Biden关于网络安全的行政命令应包括行为透明度

Ben Higgins是一个杰出的软件工程师，网络安全公司索引，在协议，解析，加密，安全，系统和性能工程方面拥有丰富的经验。

网络行政订单的一个关键要素是“软件资料清单”（SBOM），供应商将被要求作为联邦采购过程的一部分提供。 SBOM将详细介绍在给定产品中使用的精确软件组件，包括任何开源组件，使联邦机构更容易更快，以确定它们是否受到其中一个组件中未覆盖的漏洞。

SBOM是支持联邦网络安全的重要一步，但这还不够。了解各种产品中包含的软件组件将有助于机构安全团队在漏洞亮起时更快地反应，但在其他场景中，如SolarWinds风格的供应链攻击，偷偷摸摸地插入软件组件，其影响是有限的。

这就是为什么拜登政府应延长网络行政命令，不仅包括SBOM，还包括“行为透明度”。

透明度要求不是技术中的新概念。证书透明度（CT）是任何公共证书颁发机构（CA）发出的所有证书的公共分类帐，该公式授权（CA）提供了一个监控和审核CA活动的框架，而Apple最近宣布的应用程序跟踪透明度允许用户查看什么活动应用程序跟踪和选择出去。行为透明度是本概念的建议应用于已知的软件行为。

行为透明度框架的目的是枚举给定软件的预期动作将在设备上或网络上采用。这有助于安全分析师区分预期的噪音和妥协迹象。反过来，这可以使安全团队在任何专有或开源软件中识别未知漏洞的利用。

好消息是，普通软件行为的列举已经是外部网络活动的标准行业实践。大多数主要的软件供应商，包括Meraki，McAfee，Tenable，Logmein / GotoMeeting，以及我自己的公司，extrahop，已经发布了普通产品行为列表。即使是SolarWinds也有文档描述了其网络行为。

但拜登政府可以帮助改善这一行业实践，提高公共和私人组织的整体安全姿势的关键变化。

首先，网络执行命令应与代表软件和安全软件供应商合作，以及斜切等组织，为必须包括全行为透明度必须包括的网络活动类型的标准。

至少，这应该包括外部网络目的地，与其他软件组件的内部网络连接行为等内容，以及适用的相关网络端口列表以及使用这些端口的目的。行为透明度框架还应包括其他网络行为，尤其是看起来像扫描或侦察行为的任何东西。

其次，Cyber​​ Evence Order应该要求已知的软件行为以机器可读格式发布，例如JSON或CSV，可以摄取到安全信息和事件管理（SIEM），防火墙，端点保护平台，网络等公共安全产品检测和响应，以及更改管理工具。

这是来自当前模型的至关重要，其中大多数行为都在网页上列出，或者在没有机器可读的PDF中列出。通过这种变化，常见的安全工具可以使用该机器可读的行为数据来帮助构建组织内的活动的基线，以更快，准确地检测表明妥协的偏差。 Meraki已经通过CSV格式提供了它的列表来实现这一目标。

第三，网络执行命令应建立由网络安全和基础设施安全机构或其他适当联邦机构管理的行为透明度数据的清算室。状态QUO是在供应商的网站上寻找周围，请咨询其内部文档或开立支持案例，以了解网络行为。如果提供的信息不正确，那也是一个支持案例。

目前的分散方法深刻有问题。对企业软件产品的无限网络访问引入了大量的安全风险 - 已建立零信任框架，以防止这一点 - 但典型的从业者没有时间或专业知识来单独追踪他们所拥有的每件企业软件的预期行为环境。如果没有集中访问行为透明度数据，即使是最好的零信任实现也将具有围绕企业软件的主要间隙。

清算箱将为行为透明度数据提供集中式存储库，由公司，产品和产品版本组织。像Github这样的论坛是这种清算室的理想机制，为此提供了广泛使用的集中式存储库。

第四，清算室应包括产品用户可以轻松为软件供应商提供反馈的机制。反馈可以采用问题的形式甚至提取请求，尽管这些公司应该参与批准变更。这样，行为中的缺陷可以在公共论坛中指出。大多数缺陷都是原因，如不反映在行为透明度数据中的产品更新，但随着时间的推移，公司理想地使其成为一种练习，以确保它们保持最新。但也会发现真正的积极因素。

Solarwinds软件供应链攻击，首次在2020年12月公开，说明了行为透明度的重要性。在12月11日之前，当Fireeye首先确定了Solarwinds Orion软件中的漏洞时，至少两个其他网络安全公司，Palo Alto和Fidelis，发现他们的Solarwinds安装与攻击者控制的“阶段1”AVSVMCloud [。] COM域。 Palo Alto观察并阻止了额外的恶意行为，但在既未确定与AVSVMCLOUD [。]本身的通信是可疑的。这在很大程度上到了涉及查看网络数据的臭名昭着的“噪声”。

但是，如果更多组织可以准备好访问Solarwinds的行为透明度数据，以及一个与基线与基线的偏差进行比较的论坛，事情可能会出现不同的方式。

Solarwinds Orion没有达到大量的外部目的地，因此当供应链攻击的第一阶段开始击中“Appsync-Api.eu-West-1.avsVMCloud [。] Com的子域，分析师运行Siem查询的威胁狩猎，或者基于机器学习的EDR或NDR产品，可能会更快地确定某些事情是不保证的。

同样，低摩擦的公共反馈机制可以倾斜太阳能线和行业，即似乎是孤立的噪音（“Appsync-API，似乎合法的似乎是呢？”）实际上是更令人邪恶的东西。

与俄罗斯的制裁同时，网络行政顺序是强烈的早期迹象表明，拜登政府打算对网络安全采取更积极主动的方法。对这些努力的成功至关重要，将与私营部门技术提供者合作。在联邦级别建立关于软件产品的披露标准将使私营部门的网络安全，以及提高软件供应链的整体安全性。