【攜手產業需解決關鍵資安議題，推動企業加速資安強化】強化國家資安，美國白宮推動多項新世代防護對策

這些年來，資安威脅越來越嚴峻，儘管各國政府與企業正不斷強化資安，依據風險程度會有各自不同的防護目標，這些防護的建構並無法一蹴即成，加上供應鏈安全的層面，需仰賴整體環境共同提升資安，但在美中貿易戰、烏克蘭戰爭的發生，網路威脅態勢急遽升溫，資安強化的急迫性，不只是關乎個人、家庭、企業、組織的永續，也涉及國家安全，

在這樣衝突日漸升高的局面下，比鄰極權國家的臺灣，持續推動資安即國安的政策，並逐步擴展到更全面的境界，然而，全球各國其實也是如此，而美國的動向更是受到全球各界的關注。

對於國家網路安全的規畫，近一年來美國白宮行動不斷

回顧近期的國際重大資安事件，在2020年底Solarwinds供應鏈攻擊事件揭露之後，大規模的國家級資安威脅正式浮出檯面，當時，除了資安業者受害，美國多個政府機關與大型企業淪陷同樣是受害者，複雜的攻擊手法，也使得新的調查結果，在事件曝光多個月後仍持續出現。

到了2021年5月，再發生美國最大燃油管道系統Colonial Pipeline遭勒索軟體攻擊事件，當時該公司為控制其安全威脅，緊急關閉所有管道作業與部分IT系統，造成營運上的停擺，這些重大資安事件，不僅引發全球資安界關注，政府對於企業與組織的資安，也變得更加重視，尤其是關鍵基礎建設。

因應資安重大事件頻傳，美國總統拜登上任後，除了延續先前的資安防護策略，如前總統川普在任時簽署的美國5G乾淨網路政策，還採取更多行動，其目標就是提升國家整體資安防護水準，並讓政府組織跟上現今的資安防護要求。

當中最受矚目的動作就是，在2021年5月，美國總統拜登簽署了行政命令EO 14028，主題是改善國家網路安全，強調9大重點面向。當局不僅要促進政府與私人機構之間的威脅情資分享，特別的是，在網路安全現代化面向上，提到了零信任網路安全策略，以及強化軟體供應鏈安全，成為兩大關注焦點，同時，這項命令也提出多項盤點審查要求，希望各個地方政府機構能帶頭施行。

接著，在2021年8月，拜登接見該國科技龍頭與教育界領袖，舉行了一場資安高峰會，共同商討如何透過全國之力，來解決美國的資安威脅。除了由政府發起的多個倡議，他們也邀集了微軟、Google、蘋果、Amazon及IBM等業者，而這些大型科技公司亦紛紛承諾響應白宮的號召，表明將協力推動資安。

零信任戰略成形，產業正協助國家網路安全發展

在美國發起的國家網路安全行動之後，許多新的政策與宣告陸續出爐。

例如，數個月後，美國行政管理和預算局（OMB）支持EO 14028的總統行政命令，提出「聯邦零信任戰略」（Federal Zero Trust Strategy）草案；到了2022年1月，美國白宮發布消息指出，OMB提出的這項策略正式發布，將推動聯邦政府的網路安全架構，都朝向零信任方法邁進，並說明在現今的威脅環境下，要保護重要系統與資料，將無法再依賴傳統的邊界防禦作法，因此，必須作出大膽的改變，並期望在2024財年（2024年9月30日）完成初步推動。

除了零信任網路安全的議題，軟體供應鏈安全的問題也備受關住。例如，前面我們提到，在2021年8月，拜登已會見科技與學界領袖進行商討，該會中已宣布，為提高技術供應鏈的安全與完整性。美國國家標準與技術研究所（NIST）將與產業合作，共同開發新的安全框架來因應。

後續，這些業者在這場會中所承諾的資安強化、投資及人才培育，也付諸更多實際行動。

舉例來說，以科技業者在資安人才短缺面向的出力而言，微軟在2021年10月宣布，將展開4年期的資安培訓活動。

因為，經過實際分析美國資安人才短缺現象，並在調查資安職缺的門檻與需求後，他們決定整合國家資源並透過社區大學，結合公司自身的資源，提供資安人才培訓方面的協助，包括社區大學免費課程、社區大學師資培訓，以及獎學金等，期望在未來3年內，可以幫助美國填補25萬個資安職缺。

到了2022年3月，微軟再次宣布消息，要將這樣的計畫擴展到全球23個國家（可惜臺灣並未在名單之內）。事實上，還有多家科技業者都將致力於美國國家資安人才培訓。

以軟體供應鏈的資安挑戰而言，白宮於2022年1月26日舉行開源軟體高峰會議，邀請相關業者，持續商討這個獨特的安全挑戰，畢竟，近期log4j開源軟體漏洞的發現，使得上萬開源軟體Java元件受影響，連帶各業者需清查自家產品是否受影響而要修補，而此舉也再次突顯開源軟體安全性的影響。

畢竟，長久以來，開源軟體因透明度高，因此問題容易被偵測發現與解決，而顯得比較安全，有些專案確是如此，但有些專案可能較少人關注，而可能被有心人士覬覦、伺機滲透或進行非法活動。若有多家科技大廠持續合作、採取改善行動，利益的對象不只是國家層面的安全性，更有助於減低全球產業層面的資安威脅。

會後Google表示，除了先前他們的承諾，要擴大供應鏈層級的軟體物件框架（SLSA）的應用，他們並建議，要成立聯合的市場機制來維護開源，並且先要確定關鍵的開源項目；IBM在會後也表示，該場會議明確表示政府與產業能夠共同改善開源的安全實踐，可從安全標準廣泛採用著手，並針對關鍵開源資產確保應滿足最嚴格的安全要求，以及擴大開源安全方面的技能培訓和教育。

除了這些面向，有更多科技業者也表示將提升資安要求，並將在自己擅長的領域提供資安上的協助。

烏克蘭戰爭爆發，白宮呼籲民間企業即刻提升防護

最近，美國白宮更是對於當地民間企業發出資安預警。

美國總統拜登，在2022年3月21日，新發布一項國家級網路安全的聲明，當中的重點在於，不僅呼籲普遍美國民間企業加強網路防禦，同時強調，必須加快改善該國網路安全的工作。

事實上，國家級駭客組織的威脅近年持續不斷發生，但現今的局勢，促使著相關風險可能變得更劇烈。

今年2月底，由於俄羅斯軍隊攻向烏克蘭，戰事已持續一個月，在當今的混合型態戰爭之下，由於俄國在美歐實施經濟制裁後仍不退兵，這也讓美國關注其網路攻擊威脅，可能進一步向外擴張。像是針對歐洲衛星通訊衛星的攻擊行動，就是一例，也促使美國政府對相關業者發出警示。

因此，在3月這次美國白宮發布總統拜登對於國家網路安全的聲明中，一開始，就是向該國企業組織與人民喊話，告訴大家現在已是關鍵的時刻，必須加快腳步，改善網路安全，並增加國家的資安韌性。

最主要原因，是政府近期接獲新情報，顯示俄羅斯為了報復美國對其實施經濟制裁，極有可能對美發動網路攻擊。面對現今網路攻擊的威脅，拜登指出，光靠聯邦政府無法單獨抵禦各式國家網路威脅，因此呼籲民間企業與關鍵基礎設施提供者，必須強化網路防禦，對於聯邦人民所依賴的關鍵服務與技術，業者有權利、能力與責任來加強網路安全與資安韌性。

而在聲明的最後，拜登也再次呼籲，因應當今威脅，每個人都應盡到自己義務，今日的警惕與緊迫意識，將可防止或減輕明日的攻擊。

綜觀白宮的這次舉動，在在提醒該國國家網路安全的強化腳步必須加快，而且是民間企業都必須跟上，這是因為有很多關鍵基礎設施與關鍵服務，為這些企業所擁有。

在上述聲明發布之後，同日，美國負責網路和新興科技的國安顧問Anne Neuberger提出更多說明。對於俄羅斯惡意網路攻擊的威脅，她表示，在3月21日的前一週，白宮官員已預先向1百多個當地企業組織，主動提供機密簡報，而後續總統拜登的正式聲明，則是向更多企業喊話，敦促面臨風險的民間企業與合作夥伴，共同強化網路安全。

Anne Neuberger指出，在Colonial Pipeline遭勒索軟體攻擊事件後，已經不斷要求政府部門，加強網路安全，也將發現的情資提供給可能被鎖定的企業，這一年來，大家都有所進步，但要做的事情還很多，民間企業與關鍵基礎設施也是如此。

為了幫助可能被攻擊的機構做更好的準備，並且是希望所有人做出同樣的準備，她強調，每個機構人員都必須要知道這樣的資訊，持續保持警惕，把攻擊門檻提高，讓攻擊者更難入侵，並且是要有發現就要立刻通報。

至於有哪些美國基礎建設或產業可能遭鎖定？Anne Neuberger表示，目前並無法掌握具體會面對甚麼樣的網路攻擊，事實上，美國政府每天都會發現各式網路攻擊威脅，如今公布全新的情報，目的是要國內企業組織都能意識到自己的責任，以保障美國人民所依賴的關鍵機構與服務。這次並未特別指出何種類型的關鍵基礎設施，會成為目標，這是因為，所有的關鍵基礎設施都應該要加倍保護自己。

另外也重申美國的態度，並不想與俄羅斯有直接的衝突，但如果遭遇到對方攻擊，將會採取行動反擊。

國家網路安全每個層面都有應盡責任，民間企業必須要有清楚的認知

整體來看，這次白宮的警告，就是呼籲所有民間企業與關鍵基礎設施，必須加快改善國內網路安全。

而從近年一連串的動作來看，白宮的舉動已在在顯示，不只政府、產業在推動資安，企業也要跟上。

而且，這次白宮特別宣達了8個資安防護要點，雖然這些資安對策算是相當基本的內容，不是給予專業資安人員實務上的建議，但由白宮來公告，本身就別具意義。

這意味著，外界不能再說自己不知道該做什麼網路防禦工作，因為白宮已親自表明了確切的資安投入方向，包括：導入多因素驗證（MFA）、部署可持續偵測威脅與緩解的現代化資安工具，他們近年也一再強調，各種需落實的防護工作，像是：漏洞儘速更新修補及變更密碼、妥善備份資料、資安事件演練、妥善資料加密，並要培養員工資安意識，以及與當地政府及執法單位積極合作。至於進一步的細節，企業還可參考美國CISA所提供的資源，以及資安管理框架、標準與實務指引。

________________________________

因應烏克蘭戰爭爆發新態勢，白宮呼籲
各類關鍵CI業者要加倍提升資安

圖片來源／美國白宮
美國負責網路和新興科技的國安顧問Anne Neuberger表示，目前無法掌握可能面臨的攻擊樣態與產業，但重點是，所有民間企業與關鍵基礎設施業者都可能是攻擊對象，必須加倍去保護自己。

在2022年3月21日，美國總統拜登發布一項國家級網路安全的聲明，指出俄羅斯可能報復西方制裁，對美惡意網路攻擊潛在威脅提升，呼籲普遍該國民間企業與關鍵CI，應加快強化網路防禦。

現在的網路攻擊威脅有多嚴重？在同日舉行的白宮記者會上，負責美國負責網路和新興科技的國安顧問Anne Neuberger，她在接受媒體詢問時，提到幾個重點，例如，美國政府其實每天都會關注各式網路攻擊威脅，然而最近新的情報顯示，俄羅斯正探索對美發動惡意網路攻擊的各種可能，雖然，她無法說明可能遭遇的網路攻擊樣態與產業，但她想強調的觀念是，各類型的關鍵基礎設施都會成目標，必須要加倍保護自身。

而且，每個機構人員都應該要知道這樣的資訊，先做好準備，持續保持警惕，不只要讓攻擊者更難入侵滲透，並要在一旦發現跡象時，就馬上通報政府機關。

她並提到，在一周之前，白宮官員其實就與100多個當地企業組織開會，分享相關機密簡報資訊。現在，總統拜登開始提醒所有民間企業都要注意，必須知曉惡意攻擊威脅可能攀升的現況，同時白宮發布簡要的資安防護指引，呼籲所有民間企業與合作夥伴都要採取行動。

__________________________

企業即刻該做的8大資安重點

美國總統拜登於3月21日示警，指出潛在網路攻擊威脅攀升的態勢，並呼籲該國民間企業與關鍵基礎設施業者，需加快改善網路安全，為了督促不夠了解資安的企業去行動，白宮也特別彙整了緊急強化資安的8項方針。此一作法不僅引發美國民間企業的注意，全球政府與企業也在關注，或可視為推動全體企業資安防護的借鏡與參考。

□ 導入多因素驗證（MFA）
□ 部署現代化資安工具
□ 漏洞儘速更新修補及變更密碼
□ 妥善備份資料
□ 資安事件演練
□ 妥善資料加密
□ 培養員工資安意識
□ 與當地政府及執法單位積極合作

資料來源：美國白宮，iThome整理，2022年3月

________________________________

拜登政府國家網路安全4大宣示

整體來看，近一年來，美國在國內網路安全各層面均持續推動，已經從政府自身，到產業合力，並且訴諸所有民間企業。例如，從簽署EO 14028行政命令，到接見企業與教育界領袖召開資安高峰會，以及最近呼籲民間企業立即提升資安。

另外，從該國政府機關的動向來看，也是一再修法提升資安相關的要求。例如，最近美國證券交易委員會有新的提案，就是強化網路安全威脅的標準揭露程序，也將要求上市公司提交資安管理面的規畫、程序與政策等細節。

 2021年5月  拜登簽署EO 14028行政命令

圖片來源／美國白宮

在2021年5月，美國總統拜登簽署了一項行政命令（EO 14028），推動政府組織提升網路安全水準，主要目的包括：促進政府與私人機構之間的威脅情報分享，推動聯邦政府實施現代化網路安全（包含零信任架構），改善軟體供應鏈的安全性，建立網路安全審查委員會，建立回應網路安全事故的標準手冊，改進聯邦政府網路偵測網路安全意外的能力，以及增進調查與修復能力。

 2021年8月  拜登召開資安高峰會接見企業與教育界領袖

圖片來源／美國白宮

在2021年8月，美國總統拜登在白宮東廂辦公室舉行一場資安高峰會，接見該國多家科技龍頭與教育界領袖，在這場會議中，不僅宣布美國國家標準與技術研究所（NIST）將與產業合作，共同開發新框架來提高技術供應鏈的安全與完整性，而微軟、Google、蘋果、Amazon及IBM等業者也都響應政府提出的倡議，承諾將推動產品安全、供應鏈安全與資安研究，並培育資安人才。

 2022年1月  白宮發布聯邦政府零信任網路安全新戰略

在2022年1月26日，美國白宮發布公告指出，直屬美國總統管轄的行政管理和預算局（OMB）發布了M-22-09備忘錄，這將意謂著，朝向零信任網路架構的戰略正式成形。在此戰略之下，已提出轉移架構的時程規畫，並依據識別、裝置、網路、應用程式與工作流程，以及資料等5個領域，執行相關的盤點與部署工作。

 2022年3月  白宮呼籲民間企業及關鍵CI應立即提升資安

在2022年3月，美國總統拜登發表國家網路安全聲明，指出在俄羅斯對美發動惡意網路攻擊情勢升高之下，儘管政府會採取各項行動來抵禦網路威脅，但光靠政府的力量並不夠，因為很多美國人民所仰賴的關鍵設施與服務，都是民間企業所擁有，因此督促所有相關業者都要共同強化網路安全，呼籲民間企業與關鍵基礎設施需加快網路防禦的腳步，難得的是，白宮也特別公布8項緊急資安防護方針，希望所有民間企業都能立即實施。

資料來源：美國白宮，iThome整理，2022年3月