10月8日,美國(guó)行政管理和預(yù)算辦公室(Office of Management and Budget,以下簡(jiǎn)稱OMB)發(fā)布了一份主題為“通過(guò)終端監(jiān)測(cè)與響應(yīng)分析(Endpoint Detection and Response,以下簡(jiǎn)稱EDR),提升聯(lián)邦政府系統(tǒng)網(wǎng)絡(luò)安全漏洞和事件監(jiān)測(cè)能力”的備忘錄,要求聯(lián)邦各機(jī)構(gòu)與國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency,以下簡(jiǎn)稱CISA)通力合作,共同促進(jìn)網(wǎng)絡(luò)安全。
今年5月,美國(guó)總統(tǒng)拜登簽發(fā)了《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全》的第14028號(hào)行政命令,指示聯(lián)邦政府積極采用EDR技術(shù),作為從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御、確保網(wǎng)絡(luò)安全的重要措施之一。EDR融合實(shí)時(shí)連續(xù)監(jiān)測(cè)與終端數(shù)據(jù)(如工作站、手機(jī)、服務(wù)器等聯(lián)網(wǎng)計(jì)算設(shè)備)收集,具有自動(dòng)響應(yīng)和分析能力,是一種主動(dòng)的安全技術(shù)。與傳統(tǒng)安全手段相比,其能及時(shí)感知系統(tǒng)中特定用戶的異常行為,能更早發(fā)現(xiàn)安全威脅。美國(guó)政府認(rèn)為,EDR技術(shù)能提高政府網(wǎng)絡(luò)安全防護(hù)能力,有效應(yīng)對(duì)日益增長(zhǎng)的各類網(wǎng)絡(luò)威脅活動(dòng)。
備忘錄為聯(lián)邦機(jī)構(gòu)和CISA部署和改進(jìn)EDR制定了時(shí)間表和路線圖。
一是要求各聯(lián)邦機(jī)構(gòu)在90天內(nèi)向CISA提供訪問(wèn)其聯(lián)網(wǎng)設(shè)備和服務(wù)器的防御系統(tǒng)的權(quán)限,以訪問(wèn)各機(jī)構(gòu)目前的端點(diǎn)檢測(cè)和響應(yīng)部署。
二是要求CISA在90天內(nèi)開發(fā)一種持續(xù)評(píng)估機(jī)構(gòu)端點(diǎn)檢測(cè)能力有效性的方法,確保EDR方案的部署和運(yùn)行。
三是要求CISA與首席信息官理事會(huì)協(xié)調(diào)合作,在90天內(nèi)向OMB提供進(jìn)一步強(qiáng)化EDR的建議,發(fā)布技術(shù)參考標(biāo)準(zhǔn)和成熟模型,并在180天內(nèi)發(fā)布最佳EDR方案應(yīng)用手冊(cè)。
備忘錄還對(duì)各聯(lián)邦機(jī)構(gòu)執(zhí)行EDR規(guī)定了具體要求。
一是與CISA協(xié)調(diào),在120天內(nèi)分析評(píng)估現(xiàn)有EDR能力和差距。
二是確保現(xiàn)有及未來(lái)EDR方案及搜集的終端數(shù)據(jù)符合CISA技術(shù)參考標(biāo)準(zhǔn)要求。
三是與各部門首席財(cái)務(wù)官和OMB資源管理辦公室協(xié)調(diào),確保EDR方案落地的必要資源及人員支撐。
四是確保EDR方案符合隱私保護(hù)及統(tǒng)計(jì)方面的法律與政策。
一直以來(lái),美國(guó)聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)安全狀況飽受各界詬病。如在SolarWinds供應(yīng)鏈攻擊事件中,美國(guó)政府官員也承認(rèn)其在對(duì)政府終端設(shè)備監(jiān)控中存在失職。美國(guó)發(fā)布上述備忘錄,意在使用最新先進(jìn)技術(shù),提升聯(lián)邦機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全事件的早期發(fā)現(xiàn)、及時(shí)反應(yīng)和迅速補(bǔ)救的能力。
