這些年來,資安威脅越來越嚴峻,儘管各國政府與企業正不斷強化資安,依據風險程度會有各自不同的防護目標,這些防護的建構並無法一蹴即成,加上供應鏈安全的層面,需仰賴整體環境共同提升資安,但在美中貿易戰、烏克蘭戰爭的發生,網路威脅態勢急遽升溫,資安強化的急迫性,不只是關乎個人、家庭、企業、組織的永續,也涉及國家安全,
在這樣衝突日漸升高的局面下,比鄰極權國家的臺灣,持續推動資安即國安的政策,並逐步擴展到更全面的境界,然而,全球各國其實也是如此,而美國的動向更是受到全球各界的關注。
對於國家網路安全的規畫,近一年來美國白宮行動不斷
回顧近期的國際重大資安事件,在2020年底Solarwinds供應鏈攻擊事件揭露之後,大規模的國家級資安威脅正式浮出檯面,當時,除了資安業者受害,美國多個政府機關與大型企業淪陷同樣是受害者,複雜的攻擊手法,也使得新的調查結果,在事件曝光多個月後仍持續出現。
到了2021年5月,再發生美國最大燃油管道系統Colonial Pipeline遭勒索軟體攻擊事件,當時該公司為控制其安全威脅,緊急關閉所有管道作業與部分IT系統,造成營運上的停擺,這些重大資安事件,不僅引發全球資安界關注,政府對於企業與組織的資安,也變得更加重視,尤其是關鍵基礎建設。
因應資安重大事件頻傳,美國總統拜登上任後,除了延續先前的資安防護策略,如前總統川普在任時簽署的美國5G乾淨網路政策,還採取更多行動,其目標就是提升國家整體資安防護水準,並讓政府組織跟上現今的資安防護要求。
當中最受矚目的動作就是,在2021年5月,美國總統拜登簽署了行政命令EO 14028,主題是改善國家網路安全,強調9大重點面向。當局不僅要促進政府與私人機構之間的威脅情資分享,特別的是,在網路安全現代化面向上,提到了零信任網路安全策略,以及強化軟體供應鏈安全,成為兩大關注焦點,同時,這項命令也提出多項盤點審查要求,希望各個地方政府機構能帶頭施行。
接著,在2021年8月,拜登接見該國科技龍頭與教育界領袖,舉行了一場資安高峰會,共同商討如何透過全國之力,來解決美國的資安威脅。除了由政府發起的多個倡議,他們也邀集了微軟、Google、蘋果、Amazon及IBM等業者,而這些大型科技公司亦紛紛承諾響應白宮的號召,表明將協力推動資安。
零信任戰略成形,產業正協助國家網路安全發展
在美國發起的國家網路安全行動之後,許多新的政策與宣告陸續出爐。
例如,數個月後,美國行政管理和預算局(OMB)支持EO 14028的總統行政命令,提出「聯邦零信任戰略」(Federal Zero Trust Strategy)草案;到了2022年1月,美國白宮發布消息指出,OMB提出的這項策略正式發布,將推動聯邦政府的網路安全架構,都朝向零信任方法邁進,並說明在現今的威脅環境下,要保護重要系統與資料,將無法再依賴傳統的邊界防禦作法,因此,必須作出大膽的改變,並期望在2024財年(2024年9月30日)完成初步推動。
除了零信任網路安全的議題,軟體供應鏈安全的問題也備受關住。例如,前面我們提到,在2021年8月,拜登已會見科技與學界領袖進行商討,該會中已宣布,為提高技術供應鏈的安全與完整性。美國國家標準與技術研究所(NIST)將與產業合作,共同開發新的安全框架來因應。
後續,這些業者在這場會中所承諾的資安強化、投資及人才培育,也付諸更多實際行動。
舉例來說,以科技業者在資安人才短缺面向的出力而言,微軟在2021年10月宣布,將展開4年期的資安培訓活動。
因為,經過實際分析美國資安人才短缺現象,並在調查資安職缺的門檻與需求後,他們決定整合國家資源並透過社區大學,結合公司自身的資源,提供資安人才培訓方面的協助,包括社區大學免費課程、社區大學師資培訓,以及獎學金等,期望在未來3年內,可以幫助美國填補25萬個資安職缺。
到了2022年3月,微軟再次宣布消息,要將這樣的計畫擴展到全球23個國家(可惜臺灣並未在名單之內)。事實上,還有多家科技業者都將致力於美國國家資安人才培訓。
以軟體供應鏈的資安挑戰而言,白宮於2022年1月26日舉行開源軟體高峰會議,邀請相關業者,持續商討這個獨特的安全挑戰,畢竟,近期log4j開源軟體漏洞的發現,使得上萬開源軟體Java元件受影響,連帶各業者需清查自家產品是否受影響而要修補,而此舉也再次突顯開源軟體安全性的影響。
畢竟,長久以來,開源軟體因透明度高,因此問題容易被偵測發現與解決,而顯得比較安全,有些專案確是如此,但有些專案可能較少人關注,而可能被有心人士覬覦、伺機滲透或進行非法活動。若有多家科技大廠持續合作、採取改善行動,利益的對象不只是國家層面的安全性,更有助於減低全球產業層面的資安威脅。
會後Google表示,除了先前他們的承諾,要擴大供應鏈層級的軟體物件框架(SLSA)的應用,他們並建議,要成立聯合的市場機制來維護開源,並且先要確定關鍵的開源項目;IBM在會後也表示,該場會議明確表示政府與產業能夠共同改善開源的安全實踐,可從安全標準廣泛採用著手,並針對關鍵開源資產確保應滿足最嚴格的安全要求,以及擴大開源安全方面的技能培訓和教育。
除了這些面向,有更多科技業者也表示將提升資安要求,並將在自己擅長的領域提供資安上的協助。
烏克蘭戰爭爆發,白宮呼籲民間企業即刻提升防護
最近,美國白宮更是對於當地民間企業發出資安預警。
美國總統拜登,在2022年3月21日,新發布一項國家級網路安全的聲明,當中的重點在於,不僅呼籲普遍美國民間企業加強網路防禦,同時強調,必須加快改善該國網路安全的工作。
事實上,國家級駭客組織的威脅近年持續不斷發生,但現今的局勢,促使著相關風險可能變得更劇烈。
今年2月底,由於俄羅斯軍隊攻向烏克蘭,戰事已持續一個月,在當今的混合型態戰爭之下,由於俄國在美歐實施經濟制裁後仍不退兵,這也讓美國關注其網路攻擊威脅,可能進一步向外擴張。像是針對歐洲衛星通訊衛星的攻擊行動,就是一例,也促使美國政府對相關業者發出警示。
因此,在3月這次美國白宮發布總統拜登對於國家網路安全的聲明中,一開始,就是向該國企業組織與人民喊話,告訴大家現在已是關鍵的時刻,必須加快腳步,改善網路安全,並增加國家的資安韌性。
最主要原因,是政府近期接獲新情報,顯示俄羅斯為了報復美國對其實施經濟制裁,極有可能對美發動網路攻擊。面對現今網路攻擊的威脅,拜登指出,光靠聯邦政府無法單獨抵禦各式國家網路威脅,因此呼籲民間企業與關鍵基礎設施提供者,必須強化網路防禦,對於聯邦人民所依賴的關鍵服務與技術,業者有權利、能力與責任來加強網路安全與資安韌性。
而在聲明的最後,拜登也再次呼籲,因應當今威脅,每個人都應盡到自己義務,今日的警惕與緊迫意識,將可防止或減輕明日的攻擊。
綜觀白宮的這次舉動,在在提醒該國國家網路安全的強化腳步必須加快,而且是民間企業都必須跟上,這是因為有很多關鍵基礎設施與關鍵服務,為這些企業所擁有。
在上述聲明發布之後,同日,美國負責網路和新興科技的國安顧問Anne Neuberger提出更多說明。對於俄羅斯惡意網路攻擊的威脅,她表示,在3月21日的前一週,白宮官員已預先向1百多個當地企業組織,主動提供機密簡報,而後續總統拜登的正式聲明,則是向更多企業喊話,敦促面臨風險的民間企業與合作夥伴,共同強化網路安全。
Anne Neuberger指出,在Colonial Pipeline遭勒索軟體攻擊事件後,已經不斷要求政府部門,加強網路安全,也將發現的情資提供給可能被鎖定的企業,這一年來,大家都有所進步,但要做的事情還很多,民間企業與關鍵基礎設施也是如此。
為了幫助可能被攻擊的機構做更好的準備,並且是希望所有人做出同樣的準備,她強調,每個機構人員都必須要知道這樣的資訊,持續保持警惕,把攻擊門檻提高,讓攻擊者更難入侵,並且是要有發現就要立刻通報。
至於有哪些美國基礎建設或產業可能遭鎖定?Anne Neuberger表示,目前並無法掌握具體會面對甚麼樣的網路攻擊,事實上,美國政府每天都會發現各式網路攻擊威脅,如今公布全新的情報,目的是要國內企業組織都能意識到自己的責任,以保障美國人民所依賴的關鍵機構與服務。這次並未特別指出何種類型的關鍵基礎設施,會成為目標,這是因為,所有的關鍵基礎設施都應該要加倍保護自己。
另外也重申美國的態度,並不想與俄羅斯有直接的衝突,但如果遭遇到對方攻擊,將會採取行動反擊。
國家網路安全每個層面都有應盡責任,民間企業必須要有清楚的認知
整體來看,這次白宮的警告,就是呼籲所有民間企業與關鍵基礎設施,必須加快改善國內網路安全。
而從近年一連串的動作來看,白宮的舉動已在在顯示,不只政府、產業在推動資安,企業也要跟上。
而且,這次白宮特別宣達了8個資安防護要點,雖然這些資安對策算是相當基本的內容,不是給予專業資安人員實務上的建議,但由白宮來公告,本身就別具意義。
這意味著,外界不能再說自己不知道該做什麼網路防禦工作,因為白宮已親自表明了確切的資安投入方向,包括:導入多因素驗證(MFA)、部署可持續偵測威脅與緩解的現代化資安工具,他們近年也一再強調,各種需落實的防護工作,像是:漏洞儘速更新修補及變更密碼、妥善備份資料、資安事件演練、妥善資料加密,並要培養員工資安意識,以及與當地政府及執法單位積極合作。至於進一步的細節,企業還可參考美國CISA所提供的資源,以及資安管理框架、標準與實務指引。
________________________________
因應烏克蘭戰爭爆發新態勢,白宮呼籲
各類關鍵CI業者要加倍提升資安
圖片來源/美國白宮
美國負責網路和新興科技的國安顧問Anne Neuberger表示,目前無法掌握可能面臨的攻擊樣態與產業,但重點是,所有民間企業與關鍵基礎設施業者都可能是攻擊對象,必須加倍去保護自己。
在2022年3月21日,美國總統拜登發布一項國家級網路安全的聲明,指出俄羅斯可能報復西方制裁,對美惡意網路攻擊潛在威脅提升,呼籲普遍該國民間企業與關鍵CI,應加快強化網路防禦。
現在的網路攻擊威脅有多嚴重?在同日舉行的白宮記者會上,負責美國負責網路和新興科技的國安顧問Anne Neuberger,她在接受媒體詢問時,提到幾個重點,例如,美國政府其實每天都會關注各式網路攻擊威脅,然而最近新的情報顯示,俄羅斯正探索對美發動惡意網路攻擊的各種可能,雖然,她無法說明可能遭遇的網路攻擊樣態與產業,但她想強調的觀念是,各類型的關鍵基礎設施都會成目標,必須要加倍保護自身。
而且,每個機構人員都應該要知道這樣的資訊,先做好準備,持續保持警惕,不只要讓攻擊者更難入侵滲透,並要在一旦發現跡象時,就馬上通報政府機關。
她並提到,在一周之前,白宮官員其實就與100多個當地企業組織開會,分享相關機密簡報資訊。現在,總統拜登開始提醒所有民間企業都要注意,必須知曉惡意攻擊威脅可能攀升的現況,同時白宮發布簡要的資安防護指引,呼籲所有民間企業與合作夥伴都要採取行動。
__________________________
企業即刻該做的8大資安重點
美國總統拜登於3月21日示警,指出潛在網路攻擊威脅攀升的態勢,並呼籲該國民間企業與關鍵基礎設施業者,需加快改善網路安全,為了督促不夠了解資安的企業去行動,白宮也特別彙整了緊急強化資安的8項方針。此一作法不僅引發美國民間企業的注意,全球政府與企業也在關注,或可視為推動全體企業資安防護的借鏡與參考。
□ 導入多因素驗證(MFA)
□ 部署現代化資安工具
□ 漏洞儘速更新修補及變更密碼
□ 妥善備份資料
□ 資安事件演練
□ 妥善資料加密
□ 培養員工資安意識
□ 與當地政府及執法單位積極合作
資料來源:美國白宮,iThome整理,2022年3月
________________________________
拜登政府國家網路安全4大宣示
整體來看,近一年來,美國在國內網路安全各層面均持續推動,已經從政府自身,到產業合力,並且訴諸所有民間企業。例如,從簽署EO 14028行政命令,到接見企業與教育界領袖召開資安高峰會,以及最近呼籲民間企業立即提升資安。
另外,從該國政府機關的動向來看,也是一再修法提升資安相關的要求。例如,最近美國證券交易委員會有新的提案,就是強化網路安全威脅的標準揭露程序,也將要求上市公司提交資安管理面的規畫、程序與政策等細節。
2021年5月 拜登簽署EO 14028行政命令
圖片來源/美國白宮
在2021年5月,美國總統拜登簽署了一項行政命令(EO 14028),推動政府組織提升網路安全水準,主要目的包括:促進政府與私人機構之間的威脅情報分享,推動聯邦政府實施現代化網路安全(包含零信任架構),改善軟體供應鏈的安全性,建立網路安全審查委員會,建立回應網路安全事故的標準手冊,改進聯邦政府網路偵測網路安全意外的能力,以及增進調查與修復能力。
2021年8月 拜登召開資安高峰會接見企業與教育界領袖
圖片來源/美國白宮
在2021年8月,美國總統拜登在白宮東廂辦公室舉行一場資安高峰會,接見該國多家科技龍頭與教育界領袖,在這場會議中,不僅宣布美國國家標準與技術研究所(NIST)將與產業合作,共同開發新框架來提高技術供應鏈的安全與完整性,而微軟、Google、蘋果、Amazon及IBM等業者也都響應政府提出的倡議,承諾將推動產品安全、供應鏈安全與資安研究,並培育資安人才。
2022年1月 白宮發布聯邦政府零信任網路安全新戰略
在2022年1月26日,美國白宮發布公告指出,直屬美國總統管轄的行政管理和預算局(OMB)發布了M-22-09備忘錄,這將意謂著,朝向零信任網路架構的戰略正式成形。在此戰略之下,已提出轉移架構的時程規畫,並依據識別、裝置、網路、應用程式與工作流程,以及資料等5個領域,執行相關的盤點與部署工作。
2022年3月 白宮呼籲民間企業及關鍵CI應立即提升資安
在2022年3月,美國總統拜登發表國家網路安全聲明,指出在俄羅斯對美發動惡意網路攻擊情勢升高之下,儘管政府會採取各項行動來抵禦網路威脅,但光靠政府的力量並不夠,因為很多美國人民所仰賴的關鍵設施與服務,都是民間企業所擁有,因此督促所有相關業者都要共同強化網路安全,呼籲民間企業與關鍵基礎設施需加快網路防禦的腳步,難得的是,白宮也特別公布8項緊急資安防護方針,希望所有民間企業都能立即實施。
資料來源:美國白宮,iThome整理,2022年3月
熱門新聞
2024-12-24
2024-08-14
2024-12-22
2024-12-20
2024-12-23