全文共8557字,阅读大约需15分钟。
推荐阅读:国防工业基础网络安全战略(上)
目标2.1:评估DIB是否符合国防部的网络安全要求
国防部利益相关者:国防合同管理局(DCMA)DIB网络安全评估中心(DIBCAC)在执行国防部承包商网络安全风险缓解工作中发挥着重要作用。DIBCAC根据DFARS 252.204-7012和NIST SP 800-171评估国防部承包商对DFARS的遵守情况。
评估是否符合FAR 52.204-21或DFARS 252.204-7012中规定的国防部安全要求,是理解并进行投资以加强DIB承包商网络安全的重要方面。现今,国防部优先实施仅对DIB承包商合同要求的中或高NIST SP 800-171评估,验证总体符合DFARS 252.204-7012和NIST SP 800-171要求的实施情况。未来,国防部将继续通过CMMC计划采取措施,建立大规模的验证能力,对某些需求进行自我评估,利用对将接受与国防部计划相关的CUI的DIB公司的独立评估,对将接受国防部最关键和敏感的计划和技术相关的CUI公司的子集进行评估,加强国防部与工业界的合作,应对不断演变的网络威胁。CMMC和国防部高级和中级评估的结果必须公布在供应商绩效风险系统中,满足合同资格要求。
数字生态系统的演变和扩展导致的威胁数量不断增加,需要增强对关键项目或高价值资产的需求。未来的规则制定工作将通过实施NIST SP 800-172“保护受控未分类信息的增强安全要求”中定义的补充指南,扩大公司现有的信息保护要求。DFARS规定了处理、传输和存储CUI的公司的最低DIB网络安全要求,国防部还必须支持DIB做出这些要求以外的风险知情决策。
国防部还将对DIB承包商的政策和控制进行自愿的网络安全准备评估,确定其网络安全态势或推进自我评估。DC3为国防部DIB网络安全计划参与者提供持续性服务,评估网络安全准备情况。通过网络弹性分析(CRA)服务,DC3为政府评估提供便利,为自我评估提供支持。CRA项目中使用的DIB承包商数据均不共享。评估有助于DIB承包商了解如何更有效地分配资源,解决缺口问题。
国防部利益相关者:在DoD CIO职责范围内,CMMC计划将利用商业第三方评估组织大幅扩大DIB的独立评估数量,根据NIST SP 800-172要求进行新的评估,加强DIB对APT的防御。
为了支持NIST SP 800-172中的增强要求,DC3目前正在进行对抗仿真测试(AET),此为长期服务。AET是对国防部DIB网络安全计划参与者的网络和存储、处理或传输覆盖防御信息(CDI)的系统进行的一种更具侵入性的威胁知情渗透测试或评估。CRA和AET参与的数据也用于为DC3威胁和漏洞缓解信息产品提供信息,这些产品专门提供给参与国防部DIB网络安全计划的公司。
国防部利益相关者:DC3是联邦网络中心,与DIB和USG的合作伙伴提供网络威胁分析和威胁信息共享。作为DIB网络事件报告的单一焦点和数据存储库,DC3与国防部和美国政府合作伙伴维护和共享数据,为LE/CI调查和行动提供线索,从而针对对DIB构成威胁的实体进行行政、民事和刑事处罚。DC3通过所有来源的情报分析丰富了DIB报告,通过各种情报产品、报告和参与者档案传播信息,针对恶意攻击者的采取行动。DC3管理国防部国防工业基地协同信息共享环境(DCISE),该环境是国防部DIB网络安全计划的运营中心。
目标2.2:加强DIB威胁、漏洞和网络相关情报的共享
加强DIB资产的网络安全需要共享能力和及时的威胁信息,其中包括酌情与国际合作伙伴和盟友进行协调。国防部将执行国防部DIB网络安全计划,作为与已批准的国防承包商接触的焦点,更好地保护非保密网络,有望在不久的将来扩展到所有处理CUI的DIB承包商。国防部DIB网络安全计划是公私网络安全合作组织,用于共享非机密和机密网络威胁信息,可近乎实时地了解当前的威胁环境,支持参与者保护DIB非机密信息系统上或传输的DIB信息的能力。国防部通过DIBNet21发布警报,将具有时效性的关键信息提供给DIB。DoD CIO将监督2024财年DIBNet门户网站的重新启动,继续提高威胁信息共享能力。新系统的关键功能之一是基于应用程序编程接口的威胁信息检索。
国防部利益相关者:作为指挥者,USCYBERCOM有权与有意愿的私营部门实体达成协议,共享恶意攻击者相关的威胁信息,确定俄罗斯、朝鲜和伊朗对美国及其公民实施的系统性和持续性的攻击活动。
DC3与国防部刑事调查组织和军事部反情报组织密切合作,开发国防部框架,进行数据信息共享,从而加强网络CI调查和行动。收集、分析、传播和操作集成解决方案(CADO-IS)由利用前沿技术的物理和虚拟化传感器组成,是可扩展的网络防御解决方案,利用机器学习和深度学习技术、高级分析和规则检测发现恶意网络活动。CADO-IS将增强主要武器系统、关键防御技术和基础设施以及研究工作的网络防御能力。在完成国防部范围内的需求捕获和初始技术规划后,CADO-IS通过新的云设计确定了技术突破,向国防部CI实体实施了原始数据库的初始部署。未来的措施包括与DIB网络安全数据、USCYBERCOM运营以及其他大规模数据和能力的集成。
为了扩展当前主动和追溯分析国防部DIB网络安全计划参与者组织系统、网络和基础设施的恶意网络活动的能力,DC3会利用现有的名为“DCISE Cubed”的服务以及未来的其他工具。DCISE Cubed是防火墙日志分析功能,可利用网络威胁信息和收集的指标自动对DIB网络的连接进行评分。评分后,被识别为恶意的连接就会被标记为推荐的行动方案,其中可能包括对DIB基础设施(或网络)的阻塞。DCISE Cubed利用开源、商业和美国地质调查局的网络威胁信息源,提供影响DIB的网络活动的信息。
NSA与DIB组织合作,共享非公开的DIB威胁情报,帮助防御、检测和缓解恶意网络活动。针对DIB组织,网络安全协作中心(CCC)开辟了安全的协作渠道,DIB网络防御者可直接向分析人员提交与国家安全局共享的威胁情报相关问题和反馈,进一步提供分析信息,在需要时与更多组织进行沟通,提高认识。利用技术专长和能力并通过对国家网络威胁、恶意软件、战术、技术和程序的了解,NSA针对不断演变的网络安全威胁制定通告计划和缓解措施。
目标2.3:发现DIB信息技术网络安全生态系统中的漏洞
在完成任务的过程中,美国地质调查局可能会发现IT系统中的漏洞,恶意网络攻击者可能会利用这些漏洞。USD(I&S)赞助了DC3高级传感器计划,检测和应对攻击者针对DIB承包商等商业关键基础设施实体的攻击。USD(I&S)将继续与机构合作伙伴进行协调合作,制定实施DC3监测传感器的政策和程序。针对DIB承包商网络自愿实施的计划使DC3能够收集和分析传感器的收集信息,与目标实体共享威胁信息。
国防部利益相关者:USD(I&S)负责监督与DIB网络安全活动、CI和外国所有权控制或影响相关的机密威胁情报共享。USD(I&S)通过DCSA监督国家工业安全计划的政策和管理,支持DIB与机密信息有关的网络安全活动。
DC3执行程序,根据网络架构、软件和流程分析组织受到攻击者攻击的脆弱性。包括可操作的单一框架中进行的技术、过程和政策评估。DC3还进行渗透测试,包括网络映射、漏洞扫描、网络钓鱼评估和Web应用程序测试。
在DoD DIB CS计划的支持下,NSA识别DIB互联网资产,利用商业扫描服务发现网络上的漏洞或错误配置,帮助DIB客户在被攻击前发现并解决问题。
每个客户都会收到专属报告,其中包含需要修复的漏洞,报告根据漏洞的严重程度和是否被利用排定优先级。
IT中的漏洞导致美国政府、公司以及盟友和合作伙伴的专有敏感信息的安全性面临风险。为了解决这一问题,美国政府为各部门和机构制定了漏洞公平裁决政策和程序(VEP),平衡公平问题,同时就信息系统和技术中新发现和未知的漏洞的披露或限制做出决定。根据《国家安全战略》关于“围绕共同利益问题与合作伙伴共同努力”的呼吁,国防部将与机构间和州一级等盟友和合作伙伴进行协调与合作,减轻风险。
目标2.4:受到恶意网络攻击后进行恢复
尽管采用了最强有力的网络安全态势,国防部和国防情报局也必须预测并准备在检测到疑似恶意网络活动后的恢复行动,包括LE/CI当局和国防部的能力问题。DIB承包商提交网络事件报告后,国防部内的利益相关者需采取措施,了解、评估和减轻CDI的损失。每个利益相关者群体在实施建议的缓解措施方面发挥着关键作用,确保DIB的运营持续不间断,确保联邦信息的安全性。国防部将继续提高和优化自身的能力,确保向DIB提供最广泛、最有效的支持。
国防部利益相关者:在美国国防部(R&E)内,保持技术优势理事会领导国防部在整个技术开发生命周期内平衡关键技术和使能技术的推广和保护。对恢复评估活动至关重要的是下属的OSD DAMO,它负责监督国防部(如:OSD、陆军、海军和空军)的所有网络事件危害评估活动。DAMO根据未经授权的访问和非保密DIB信息系统和网络的潜在危害,对CDI的损失进行影响评估。DAMO提供全面的操作、计划、技术和制造影响评估,向国防部利益相关者群体通报建议的缓解行动。
目标2.5:评估网络安全法规、政策和要求的有效性
国防部必须持续评估DFARS 252.204–7012等网络安全法规和政策,以及计划、试点情况和网络安全服务,了解服务有效应对动态网络威胁格局的未来挑战的方式,促进DIB的积极创新。在实施更有力的合规制度的同时,国防部将积极与DIB合作,规划和执行试点,测试DIB现有的和新的网络安全能力、服务和流程的有效性。DoD CIO最近发布了国防部第8530.03号指令“网络事件响应”,指令重申了DC3对DIB网络事件报告的责任,建立了国防部网络事件报告相关的基线数据集。报告要求的一致性支持未来评估事件报告有效性的工作,将纳入国防部第5205.13号指令DIB网络安全活动的未来修订中。
国防部将与DIB合作,衡量项目、试点和服务相关的网络安全要求的有效性,为后续工作和迭代改进提供信息。例如,在OUSD(A&S)内,网络战局(CWD)将进行试点,重点确保优先武器系统的国防关键供应链的安全。USD(A&S)与国防部利益相关者和DIB承包商合作,确定当前网络安全即服务(CSaaS)产品之间的差距,通过试点提高DIB的网络安全水平。CWD还将评估DIB网络安全工作的成本效益,应对DIB小企业在网络安全措施实施方面的挑战。国防部将与DIB协调,运用从试点中吸取的经验教训,为决策和措施提供信息,在迈向网络安全成熟的过程中增强对中小企业的支持。
国防部利益相关者:在USD(A&S)内部,小企业计划办公室(OSBP)是国防部长关于小企业事务的主要顾问,协助小企业进行网络安全准备评估、威胁和漏洞信息以及适当的工具解决方案,保持网络安全能力、确保合规性。OSBP发布了项目计划,提供网络安全培训,提高网络安全意识,提供小企业的合规资源。
目标3:在网络竞争环境中保持关键DIB能力的弹性
最近的全球和地缘政治事件突显了美国对外国和唯一来源供应商的依赖,需要更多地关注供应链脆弱性和依赖性。
在多层网络安全生态系统中与特定部门的合作伙伴密切合作,有助于制定需求目标和最佳实践,对关键系统的供应链瓶颈提供早期预警。
目标3.1:优先考虑关键DIB生产能力的网络弹性
DIB是恶意网络活动的巨大攻击面。为了确保国防部最关键资产的持续完整性,国防部需要对最容易受到干扰的生产能力进行评估并确定优先级。NDIS优先考虑供应链弹性以及DIB能够快速大规模生产产品、服务和技术的需求。国防部需要有弹性、健康、多样化、充满活力的安全供应链,确保发展和维持对国家安全至关重要的能力。对组成DIB的数万家公司进行细分,确保是利益相关者的有限资源能够集中在最具影响力的保护活动上,这是十分重要的。要求国防部和美国地质勘探局通过构建DIB GCC继续合作,充分获取所有利益相关者的权益,准确评估关键生产能力的所有风险。DIB GCC是私营行业领导的DIB部门协调委员会的对应机构。两个委员会共同在CIPAC内工作,发现、共享威胁信息,评估和缓解漏洞,监测DIB的安全性和弹性。
图8 2022年5月10日,美国俄勒冈州波特兰,波音公司代表参观波特兰空军国民警卫队基地。波音公司代表访问了PANGB,了解该空间站相关的信息,为该公司F-15EX鹰II的推出做准备。波音公司希望在十年内将鹰II交付给PANGB。美国空军国民警卫队上士亚历山大·弗兰克拍摄的照片。
目标3.2:通过政策确定关键供应商和设施网络安全的优先事项
国防部不断完善多层供应链网络安全风险相关的政策。需要协调和整合组织政策和计划,针对DIB供应链网络安全相关角色和责任制定指导方针。根据PPD-21,作为DIB的SRMA,国防部长指定一名首席网络顾问作为与DIB相关的网络安全问题协调机构。这一角色领导国防部的所有DIB风险管理活动,包括将政府主导的保护工作的重点转向关键的DIB能力和供应商。
国防部利益相关者:USD(P)履行SRMA职能,担任国防连续性和任务保证办公室(DC&MA)执行的DIB的总体风险经理。DC&MA是国防部面向外部的接口,尤其是与国土安全部、国防部SCC和其他关键基础设施部门的接口。DC&MA召集和协调利益相关者,制定整个部门的战略,应对DIB面临的所有威胁。
图9 在工厂里…洛克希德马丁公司的员工在德克萨斯州沃斯堡的F-35闪电II联合攻击战斗机生产线上工作。国防合同管理局LM Fort Worth Keystone支持国防部管理联合攻击战斗机合同的重要任务。
目标4:增强与DIB的网络安全合作
加强与国防部的网络安全合作是国防部战略方面的优先事项。国防部必须与联邦政府协调一致,简化和评估用于日常和关键网络安全意识的通信途径。
一致的通信也有助于实际采用网络安全要求。与DIB的合作涉及的方面应包括网络安全、军事演习、与行业工作组的日常沟通、网络安全培训途径以及多个联邦机构提供的跨领域教育和宣传活动的试点项目。
鉴于DIB的多样性和规模,不同的企业可能需要或受益于不同的服务、支持和信息,如培训和教育或一系列网络安全服务。国防部将投资于进一步定义DIB的子部门,并为其量身定制计划。最终,国防部与DIB合作,努力确保DIB做好在网络空间领域安全运作的准备,而不会造成不必要的成本或负担。
目标4.1:利用与商业互联网、云和网络安全服务提供商的合作,提高DIB网络威胁意识
NSA CCC在多个核心技术部门保持双向合作,包括但不限于云服务提供商、端点保护、互联网服务提供商、威胁情报公司等。美国国家安全局分析师每天与行业和跨部门合作伙伴合作,检测、缓解和根除恶意网络活动。CCC一旦发现恶意网络活动,会通知受影响的实体,与其合作,共同解决。CCC还将与DIB共享信息,使其加强全球数十亿个端点,应对新出现的复杂网络威胁,使美国所有关键基础设施、盟友、行业和个人消费者产生连锁反应。
图10 照亮网络安全的未来:学生参观美国国家安全局华盛顿东校区最先进的综合网络中心/联合作战中心。
目标4.2:与DIB SCC合作,增强与DIB的沟通与协作
国防部寻求与DIB SCC接触,促进对聚合和匿名网络事件趋势的扩大共享和分析,提高国防部对DIB网络安全态势的理解。这些信息将用于确定改进缓解措施的方法,大大提高国防部DIB网络安全计划的有效性和DIB的网络安全态势。
为了进一步支持DIB SCC在发现DIB和国防部共同关心的问题和潜在解决方案方面的作用,国防部首席信息官将酌情邀请DIB SCC执行委员会的成员和信息/网络安全常设委员会的指定工作人员,担任国防部DIB网络安全计划顾问。为实现与恶意网络活动相关的信息共享和及时通知,DIB GCC将与DIB SCC信息/网络安全常设委员会协调,列出与DIB共享信息的障碍,提出建议以缓解敏感数据和任务的网络安全风险。
目标4.3:增强与DIB的双向沟通,扩大公私网络安全合作
这一战略的首要任务是增强与DIB的沟通。国防部致力于向DIB承包商提供及时、相关和可操作的威胁情报,将继续通过人与人和机器与机器的交流共享信息,加深网络事件报告和漏洞管理计划之间的联系。必须通过适当的技术解决方案加强作战协作,共享信息并支持防御工作的优先顺序。通过加强与行业的联系,研究人员和国防部可以减少发现以前未知的漏洞所需的时间,以便在社区内广泛共享。
网络事件无法避免,国防部将与行业合作,针对如何增强应对恶意网络活动和恢复能力的问题进行探讨。国防部将投入资源开发网络事件场景,验证网络事件应对行动手册。DC3、DCSA、NSA和USCYBERCOM需共同积极做出贡献,任何机构都无法单独实现保卫国家的任务。国防部将继续与联邦政府的国内合作伙伴、以部门为重点的信息共享和分析中心(ISACs)以及SLTT合作,分享最佳实践和专业知识。
图11 4月4日至5日,美国军事学院代表Palo Alto Networks,股份有限公司在艾森豪威尔大厅的Crest Hall举办了2023年联合服务学院网络安全峰会(JSAC)。JSAC成立于2015年,汇集了来自行业、军事和政府的高级网络专家和领导人,讨论当今的问题,近年来网络安全领域正确和错误的措施,以及网络世界未来的发展方向。
国防部DIB网络安全计划由公私网络安全合作组织发起,有1000多家DIB公司参与了该计划,随着资格标准的修订,2024年成员人数预计将增加。计划参与者的DIBNet账户被完全激活后,他们就可以接触到计划和DC3,接收网络威胁信息,参与工作组和DIBNet论坛等计划相关的活动。
NSA协调与私营部门的合作,为DIB实体和相关服务提供商提供网络安全援助。美国国家安全局的CCC促进了情报部门和行业成员之间的威胁信息共享,确保DIB和服务提供商系统的安全。美国国家安全局还提供网络安全服务和援助,帮助DIB承包商检测系统漏洞并打击恶意网络活动。
通过国防部的公私营国防部DIB网络安全计划、美国国家安全局CCC和DC3 DCISE,国防部将以可扩展和成本效益高的方式向符合条件的DIB承包商提供CSaaS产品。这些服务包括培训和意识,以及获得商业网络安全服务,这些服务执行攻击面管理、漏洞扫描、威胁检测和阻止以及各种其他功能。
国防部将集中有关DIB网络安全政策、法规和政府/行业资源的信息,包括相关CSaaS能力、信息共享计划、资源计划、网络劳动力资格要求和培训/教育活动的目录;以及优化这些信息的可搜索性、权威性和消费者体验。国防部的各个办公室制定、维护和促进项目和服务,帮助DIB承包商加强网络安全。虽然这些服务为DIB提供了巨大的价值,但对这些资源的访问由提供这些服务的办公室管理,受到不同当局的限制。在维和部和国防部各利益攸关方办公室加强这些工作的社会化,将通过改进协调提高效率。为了确保DIB利益相关者能够获得这些资源,国防部CISO将创建并维护完整清单并对产品进行详细说明。产品将通过多种方式公开提供,包括通过DIB社区和国防部首席信息官库已经利用的基于非保密网络的功能。
DIB可用的资源之一是NIST CSF。NIST目前正计划发布CSF 2.0,将为法规与国际标准和NIST CSF的一致性提供技术援助。国防部可分享DIB特定部门的专业知识,为协调政策做出贡献,促进网络安全利益。
图12 NIST网络安全框架2.0核心
实现本战略中规定的目标需要国防部所有实体根据NDS、国家网络安全战略和国防部网络战略进行协调。国防部在教育、衡量和推动与DIB网络安全相关的所有事项的改进方面发挥着关键作用。保护关键的国防信息和保持竞争优势需要国防部投资于加强DIB网络安全的措施,同时认识到与阻碍竞争的繁重合规成本相关的风险。国防部DIB网络安全战略的成功实施需要国防部及其以外的部门的参与,树立网络弹性的榜样。
国防部必须站在企业的角度实现上述目标,与政府的整体计划步调一致,更好地保护网络空间的安全。虽然这是一项艰巨的任务,但国防部会从多个方面推动进展。自2008年以来,国防部首席信息官的自愿国防部DIB网络安全计划与已清理的行业共享网络威胁信息,包括缓解策略和威胁指标,帮助行业和政府更好地了解网络威胁并防止攻击。自2013年发布DFARS 252.204-7012以来,国防部要求国防承包商通过制定基线网络安全要求和网络事件报告要求保护国防敏感信息。2019年,OSBP启动了频谱项目,随后美国国家安全局启动了CCC,发现与国防部互动的公司的网络能力差异很大,集中资源与同级别的公司会面。
支持综合威慑的国家优先事项,为应对危机和冲突事件做好准备,同时在全方位的网络行动中展开竞争。建立战略伙伴关系,使美国系统和网络能够防御国防部和国防情报局之外的系统和网络。国防部将继续寻求NSA、DC3和USCYBERCOM的技术专业知识,了解趋势并影响政策,从而不断提高安全性和复原力。在过去的几年里,DIB承包商一直在努力提高网络弹性,遵守现有的安全要求,更好地了解不断演变的威胁。这代表着网络威胁意识的巨大转变,以及对致力于保护非机密DIB网络的DIB资源的重视。
该战略为国防部制定了愿景,以与国防部合作的方式进一步协调和执行资源,从而改变我国最关键的国防供应商和生产商的网络安全。攻击者不会满足于只寻求有关美国能力的信息,寻找先进技术的捷径,以及对抗、杀伤或克隆我们的作战能力。国防部必须与DIB协调一致,保持防御攻击的能力,在保护国家网络安全的同时通过团队合作取得成功。
附录:缩略语及含义
· 免责声明 ·
该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的,为业内人士提供参考,促进思考与交流,不作任何商用。如有侵权事宜沟通,请联系[email protected]邮箱。
· 文章信息 ·
发布机构:美国国防部下属出版前和安全审查办公室
发布日期:2024年3月
原文链接:https://dodcio.defense.gov/Portals/0/Documents/Library/DIB-CS-Strategy.pdf
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。
原文始发于微信公众号(绿盟科技研究通讯):【公益译文】国防工业基础网络安全战略(下)