E安全3月24日讯 美国国家标准技术研究院提供了一个网络安全评估框架,但拜登的供应链体系指标度量体系尚未建立成熟。
同时,美国在网络安全中另一个有据可查的问题是劳动力巨大缺口。
随着有关涉及违反SolarWinds Orion的联邦机构详细信息出现,美国高级行政官员和分析师开始将这一事件称为“供应链攻击”。在政府继续评估该违规行为范围和规模的同时,白宫现在指示各执行部门评估其各自供应链中的风险。
该行政命令要求对某些产品(例如半导体和大容量电池)进行100天的立即审查,以及对国防,卫生,运输和农业等行业进行为期一年的部门供应链审查。
所有这些行业都对网络安全有共同的需求,总统已经指出将其列为重中之重。但是,各个部门在检查供应链的网络安全风险时会发现什么?
R Street Institute的网络安全专家Kathryn Waldron表示:“最有可能发生的事情是,我们已经知道的是,这些行业都非常容易受到网络的攻击。” “对于恶意行为者而言,都是极具吸引力的目标,而且他们的网络安全性可能不如他们想像的那样好。”
分析师,前政府官员和行业代表称,白宫将发现公共和私营部门评估其网络安全状况的能力存在根本性问题,并且劳动力差距还将加剧。
“对于网络安全,我们实际上没有很多好的指标或度量体系,因此,我认为实际上确定一个行业总体上是否具有良好的网络安全态势并不是我们真正能够做到的。从国家角度、政府角度,甚至从行业的角度来看。” Waldron继续说道。
美国国家标准技术研究院为组织提供了一个网络安全评估框架,但Waldron表示,框架并非总是可靠的,因为它们可能会错误实施,并且无法理解如何适应新的威胁。
美国国家安全局前承包商,现在是BlueVoyant的高管克里斯·怀特(Chris White)表示,大多数行业都缺乏数据来确认他们有足够的网络安全控制措施来保护其供应链。
他说:“有一个比较空洞的评判标准,我们能够理解,我们知道有问题,我们知道有风险,但是我们不知道如何衡量该风险或如何降低这种风险。
怀特称,当前可用的网络安全框架没有达到标准。在许多情况下,它们旨在建立“全面,互斥,完美的要求”,无法向决定如何投资网络安全的高管进行细节解释。
但他确实赞扬NIST,建立了使从低级工程师到高级管理人员的每个人都可以理解的框架。
他说:“我们所有人都需要谱写同一首乐曲。” “我认为,在这里采取行动是需要一种解决NIST所解决的关键问题的标准,该标准可以由低技术水平的工程师普遍解释。NIST被提炼成一个非常简单的信息,其中包含五个任何地方的董事会都可以理解的概念。”
五角大楼前首席信息官,现任维克(Wickr)副总裁Blake Moore认为,另一个问题将是知名度。他描述了程序化供应链的各个层次,从开发人员开始一直创建软件到集成控制系统。
他说:“如果你沿着那条链条走回去,随着你在供应链中往下走,它会以指数形式的增长扩展到潜在的脆弱性途径。” “我认为他们将意识到整个过程的可见性需要明确,而现在我们根本不具备这种可见性。”
撇开这些评论,一位美国高级政府官员于3月12日对记者说,白宫已经计划实施一项新的政策,将某些消费类设备标记为具有足够的网络安全标准,以及对向政府销售产品的软件公司进行评级的系统设置。预计这些政策将在未来几周内通过另一项行政命令发布。
工业界是否会根据行政命令接受新法规,还是试图挑战政府颁布此类政策的权限,仍是一个悬而未决的问题。
一家使用开源数据评估组织网络安全实力的公司方面的政策和政府事务副总裁Kevin Gronberg表示,由于以下原因,执行机构可能无法在个人级别上评估其供应商大量的承包能力。
网络安全中另一个有据可查的问题是劳动力缺口。
由NIST和美国商务部支持的追踪网络安全劳动力的项目CyberSeek收集的数据发现,在2019年10月至2020年9月之间,在线职位列表中出现了约520,000个与网络安全相关的职位。相比之下,据估计,在同一时期内,全国大约有940,000人担任网络安全职位。
“不仅没有技术人员,而且没有操作和政策人员,”麦克·麦康奈尔说。麦克·麦康奈尔是乔治·H·W·布什总统下的国家安全局前局长,乔治·布什总统下的国家情报总监。
麦康奈尔说,要在全国范围内解决该问题,政府将需要资助奖学金。但是,资助愿意学习网络安全的学生并不是唯一需要解决的问题。
前联邦薪酬委员会主席罗恩•桑德斯(Ron Sanders)表示:“上世纪中叶建立的公务员制度”不会缩小劳动力差距。桑德斯现在与麦康奈尔一起担任坦帕市南佛罗里达大学佛罗里达网络安全中心的主任。
桑德斯说,传统上,网络安全等高要求领域的公共部门工作薪水比私营部门低,从而造成了公司可以通过提供更高的薪水并向政府偿还学生的奖学金资金来有效地挖潜人才的情况。
麦康奈尔说,问题的一部分在于高级官员,他们尚未完全掌握该国对数字基础设施的依赖程度以及民族国家或极端主义团体对其构成的威胁。
他说:“作为一个国家,我们尚未完全理解我们在网络安全方面的脆弱性与守护网络安全的重要性。”
声明:本文来自E安全,版权归作者所有。
<!– 多条广告如下脚本只需引入一次 –>
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/556.html
