die gang is. Die Wit Huis reeds gevorm die Counter-Ransomware Initiative (CRI) om losprysware in Oktober 2021 te bekamp.
Die probleem is dat Rusland, wat 'n toevlugsoord vir lospryswaregroepe is, nie 'n lid van daardie inisiatief is nie. Dit is een land, saam met China, Noord-Korea en Iran, wat die Strategie noem as 'n oorsese bedreiging. Om hierdie teëstanders in die kuberruim teë te werk, beloof die NKV om internasionale diplomatieke druk toe te pas, deur “met ons bondgenote en vennote saam te werk om verklarings van veroordeling te koppel aan die oplegging van betekenisvolle gevolge”.
Langtermyn denke
Eerder as 'n kniehalter reaksie op kuberbedreigings, bevat die NKV 'n bietjie langertermyndenke. Een voorbeeld is die bespreking van 'n moontlike kuberversekering-terugstop om die soort katastrofiese kubergebeurtenis te dek wat die Wêreld Ekonomiese Forum sê is oppad. Dit is 'n reaksie op groeiende spanning tussen versekeraars en kliënte oor die stygende koste van kubervoorvalle.
Ander langtermyn-aksies sit onder 'n aparte pilaar genaamd Invest in a Resilient Future. Dit sluit in 'n nuwe nasionale kuberwerkmag- en onderwysstrategie om te vergoed vir die gebrek aan kuberveiligheidsvaardighede in die VSA en 'n inisiatief om beter digitale identiteitsoplossings te bou, wat die huidige pandemie van identiteitsdiefstal beveg. Hierdie pilaar vra ook om digitale voorsieningskettings te beveilig en dink vooruit na 'n post-kwantumwêreld, en vra vir oplossings wat data kan verbind wanneer kwantumrekenaars bestaande kriptografiese metodes bedreig.
Hierdie strategiedokument is 'n prysenswaardige poging om intelligent oor vandag se probleme te dink terwyl 'n wakende oog oor môre s'n gehou word. Die probleem, soos altyd, is uitvoering. Die uitvoerende gesag kan net soveel op sy eie doen om hierdie ambisies te verwesenlik. Die NKV erken hy maak staat op die wetgewende tak om baie van hierdie veranderinge deur te druk.
