周一,拜登总统签署了这项庞大而历史性的基础设施法案,其中包括近20亿美元用于网络安全。其中,10亿美元将分配给州、地方、部落和领土政府,而2100万美元将用于国家网络总监办公室,该办公室负责就所有与网络安全有关的事宜向总统提供建议。迄今为止,这个新设立的机构在聘请网络安全专家方面一直无法与私营部门竞争。
政府还将招聘联邦公路管理局网络协调员职位,并拨款1亿美元用于处理国土安全部认为“重大”的网络安全事件。
白宫宣布,这项法案将“使我们的社区更安全,并使我们的基础设施更能抵御气候变化和网络攻击的影响。”然而,网络专家承认,美国在俄罗斯或中国等国家面前落后了数年。
网络安全咨询公司Fortalice Solutions的首席执行官兼首席顾问Theresa Payton表示:“如果我们十几年前就这么做,那就太好了。“网络犯罪团伙、国家、独行侠,我们一直面临着这场完美风暴,而全球大流行病加速了这一切。”
以下是您需要了解的有关加强美国网络安全的最新、最全面的努力。
有希望的理由吗?
安全公司Unit 221B的首席研究官Allison Nixon仍然持怀疑态度。她说:“在过去的十年里,我们被俄罗斯和中国左右羞辱了。”
Nixon担心美国落后得太远,追赶起来需要太长时间。“这是十年的积压,是十年失控的网络犯罪,”她说。“这需要花费超过十亿美元才能扭转局面。”
她指出,这是一个积极的步骤,但需要延续到下一届总统任期。“现在这是一项艰巨的任务,我们终于同意这是一项值得做的任务,”她说,“但这 really 依赖于这个国家比现在更稳定。谁知道四年后是否还会有任何网络安全进展?”
这笔钱应该如何使用?
Fortalice Solutions的Payton说,她经常被问到需要花多少钱在网络安全上。Payton曾在2006年至2008年期间负责乔治·W·布什总统的IT运营,之后成为白宫首席信息官,她总是说这取决于项目在长期内的可持续性。
“人们会问,建造防火或防风雨的建筑需要花多少钱,因为我们谈论的是生命,人们会说,你无法给它定价,”她说,并指出网络安全也关乎人们的生命。
Payton希望看到的措施是制定一个成熟度路线图,帮助地方政府创建持续的网络维护预算。“仅仅因为你今天得到了建造桥梁的钱,并不意味着你明天就有钱来维护它,”她说。“注入资金是件好事,但它是否能可持续发展?”
对Payton来说,一个长期的计划首先要锁定机器对机器、应用程序对机器和用户对机器的访问,并为所有访问启用多因素身份验证。下一步是同行评审已在云上实现的所有安全和隐私配置。最后一步是创建冷存储数据的第三方备份,保存在离线状态,与运营断开连接,用于勒索软件攻击。她说,这些是基本要素,在完成这三件事之前,不应发生任何其他事情。
大多数美国人都遭受过至少一次网络犯罪的侵害,即使没有,他们也肯定目睹过一些可怕的事件。“当人们无法给汽车加油带孩子上学,当人们因为肉类加工厂停运而无法工作,当一家医院关闭时,这些都是一些关键基础设施的漏洞,”Payton说。“有图片,有真正的受害者,有真实的影响,而且是切实可见的。”因此,她相信这项计划将继续下去,直到未来的政府。
我们目前的网络安全为什么这么糟糕?
Oren Falkowitz,前美国国家安全局工作人员,现任Area 1 Security公司首席执行官,他说,公司在过去十年里在网络安全方面花费了大量金钱,但毫无效果。这部分是由于缺乏现代化。令人惊讶的是,许多州和地方政府没有使用托管云服务,与服务提供商合作来保持技术更新、保护和备份其敏感信息。
Falkowitz说:“如果你在2021年还在运行自己的Microsoft Exchange电子邮件服务器,你就远远落后于潮流了。 “这意味着你每天都必须做到完美,每天都必须打上最新的补丁,配置必须完全正确。”
然后是攻击发生的方式,这通常是人为错误的结果。Falkowitz说,如今至少有十分之九的网络攻击源于电子邮件钓鱼活动,对他来说,创建技术来阻止人们点击未经验证的电子邮件链接比建立运营中心或想出令人兴奋的新信息共享方式更重要。他最近参与的一项研究发现,超过一半的美国州和地方选举官员缺乏基本的网络卫生,没有能力保护自己免受钓鱼攻击,并使用个人电子邮件处理政府事务。
在他任职美国国家安全局期间,Falkowitz曾与美国网络安全和基础设施安全局局长Jen Easterly以及国家网络总监Chris Inglis共事。“他们知道如何把事情做好,他们从进攻和防守两方面都非常深刻地了解这个问题,”他说。“现在的问题是人们是否会去做。”
