正如您可能所知,美国对其关键基础设施进行了网络攻击。在回应袭击方面,拜登总统签署了一项提高我们的网络安全姿势的执行命令。我阅读整个文件,这是您需要知道的。
与政府开展业务时的安全期望急剧增加,包括软件材料
这是一个真正简短的行政命令从我的角度下落后,这是一个用于初创公司的分数CISO,旨在提高他们的安全性和领导者,寻求提高他们的安全。
更多的人和组织有更多的时间可能会写一些更深入的东西,因此可以自由阅读。如果您计划与联邦政府开展业务,本摘要和执行命令本身可能对您尤为重要。
如果您一直在阅读此通讯和LinkedIn上的其他咆哮/帖子,您会知道我一直在谈论零信任。这是一个复杂的主题,虽然是一个笨拙的话题,但它是一个流行语,这对于在整个生态系统中的最小特权的实施方面非常重要。
在执行命令中,它们足以创建“定义”部分,我喜欢他们对这个词的定义:
术语“零信任架构”是指安全模型,一组系统设计原则以及基于传统网络边界内外威胁存在的确认的协调的网络安全和系统管理策略。零信任安全模型消除了任何一个元素,节点或服务中的隐式信任,而是需要通过来自多个源的实时信息连续验证操作图片以确定访问和其他系统响应。从本质上讲,零信任架构允许用户完全访问,但仅对他们需要执行工作的最小值。如果设备受到损害,则零信任可以确保包含损坏。零信任架构安全模型假定违规是不可避免的或可能已经发生的,因此它不断限制对所需的内容,并寻找异常或恶意活动。零信任架构嵌入全面的安全监控;基于颗粒的风险访问控制;和系统安全自动化在基础设施的所有方面都以协调的方式,以专注于在动态威胁环境中实时保护数据。这种以数据为中心的安全模型允许对每个访问决策应用最小特权访问的概念,其中答案是谁,何种方式,何种方式以及适当允许或拒绝基于资源的访问权限在切断的组合。
在Lamen的条款中,将审查并审查访问和特权,并在此之前更密切地审查,并且在此之前,您可以先获得管理员访问,该决定将(应)不再轻松拍摄。
执行命令最重要的部分之一是所有联邦机构在签署订单的六个月内(180天)以内采用多因素认证。沿着同一条线,谷歌最近宣布,他们将为所有一天制作MFA标准。
外带是MFA不再是一种选择。这是一个要求,应该从根本上提供。
这可能是订单最有趣的部分。将需要软件公司来发布“软件资料清单”(SBOM),详细说明用于创建和提供软件产品的元素。应该在这个SBOM中的细节仍然不明确,但它的想法似乎非常有前途,并作为一个负责审查第三方安全性的安全从业者,这将使我的工作更容易。我可以向他们的技术堆栈提出具体问题而不是保持一般的事情。
不幸的是,除了提供开源和封闭源软件的列表之外,我不指望这一SBOM非常详细。这是我需要的是我需要的,如果它取决于我:
商务秘书应在执行命令的60天内发布SBOM的最低因素,因此让我们看看。
在执行命令中,授权从2002年的“国土安全法”联系到“第二届SEC 871的网络安全审查”董事会,因此董事会将持续2年,除非更新。此外,在2016年关于奥巴马总统签署的网络安全有关的执行命令。我没有机会阅读那个订单,但我很好奇这次有什么不同。
集中信息安全举措通常是一件好事。 它有助于确保管理举措并建立一定程度的一致性。 在订单中,联邦机构的任务是向总统和国家安全顾问(APNSA)的助理提供上述一些报告。 审查委员会还将报告或与APNSA直接接触。 此外,Infosec的执行支持是至关重要的,以便它得到应有的关注。 然而,没有什么是万无一失的,我认为这里的外带是我们必须不断迭代,否则我们会停滞不前。 我看到了很多过去的安全举措,我想知道这些举措的有效性在实际意义上。 如果这项行政命令随后与一致性和现代安全性心态相吻合,那么我看到这里发生了很多希望。