![译文 | 美国国防工业基础网络安全战略]( "译文 | 美国国防工业基础网络安全战略")
*转载自:网络安全罗盘
随着工业4.0时代的到来,网络安全成为新工业时代的重要主题。国防工业是美国十六个关键基础设施部门之一,美国国防部发布《国防工业基础网络安全战略》(Defense Industrial Base Cybersecurity Strategy 2024)(以下简称《战略》),强调了保护国防工业基地免受恶意网络活动和攻击的重要性,并提出了一系列目标和措施。
国防部(DoD)的国防工业基础(DIB)网络安全战略是可实施的技术框架,用于维持更具弹性的联合部队和国防生态系统,该生态系统普遍用于网络空间领域,其为当今最具争议的领域之一。
美国国防工业基础对于实现国家安全目标和保持技术优势至关重要,我们必须防止其受到恶意网络活动和攻击的威胁。国防部在加强整体网络安全和网络复原力方面取得了巨大进展。事实上,支撑该战略的诸多措施已经进行了几十年以上。
DIB网络安全战略确保美国处于基础设施安全领域的前沿位置。这首先就要求国防部整体进行协调和合作,确定并弥补在保护DIB网络、供应链和其他关键资源方面的差距。通过DIB网络安全战略发现了加强DIB网络安全的机会,国防部的重点将放在系统挑战上,提供带来最高回报的解决方案。
接受数字优先、数据驱动文化,以客户为中心,敏捷性和灵活性是推动所需变革的关键。还必须继续使商业实践现代化,对技术进行适当的投资,通过吸引和留住网络人才保护投资,应对当前和未来的挑战。推进目标并致力于执行该战略,提高整体网络安全水平,保护关键国防信息。通过团队合作和正确使用资源,推进国防部保卫国家的使命。
本文将提供大语言模型对抗性攻击的分类以及在面对攻击时的大语言模型评估指标。本文还将提供全面的标准测试程序,评估被测大语言模型的能力。本文包含对普遍存在的安全隐患的测试,如数据隐私问题、模型完整性漏洞和环境不当的情况。此外,附录A将提供安全风险类别的综合汇编供参考。
图1:2024-2027财年DoD DIB网络安全战略
美国依靠国防情报局的创新、勤劳和爱国主义精神,提供保卫国家所需的必要专业知识、物资和基础设施。关键基础设施安全性和弹性是总统政策指令21(PPD-21)中确定的十六个关键基础设施部门之一,DIB是国内外各级公司或组织集合,负责国防部系统、子系统、组件或部件的研发、设计、生产、交付和维护,提供软件和其他关键服务,以此满足美国国防需求的公司或组织。国防部依靠DIB开发和生产创新和先进技术,以使发生冲突时,国防部作战人员拥有战场优势,采取行动保护美国国家安全利益,还可使国防部在竞争中拥有生产和交付所需的物资。
图2:士兵们在华盛顿州刘易斯-麦考德联合基地的史崔克(Stryker)装甲车上安装集成视觉增强系统(IVAS)CS3(Capability Set 3)硬件。
国防部依靠国防信息数据库保证私人拥有和运营的信息系统中的国防信息安全和承包商专有信息的安全。这些信息支撑着美国军方取得决定性胜利所需的创新能力。未经授权访问、泄露和窃取重要信息对美国国家和经济安全利益构成的威胁迫在眉睫。国防部认识到,DIB的全球网络代表了网络空间领域的基本优势,必须与国防部自身的网络相协调,对其进行保护和加强。
国防部依靠DIB寻求技术优势、提供关键支持和防止对敏感信息的未经授权披露,攻击者注意到了这一点。大大小小的DIB公司都面临着恶意网络活动的风险,实施者包括俄罗斯、伊朗和朝鲜等来自国外的攻击者,以及暴力极端组织和跨国犯罪组织等非国家支持的攻击者。以间谍活动或蓄意破坏为目的,或两者兼而有之,针对DIB的恶意网络活动可能导致未经授权的访问和美国政府(USG)敏感数据、专有信息和知识产权泄露,以及数据破坏、无法开展业务、拒绝服务和财产损坏等危害。
外国攻击者可在未经授权的情况下访问DIB系统和网络,这提供了收集情报、窃取商业机密和跨越几代研发的手段,还为未来针对关键基础设施漏洞、为战略通信目标操控公共信息以及其他后续网络行动提供了信息。正如国防部副部长凯瑟琳·希克斯所说,网络攻击威胁美国和全球经济所依赖的规则秩序。攻击者所属的国家利用国家力量窃取知识产权、破坏商业活动、威胁供应链环境,导致市场无法有效运作。
现今,国防部确定了DIB网络安全的角色和责任,其中最主要的是以下角色和职责:国防部副部长主要负责研究和工程(USD(R&E))、情报和安全(USD(I&S))、采办和支持(USD(A&S))、政策(USD(P)),以及国防部首席信息官(CIO)。DIB网络安全职责细分为美国国家安全局(NSA)、国防部网络犯罪中心(DC3)、国防反情报与安全局(DCSA)、美国网络司令部(USCYBERCOM)以及军事部和作战司令部的首席信息安全官和项目经理。
为鼓励DIB网络安全最佳实践,国防部采用了多管齐下的方法,建立公私合作机制,如:遵循自愿原则的国防部DIB网络安全计划。为NIST标准、框架和指导做出贡献,扩大和采用NIST标准、架构和指导,在保证DIB承包商身份信息匿名的同时,与行业协会就网络安全、培训和实施问题进行合作。《国家网络安全战略》认为,强有力的合作,特别是公共和私营部门之间的合作是确保网络空间安全的关键。国防部与DIB协调,寻求建立和改进法规、政策、要求、计划、服务、试点、利益共同体、公私合作和跨部门合作的措施,实现更安全、更具弹性的DIB。
在国家层面,国防部通过实施加强保护政府和非政府网络上的联邦信息的计划,履行《联邦信息安全现代化法案》规定的职责。程序符合第13556号行政令(EO)制定的受控非密信息(CUI)程序的要求。国防部要履行PPD-21相关的职责,PPD-21是负责提高DIB安全性和弹性的部门风险管理机构,还要执行2021年5月12日发布的第14028号行政令,该行政令要求政府机构及时更新收集和保存网络安全事件数据和在政府范围内共享的合同语言。
为了应对当前和未来的挑战,国防部发布了本篇战略文章,指导应对DIB面临的不断演变的网络威胁。根据国家基础设施保护计划和PPD-21的要求,该战略将为国防部部门特定计划(SSP)的后续更新提供信息。国防部将在与国防情报局合作解决与保护联邦信息相关的网络安全问题方面汲取的经验教训和取得的成功的基础上,扩大合作,包括所需的可用性和完整性,保证国防情报局关键供应商对国防和作战人员的持续支持。国防部始终致力于支持DIB应对当前的威胁,制定长期解决方案,使网络空间领域在未来更具防御能力和弹性。
图4:美国海军中尉James Dubyoski和海军研究生院(NPS)助理教授Tony Pollman与佛罗里达州巴拿马市海军水面作战中心合作,对可重复使用远征作战水下航行器(DREW UV)进行测试。NPS的海军创新中心将与DIB、技术部门和学术界合作,进行应用研究、分析、原型设计和实验,应对复杂的挑战。
国防部DIB网络安全战略与2022 NDS、2023年国家网络安全战略、2023年国防部网络战略、网络安全和基础设施安全局(CISA)网络安全战略计划和国防部小企业战略中提出的指导意见一致。战略支持国防部各部门和DIB承包商将NIST改善关键基础设施网络安全框架(NIST CSF)更全面地整合到DIB运营计划和网络安全责任的执行中。
-
2022 NDS确立了对美国及其盟友和伙伴的战略攻击进行综合威慑的授权,建立有弹性的联合部队和防御生态系统。战略的重点是国防生态系统的联合协作,加强国防部、国防情报局以及私营部门和学术企业的网络安全,从而创造和提高联合部队的技术优势。
-
根据《2023年国家网络安全战略》中提出的指导意见,战略采用全政府通力合作的做法,大规模打击恶意网络活动,应对能力逐渐强大的攻击者采取的破坏美国国家利益的策略,加强DIB的网络安全。
-
国防部与DIB的合作中大部分由小企业组成,协助DIB实施防御,免受日益频繁和严重的网络安全威胁。根据国防部小企业战略和综合威慑,战略将改善DIB可用网络安全资源的共享,目的是使DIB公司了解保护DIB系统并提高弹性的最佳实践。该战略还解决了提高网络安全法规、政策和要求有效性的需要。
-
根据2023年国防部网络战略,该战略的目标是满足国防部继续利用公私合作和支持快速信息共享和分析投资的要求,满足通过制定全面的方法发现、保护、探测、响应和回收关键DIB元件,确保关键武器系统和生产节点的可靠性和完整性的要求。
-
该战略与2024 NDIS的优先事项相一致,扩大小企业的资源,提高漏洞缓解能力和供应链弹性,加强对网络攻击的防御。
-
NIST CSF为战略提供信息,该战略是由NIST与利益相关者(包括私营行业)联合发布的自愿标准、指南和实践。2013年第13636号行政令《改善关键基础设施网络安全》的发布,使NISTCSF成为国防部建议公共和私营部门组织在管理和降低网络安全风险时参考的主要框架。国防部的网络安全参考体系结构包括NIST CSF、联合能力领域分类法、MITRE ATT&CK框架和MITRE D3FEND框架,对架构中应具有的功能的支持原理进行说明。国防部以身作则,采用了CSF,向DIB提供了关于适用于其他信息环境的教育机会。
-
DIB SSP将网络安全问题确定为国家面临的最紧迫的基础设施保护问题。该战略是朝着国防部DIB SSP中概述的保护网络空间和为长期成功创造条件的目标迈出的一步。
-
CISA 2024-2026财年网络安全战略计划最后概述了与国防部DIB网络安全战略一致的目标和目的。CISA的目标是推动可利用的漏洞的缓解措施,提高网络安全能力,促进网络安全投资的持续实施。
国防部的网络安全能力对国防部完成国家安全任务的成功至关重要。保护DIB承包商的信息环境免受恶意网络活动的影响的重要性并不亚于保护国防部的信息环境。通过保护DIB的敏感信息、作战能力和产品完整性,国防部将更好地实现美国作战能力的生成、可靠性和保存。
为了支持这项任务,国防部将与众多部门、项目经理和DIB协调合作,努力实现四个主要目标。支持该战略目标的诸多措施已经启动,已经成为国防部未来几十年或更长时间内确保DIB网络安全的做法之一。该战略旨在使措施的重点更加集中,加强协作和整合,最终提高国防网络安全生态系统的弹性。
通过保护敏感信息、作战能力和产品完整性,确保美国作战能力的生成、可靠性和保存。
保证DIB网络空间的安全性需要多个部门和机构进行协调合作,要求当局保持一致,实现支持目标和活动的同步。DSD于2022年2月批准更新国防部DIB网络安全的目标、要求、资源以及角色和责任。为了应对这一挑战,国防部首席信息官呼吁DIB网络安全执行指导小组(ESG)制定战略,提高DIB的网络安全水平。认识到该部有关DIB的职责分布广泛,寻求加强DIB活动的内部管理结构。
不同的跨部门利益相关者团体面临着许多相同的网络安全问题,包括提高风险意识、设计和实施改善网络安全的战略等,在DIB受到恶意网络活动影响时帮助其进行恢复。该战略旨在促进DIB网络安全方面的共同努力,加强沟通。
国防部内外的政府利益相关者必须通力合作,加强国防部的网络安全。国防部CISO主持DIB网络安全ESG,制定和协调政策和指导方案,进一步保护DIB承包商的信息环境。国防部首席信息官负责监督国防部DIB网络安全计划的实施,该计划是制定和实施国防部范围内改善DIB网络安全战略方法的关键。国防部首席信息官还与美国国防部办公室(R&E)协调工作,R&E负责监督国防部长办公室(OSD)损害评估管理办公室(DAMO)的工作,这是国防部DIB网络安全计划和DIB网络事件报告之间的纽带,这些举措与DC3同等重要。USD(P)通过国防部的任务保障结构管理风险,主持DIB政府协调委员会(GCC),召集和协调利益相关者,制定、调整、协调和促进政策和计划的实施,促进各方之间的沟通,提高DIB的安全性和恢复力。
国防部还可以履行DIB网络安全职责,促进联邦政府应对涉及DIB的网络风险、威胁或事件的更广泛措施的实施。执法/反间谍机构(LE/CI)、国土安全部(DHS)和CISA的行动需要协同进行,保护DIB网络空间域的安全。在国土安全部关键基础设施伙伴关系委员会(CIPAC)的主持下,美国国家安全局参与了持久安全框架项目,这是国防部和国防部下属的公私合作组织,旨在应对共同的网络安全挑战。利益相关者必须合作评估当前的风险环境,概述网络和信息安全以及网络和物理安全之间的关系,解决DIB部门与其他关键基础设施、关键计划和技术部门之间的相互依存关系。
虽然该战略的目的是通过遏制已经存在和新出现的威胁和漏洞保护国防部信息网络内外的DIB,但面对恶意攻击者使用的策略和工具,可能需要更强有力的应对措施。如果需要从积极的网络安全过渡到在关键基础设施或国家利益面临风险时在网络空间内执行防御,国防部需要协调此类响应,扩大跨部门和/或州、地方、部落和领土(SLTT)响应的范围。在这些情况下,响应包括国防部、其他联邦LE/CI、CISA和USCYBERCOM的协调行动。在网络空间内进行成功的防御建立在论坛的基础之上,论坛有助于协调并减少国防部与政府其他部门之间的差距。在2024-2027财年,国防部寻求成熟的跨部门合作机制,共同应对网络风险。
国防部利益相关者:国防部首席信息官负责为扩大网络威胁信息共享并向DIB提供网络安全服务的政策提供信息(例如,国防部DIB网络安全计划),制定和监督网络安全成熟度模型认证(CMMC)计划的实施,在系统或平台开发过程中对不必要的敏感信息共享行为进行限制。
图6:美国网络司令部成员在Fort的综合网络中心/联合作战中心工作
执行全面的动态网络安全计划需要法规的规定,评估和加强DIB的网络安全要求。《国防联邦采购条例补充》(DFARS)252.204–7012,“保护覆盖的国防信息和网络事件报告”;16 DFARS 252.204-7020,“NIST SP 800-171国防部评估要求”;以及DFARS 252.239–7010,“云计算服务”中的合同规定的网络安全要求是DIB网络安全生态系统的重要组部分。DFARS 25.2.204-7012要求NIST 800-171网络安全要求适用于分包商。然而,对维和部来说,较低级别的透明度仍然具有挑战性。管理DIB分包商网络安全要求细化的法规是需要不断发展和分担的责任,利用众多利益相关者寻求指导和流程,建立、维护适用于较低级别的网络安全最佳实践,使之成熟。2024-2027财年,国防部将与DIB、跨部门和国防部利益相关者合作,建立管理框架,维护分包商网络安全环境的安全性。
图7:2023年1月24日,亨利·B·冈萨雷斯会议中心举行的2023年创新产业日活动期间,政府人员、服务人员、行业、学术界和供应商在展厅内交流互动。此次对撞机活动是空军安装和任务支持中心与AFWERX的合作,为飞行员和守护者提供与工业界和学术界建立联系的机会,了解成功和失败的经验教训,帮助确定实施解决方案以满足其任务需求的途径。
保持技术优势在很大程度上取决于能否确保对美国国内以及盟友和合作伙伴的专有信息和生产能力的适当保护。保护专有信息的关键因素是鼓励DIB采用自愿的网络安全最佳实践,同时证明符合合同网络安全要求和网络安全系统的常规测试。根据不断演变的威胁情况,国防部意识到,DIB承包商需要进一步加强网络安全态势,应对高级持续性威胁(APT)。
国防部承认,专有信息或国防部数据的丢失不是技术优势的关键驱动因素,但该能力对国家安全至关重要,有必要与DIB承包商合作,加强对某些系统可用性和完整性的保护。通过迭代风险评估和缓解安全态势差距,敦促DIB承包商遵守网络安全法规,实现强大的网络安全能力。需要大量的并行活动,避免关键设施和相关项目或技术的损失或中断。国防部将与DIB合作进行差距评估,提供培训和其他资源,纳入DIB的反馈。除了分享网络安全最佳实践和快速采用不断发展的标准和指导方针外,还需要国防部、DIB、NIST以及其他政府和非联邦合作伙伴之间的持续合作。
国防部利益相关者:国防合同管理局(DCMA)DIB网络安全评估中心(DIBCAC)在执行国防部承包商网络安全风险缓解工作中发挥着重要作用。DIBCAC根据DFARS 252.204-7012和NIST SP 800-171评估国防部承包商对DFARS的遵守情况。
评估是否符合FAR 52.204-21或DFARS 252.204-7012中规定的国防部安全要求,是理解并进行投资以加强DIB承包商网络安全的重要方面。现今,国防部优先实施仅对DIB承包商合同要求的中或高NIST SP 800-171评估,验证总体符合DFARS 252.204-7012和NIST SP 800-171要求的实施情况。未来,国防部将继续通过CMMC计划采取措施,建立大规模的验证能力,对某些需求进行自我评估,利用对将接受与国防部计划相关的CUI的DIB公司的独立评估,对将接受国防部最关键和敏感的计划和技术相关的CUI公司的子集进行评估,加强国防部与工业界的合作,应对不断演变的网络威胁。CMMC和国防部高级和中级评估的结果必须公布在供应商绩效风险系统中,满足合同资格要求。
数字生态系统的演变和扩展导致的威胁数量不断增加,需要增强对关键项目或高价值资产的需求。未来的规则制定工作将通过实施NIST SP 800-172“保护受控未分类信息的增强安全要求”中定义的补充指南,扩大公司现有的信息保护要求。DFARS规定了处理、传输和存储CUI的公司的最低DIB网络安全要求,国防部还必须支持DIB做出这些要求以外的风险知情决策。
国防部还将对DIB承包商的政策和控制进行自愿的网络安全准备评估,确定其网络安全态势或推进自我评估。DC3为国防部DIB网络安全计划参与者提供持续性服务,评估网络安全准备情况。通过网络弹性分析(CRA)服务,DC3为政府评估提供便利,为自我评估提供支持。CRA项目中使用的DIB承包商数据均不共享。评估有助于DIB承包商了解如何更有效地分配资源,解决缺口问题。
国防部利益相关者:在DoD CIO职责范围内,CMMC计划将利用商业第三方评估组织大幅扩大DIB的独立评估数量,根据NIST SP 800-172要求进行新的评估,加强DIB对APT的防御。
为了支持NIST SP 800-172中的增强要求,DC3目前正在进行对抗仿真测试(AET),此为长期服务。AET是对国防部DIB网络安全计划参与者的网络和存储、处理或传输覆盖防御信息(CDI)的系统进行的一种更具侵入性的威胁知情渗透测试或评估。CRA和AET参与的数据也用于为DC3威胁和漏洞缓解信息产品提供信息,这些产品专门提供给参与国防部DIB网络安全计划的公司。
国防部利益相关者:DC3是联邦网络中心,与DIB和USG的合作伙伴提供网络威胁分析和威胁信息共享。作为DIB网络事件报告的单一焦点和数据存储库,DC3与国防部和美国政府合作伙伴维护和共享数据,为LE/CI调查和行动提供线索,从而针对对DIB构成威胁的实体进行行政、民事和刑事处罚。DC3通过所有来源的情报分析丰富了DIB报告,通过各种情报产品、报告和参与者档案传播信息,针对恶意攻击者的采取行动。DC3管理国防部国防工业基地协同信息共享环境(DCISE),该环境是国防部DIB网络安全计划的运营中心。
加强DIB资产的网络安全需要共享能力和及时的威胁信息,其中包括酌情与国际合作伙伴和盟友进行协调。国防部将执行国防部DIB网络安全计划,作为与已批准的国防承包商接触的焦点,更好地保护非保密网络,有望在不久的将来扩展到所有处理CUI的DIB承包商。国防部DIB网络安全计划是公私网络安全合作组织,用于共享非机密和机密网络威胁信息,可近乎实时地了解当前的威胁环境,支持参与者保护DIB非机密信息系统上或传输的DIB信息的能力。国防部通过DIBNet21发布警报,将具有时效性的关键信息提供给DIB。DoD CIO将监督2024财年DIBNet门户网站的重新启动,继续提高威胁信息共享能力。新系统的关键功能之一是基于应用程序编程接口的威胁信息检索。
国防部利益相关者:作为指挥者,USCYBERCOM有权与有意愿的私营部门实体达成协议,共享恶意攻击者相关的威胁信息,确定俄罗斯、朝鲜和伊朗对美国及其公民实施的系统性和持续性的攻击活动。
DC3与国防部刑事调查组织和军事部反情报组织密切合作,开发国防部框架,进行数据信息共享,从而加强网络CI调查和行动。收集、分析、传播和操作集成解决方案(CADO-IS)由利用前沿技术的物理和虚拟化传感器组成,是可扩展的网络防御解决方案,利用机器学习和深度学习技术、高级分析和规则检测发现恶意网络活动。CADO-IS将增强主要武器系统、关键防御技术和基础设施以及研究工作的网络防御能力。在完成国防部范围内的需求捕获和初始技术规划后,CADO-IS通过新的云设计确定了技术突破,向国防部CI实体实施了原始数据库的初始部署。未来的措施包括与DIB网络安全数据、USCYBERCOM运营以及其他大规模数据和能力的集成。
为了扩展当前主动和追溯分析国防部DIB网络安全计划参与者组织系统、网络和基础设施的恶意网络活动的能力,DC3会利用现有的名为“DCISE Cubed”的服务以及未来的其他工具。DCISE Cubed是防火墙日志分析功能,可利用网络威胁信息和收集的指标自动对DIB网络的连接进行评分。评分后,被识别为恶意的连接就会被标记为推荐的行动方案,其中可能包括对DIB基础设施(或网络)的阻塞。DCISE Cubed利用开源、商业和美国地质调查局的网络威胁信息源,提供影响DIB的网络活动的信息。
NSA与DIB组织合作,共享非公开的DIB威胁情报,帮助防御、检测和缓解恶意网络活动。针对DIB组织,网络安全协作中心(CCC)开辟了安全的协作渠道,DIB网络防御者可直接向分析人员提交与国家安全局共享的威胁情报相关问题和反馈,进一步提供分析信息,在需要时与更多组织进行沟通,提高认识。利用技术专长和能力并通过对国家网络威胁、恶意软件、战术、技术和程序的了解,NSA针对不断演变的网络安全威胁制定通告计划和缓解措施。
在完成任务的过程中,美国地质调查局可能会发现IT系统中的漏洞,恶意网络攻击者可能会利用这些漏洞。USD(I&S)赞助了DC3高级传感器计划,检测和应对攻击者针对DIB承包商等商业关键基础设施实体的攻击。USD(I&S)将继续与机构合作伙伴进行协调合作,制定实施DC3监测传感器的政策和程序。针对DIB承包商网络自愿实施的计划使DC3能够收集和分析传感器的收集信息,与目标实体共享威胁信息。
国防部利益相关者:USD(I&S)负责监督与DIB网络安全活动、CI和外国所有权控制或影响相关的机密威胁情报共享。USD(I&S)通过DCSA监督国家工业安全计划的政策和管理,支持DIB与机密信息有关的网络安全活动。
DC3执行程序,根据网络架构、软件和流程分析组织受到攻击者攻击的脆弱性。包括可操作的单一框架中进行的技术、过程和政策评估。DC3还进行渗透测试,包括网络映射、漏洞扫描、网络钓鱼评估和Web应用程序测试。
在DoD DIB CS计划的支持下,NSA识别DIB互联网资产,利用商业扫描服务发现网络上的漏洞或错误配置,帮助DIB客户在被攻击前发现并解决问题。
每个客户都会收到专属报告,其中包含需要修复的漏洞,报告根据漏洞的严重程度和是否被利用排定优先级。
IT中的漏洞导致美国政府、公司以及盟友和合作伙伴的专有敏感信息的安全性面临风险。为了解决这一问题,美国政府为各部门和机构制定了漏洞公平裁决政策和程序(VEP),平衡公平问题,同时就信息系统和技术中新发现和未知的漏洞的披露或限制做出决定。根据《国家安全战略》关于“围绕共同利益问题与合作伙伴共同努力”的呼吁,国防部将与机构间和州一级等盟友和合作伙伴进行协调与合作,减轻风险。
尽管采用了最强有力的网络安全态势,国防部和国防情报局也必须预测并准备在检测到疑似恶意网络活动后的恢复行动,包括LE/CI当局和国防部的能力问题。DIB承包商提交网络事件报告后,国防部内的利益相关者需采取措施,了解、评估和减轻CDI的损失。每个利益相关者群体在实施建议的缓解措施方面发挥着关键作用,确保DIB的运营持续不间断,确保联邦信息的安全性。国防部将继续提高和优化自身的能力,确保向DIB提供最广泛、最有效的支持。
国防部利益相关者:在美国国防部(R&E)内,保持技术优势理事会领导国防部在整个技术开发生命周期内平衡关键技术和使能技术的推广和保护。对恢复评估活动至关重要的是下属的OSD DAMO,它负责监督国防部(如:OSD、陆军、海军和空军)的所有网络事件危害评估活动。DAMO根据未经授权的访问和非保密DIB信息系统和网络的潜在危害,对CDI的损失进行影响评估。DAMO提供全面的操作、计划、技术和制造影响评估,向国防部利益相关者群体通报建议的缓解行动。
国防部必须持续评估DFARS 252.204–7012等网络安全法规和政策,以及计划、试点情况和网络安全服务,了解服务有效应对动态网络威胁格局的未来挑战的方式,促进DIB的积极创新。在实施更有力的合规制度的同时,国防部将积极与DIB合作,规划和执行试点,测试DIB现有的和新的网络安全能力、服务和流程的有效性。DoD CIO最近发布了国防部第8530.03号指令“网络事件响应”,指令重申了DC3对DIB网络事件报告的责任,建立了国防部网络事件报告相关的基线数据集。报告要求的一致性支持未来评估事件报告有效性的工作,将纳入国防部第5205.13号指令DIB网络安全活动的未来修订中。
国防部将与DIB合作,衡量项目、试点和服务相关的网络安全要求的有效性,为后续工作和迭代改进提供信息。例如,在OUSD(A&S)内,网络战局(CWD)将进行试点,重点确保优先武器系统的国防关键供应链的安全。USD(A&S)与国防部利益相关者和DIB承包商合作,确定当前网络安全即服务(CSaaS)产品之间的差距,通过试点提高DIB的网络安全水平。CWD还将评估DIB网络安全工作的成本效益,应对DIB小企业在网络安全措施实施方面的挑战。国防部将与DIB协调,运用从试点中吸取的经验教训,为决策和措施提供信息,在迈向网络安全成熟的过程中增强对中小企业的支持。
国防部利益相关者:在USD(A&S)内部,小企业计划办公室(OSBP)是国防部长关于小企业事务的主要顾问,协助小企业进行网络安全准备评估、威胁和漏洞信息以及适当的工具解决方案,保持网络安全能力、确保合规性。OSBP发布了项目计划,提供网络安全培训,提高网络安全意识,提供小企业的合规资源。
最近的全球和地缘政治事件突显了美国对外国和唯一来源供应商的依赖,需要更多地关注供应链脆弱性和依赖性。
在多层网络安全生态系统中与特定部门的合作伙伴密切合作,有助于制定需求目标和最佳实践,对关键系统的供应链瓶颈提供早期预警。
DIB是恶意网络活动的巨大攻击面。为了确保国防部最关键资产的持续完整性,国防部需要对最容易受到干扰的生产能力进行评估并确定优先级。NDIS优先考虑供应链弹性以及DIB能够快速大规模生产产品、服务和技术的需求。国防部需要有弹性、健康、多样化、充满活力的安全供应链,确保发展和维持对国家安全至关重要的能力。对组成DIB的数万家公司进行细分,确保是利益相关者的有限资源能够集中在最具影响力的保护活动上,这是十分重要的。要求国防部和美国地质勘探局通过构建DIB GCC继续合作,充分获取所有利益相关者的权益,准确评估关键生产能力的所有风险。DIB GCC是私营行业领导的DIB部门协调委员会的对应机构。两个委员会共同在CIPAC内工作,发现、共享威胁信息,评估和缓解漏洞,监测DIB的安全性和弹性。
图8:2022年5月10日,美国俄勒冈州波特兰,波音公司代表参观波特兰空军国民警卫队基地。波音公司代表访问了PANGB,了解该空间站相关的信息,为该公司F-15EX鹰II的推出做准备。波音公司希望在十年内将鹰II交付给PANGB。美国空军国民警卫队上士亚历山大·弗兰克拍摄的照片。
国防部不断完善多层供应链网络安全风险相关的政策。需要协调和整合组织政策和计划,针对DIB供应链网络安全相关角色和责任制定指导方针。根据PPD-21,作为DIB的SRMA,国防部长指定一名首席网络顾问作为与DIB相关的网络安全问题协调机构。这一角色领导国防部的所有DIB风险管理活动,包括将政府主导的保护工作的重点转向关键的DIB能力和供应商。
国防部利益相关者:USD(P)履行SRMA职能,担任国防连续性和任务保证办公室(DC&MA)执行的DIB的总体风险经理。DC&MA是国防部面向外部的接口,尤其是与国土安全部、国防部SCC和其他关键基础设施部门的接口。DC&MA召集和协调利益相关者,制定整个部门的战略,应对DIB面临的所有威胁。
图9:在工厂里…洛克希德马丁公司的员工在德克萨斯州沃斯堡的F-35闪电II联合攻击战斗机生产线上工作。国防合同管理局LM Fort Worth Keystone支持国防部管理联合攻击战斗机合同的重要任务。
加强与国防部的网络安全合作是国防部战略方面的优先事项。国防部必须与联邦政府协调一致,简化和评估用于日常和关键网络安全意识的通信途径。
一致的通信也有助于实际采用网络安全要求。与DIB的合作涉及的方面应包括网络安全、军事演习、与行业工作组的日常沟通、网络安全培训途径以及多个联邦机构提供的跨领域教育和宣传活动的试点项目。
鉴于DIB的多样性和规模,不同的企业可能需要或受益于不同的服务、支持和信息,如培训和教育或一系列网络安全服务。国防部将投资于进一步定义DIB的子部门,并为其量身定制计划。最终,国防部与DIB合作,努力确保DIB做好在网络空间领域安全运作的准备,而不会造成不必要的成本或负担。
利用与商业互联网、云和网络安全服务提供商的合作,提高DIB网络威胁意识
NSA CCC在多个核心技术部门保持双向合作,包括但不限于云服务提供商、端点保护、互联网服务提供商、威胁情报公司等。美国国家安全局分析师每天与行业和跨部门合作伙伴合作,检测、缓解和根除恶意网络活动。CCC一旦发现恶意网络活动,会通知受影响的实体,与其合作,共同解决。CCC还将与DIB共享信息,使其加强全球数十亿个端点,应对新出现的复杂网络威胁,使美国所有关键基础设施、盟友、行业和个人消费者产生连锁反应。
图10:照亮网络安全的未来:学生参观美国国家安全局华盛顿东校区最先进的综合网络中心/联合作战中心。
国防部寻求与DIB SCC接触,促进对聚合和匿名网络事件趋势的扩大共享和分析,提高国防部对DIB网络安全态势的理解。这些信息将用于确定改进缓解措施的方法,大大提高国防部DIB网络安全计划的有效性和DIB的网络安全态势。
为了进一步支持DIB SCC在发现DIB和国防部共同关心的问题和潜在解决方案方面的作用,国防部首席信息官将酌情邀请DIB SCC执行委员会的成员和信息/网络安全常设委员会的指定工作人员,担任国防部DIB网络安全计划顾问。为实现与恶意网络活动相关的信息共享和及时通知,DIB GCC将与DIB SCC信息/网络安全常设委员会协调,列出与DIB共享信息的障碍,提出建议以缓解敏感数据和任务的网络安全风险。
这一战略的首要任务是增强与DIB的沟通。国防部致力于向DIB承包商提供及时、相关和可操作的威胁情报,将继续通过人与人和机器与机器的交流共享信息,加深网络事件报告和漏洞管理计划之间的联系。必须通过适当的技术解决方案加强作战协作,共享信息并支持防御工作的优先顺序。通过加强与行业的联系,研究人员和国防部可以减少发现以前未知的漏洞所需的时间,以便在社区内广泛共享。
网络事件无法避免,国防部将与行业合作,针对如何增强应对恶意网络活动和恢复能力的问题进行探讨。国防部将投入资源开发网络事件场景,验证网络事件应对行动手册。DC3、DCSA、NSA和USCYBERCOM需共同积极做出贡献,任何机构都无法单独实现保卫国家的任务。国防部将继续与联邦政府的国内合作伙伴、以部门为重点的信息共享和分析中心(ISACs)以及SLTT合作,分享最佳实践和专业知识。
图11:4月4日至5日,美国军事学院代表Palo Alto Networks,股份有限公司在艾森豪威尔大厅的Crest Hall举办了2023年联合服务学院网络安全峰会(JSAC)。JSAC成立于2015年,汇集了来自行业、军事和政府的高级网络专家和领导人,讨论当今的问题,近年来网络安全领域正确和错误的措施,以及网络世界未来的发展方向。
国防部DIB网络安全计划由公私网络安全合作组织发起,有1000多家DIB公司参与了该计划,随着资格标准的修订,2024年成员人数预计将增加。计划参与者的DIBNet账户被完全激活后,他们就可以接触到计划和DC3,接收网络威胁信息,参与工作组和DIBNet论坛等计划相关的活动。
NSA协调与私营部门的合作,为DIB实体和相关服务提供商提供网络安全援助。美国国家安全局的CCC促进了情报部门和行业成员之间的威胁信息共享,确保DIB和服务提供商系统的安全。美国国家安全局还提供网络安全服务和援助,帮助DIB承包商检测系统漏洞并打击恶意网络活动。
通过国防部的公私营国防部DIB网络安全计划、美国国家安全局CCC和DC3 DCISE,国防部将以可扩展和成本效益高的方式向符合条件的DIB承包商提供CSaaS产品。这些服务包括培训和意识,以及获得商业网络安全服务,这些服务执行攻击面管理、漏洞扫描、威胁检测和阻止以及各种其他功能。
国防部将集中有关DIB网络安全政策、法规和政府/行业资源的信息,包括相关CSaaS能力、信息共享计划、资源计划、网络劳动力资格要求和培训/教育活动的目录;以及优化这些信息的可搜索性、权威性和消费者体验。国防部的各个办公室制定、维护和促进项目和服务,帮助DIB承包商加强网络安全。虽然这些服务为DIB提供了巨大的价值,但对这些资源的访问由提供这些服务的办公室管理,受到不同当局的限制。在维和部和国防部各利益攸关方办公室加强这些工作的社会化,将通过改进协调提高效率。为了确保DIB利益相关者能够获得这些资源,国防部CISO将创建并维护完整清单并对产品进行详细说明。产品将通过多种方式公开提供,包括通过DIB社区和国防部首席信息官库已经利用的基于非保密网络的功能。
DIB可用的资源之一是NIST CSF。NIST目前正计划发布CSF 2.0,将为法规与国际标准和NIST CSF的一致性提供技术援助。国防部可分享DIB特定部门的专业知识,为协调政策做出贡献,促进网络安全利益。
实现本战略中规定的目标需要国防部所有实体根据NDS、国家网络安全战略和国防部网络战略进行协调。国防部在教育、衡量和推动与DIB网络安全相关的所有事项的改进方面发挥着关键作用。保护关键的国防信息和保持竞争优势需要国防部投资于加强DIB网络安全的措施,同时认识到与阻碍竞争的繁重合规成本相关的风险。国防部DIB网络安全战略的成功实施需要国防部及其以外的部门的参与,树立网络弹性的榜样。
国防部必须站在企业的角度实现上述目标,与政府的整体计划步调一致,更好地保护网络空间的安全。虽然这是一项艰巨的任务,但国防部会从多个方面推动进展。自2008年以来,国防部首席信息官的自愿国防部DIB网络安全计划与已清理的行业共享网络威胁信息,包括缓解策略和威胁指标,帮助行业和政府更好地了解网络威胁并防止攻击。自2013年发布DFARS 252.204-7012以来,国防部要求国防承包商通过制定基线网络安全要求和网络事件报告要求保护国防敏感信息。2019年,OSBP启动了频谱项目,随后美国国家安全局启动了CCC,发现与国防部互动的公司的网络能力差异很大,集中资源与同级别的公司会面。
支持综合威慑的国家优先事项,为应对危机和冲突事件做好准备,同时在全方位的网络行动中展开竞争。建立战略伙伴关系,使美国系统和网络能够防御国防部和国防情报局之外的系统和网络。国防部将继续寻求NSA、DC3和USCYBERCOM的技术专业知识,了解趋势并影响政策,从而不断提高安全性和复原力。在过去的几年里,DIB承包商一直在努力提高网络弹性,遵守现有的安全要求,更好地了解不断演变的威胁。这代表着网络威胁意识的巨大转变,以及对致力于保护非机密DIB网络的DIB资源的重视。
该战略为国防部制定了愿景,以与国防部合作的方式进一步协调和执行资源,从而改变我国最关键的国防供应商和生产商的网络安全。攻击者不会满足于只寻求有关美国能力的信息,寻找先进技术的捷径,以及对抗、杀伤或克隆我们的作战能力。国防部必须与DIB协调一致,保持防御攻击的能力,在保护国家网络安全的同时通过团队合作取得成功。
发布机构:美国国防部下属出版前和安全审查办公室
发布日期:2024年3月
来源:网络安全罗盘 编译:小蜜蜂翻译组
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3001376.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论