前言:新的联邦网络安全规则将为关键基础设施部门(化工、制造、医疗保健、国防合同、能源、金融、核能或运输领域的组织)设定向网络安全和基础设施安全局(CISA)报告勒索软件付款和网络攻击的时间表。
《网络事件报告法》已经于3月15日签署成为法律,是一项联邦立法,旨在增强预防和更快速地应对网络安全攻击的能力。
当拜登总统签署两党网络事件报告法案时,该法案要求联邦政府确定的16个行业部门的关键基础设施公司在72小时内向网络安全和基础设施安全局(CISA)报告,如果他们遇到网络攻击,要在支付勒索软件后24小时内报告。
它是“美国加强网络安全法案”的三个部分之一,旨在加强关键基础设施和联邦政府的网络安全。
东欧局势加剧了对这种行为的需求,因为网络战已被证明是俄罗斯民族国家的关键和有效的攻击策略。
“美国加强网络安全法”将更新当前的联邦政府网络安全法律,以改善联邦机构之间的协调,确保政府采取基于风险的网络安全方法,并要求所有民事机构向CISA报告所有网络攻击。
总体而言,该法案表明人们越来越认识到需要制定更好的政策来防止更大规模的攻击,并强调了美国政府对组织内部网络安全工作的影响。
但是,要真正了解该法案潜在影响的严重程度,我们必须首先深入了解当前的威胁环境,同时承认立法的好处和局限性。让我们一起探索一下。
网络威胁没有放缓
最近针对乌克兰的网络威胁表明需要加强保护措施,同时也表明了网络安全攻击对整个国家的大规模后果。例如,由于大规模分布式拒绝服务(DDoS)攻击,一些乌克兰政府和银行网站最近都处于离线状态。
在这些攻击发生后不久,在数百台计算机上发现了针对乌克兰组织的新“雨刷”恶意软件。这些安全事件被怀疑是由俄罗斯网络犯罪分子实施的,创造了一个新的数字战争环境,使组织风靡一时。
对俄罗斯实施制裁的国家的一个担忧是网络攻击报复的可能性。除了东欧地缘政治紧张局势不断升级之外,安全团队继续面临大量的勒索软件尝试,恶意行为者不仅来自俄罗斯,而且来自世界各地。事实上,大约37%的全球组织表示他们是2021年勒索软件攻击的受害者,预计这一数字今年只会增加。
通过“美国加强网络安全法”,为公共和私营部门组织创建了一个新的基础,使他们能够针对民族国家行为者建立更大规模的防御,同时更好地加强对他们每天应对的持续网络威胁的保护。
关于信息共享和勒索软件报告
在审查了全面的立法后,印象深刻的一个方面是呼吁“实时攻击数据的快速集中聚合和传播”。通过该法案,政府和整个安全社区公开认识到,实时攻击数据的速度,收集和共享对于正确保护私有和公共网络至关重要,特别是随着勒索软件组织攻击方法的成熟及频繁。还有什么比确保正确的人在正确的时间获得正确的信息更重要的?特别是当这种类型的信息共享可能是防止下一次网络攻击的关键时?
立法的另一个值得注意的方面是勒索软件攻击报告的过程。拥有适当的报告工具和系统至关重要。《网络事件报告法》是更大立法中的一项法案,它将确保及时报告所有关键基础设施攻击。传统上,这些类型的事件没有被报告或被低估了;通过这些新的报告协议,安全团队可以更好地衡量他们自己的组织和整个社会可能面临的攻击的规模和范围。
优点很明显,但也要认识其局限性
虽然该法案带来了巨大的好处,但承认立法中存在一些潜在的局限性也很重要。例如,虽然提高透明度对于帮助防止破坏性攻击至关重要,但许多安全团队可能会对如此公开地报告攻击犹豫不决。增加攻击报告可能会导致公司面临诉讼,随着攻击的公开,这可能会引发重大的声誉和财务损失。
为了消除一些这种担忧,组织可以考虑增加对网络保险的投资。虽然曾经是一个相当新的概念,但网络保险市场正在呈指数级增长,预计到2025年将成为一个价值200亿美元的行业。在董事会中,首席财务官应该在规划和预算会议期间优先考虑有关网络保险的对话。毕竟,如果一个组织不积极主动,而是采取落后的网络安全方法,他们就会让公司面临遭受攻击和损失公司资金的风险。
此外,只有当所有适用方都努力确保所收集信息的质量和及时性以及相应的报告程序得到认真对待并妥善完成时,该法案才会有效。这不是一个一次性的过程;数据共享和事件报告必须持续进行。新立法的成功取决于其所覆盖的公共和私营部门内安全团队的合作程度。简而言之,宽松的方法将等同于无效的法案。
《美国加强网络安全法》的通过是公共部门的真正承认网络攻击的频率和严重性不能不加以解决。公共和私人组织都有责任在这些事件发生时坚持其原则——无论攻击的规模如何。总体而言,公共部门应继续优先考虑与安全有关的立法,私营部门必须遵守向它们提供的准则。双方集中努力是保护国家最敏感资产的最佳方式。
(本文出自SCA安全通信联盟,转载请注明出处。)