使拜登的行政命令产生影响所需的网络安全指标

长期以来,私营和公共部门都没有足够重视网络安全工作,只是本着“善意”的方式行事——改善网络安全的努力不够。近日,拜登总统发布了 关于改善国家网络安全的行政命令,为跨部门的网络安全制定政府标准和最佳实践,很高兴看到对自动化的关注。

网络安全态势指标

虽然 EO 本身是从公共部门经过深思熟虑和全面的,但它对私营部门的要求含糊不清,未能提供保护国家网络安全的结构。显然缺少的一件事是围绕 硬指标.

为了对我们国家的网络安全态势做出有意义的改变,联邦政府必须为报告和基准制定简洁和可量化的指标。我们必须投资于基础设施改革,更换几十年前过时且无法跟上不断增长的攻击面的安全工具,并且除了零信任供应链之外,还要使自动化成为所有网络安全计划的标准。

为报告和基准测试创建简洁的指标

在网络安全方面,只有两个最重要的指标可以显示您组织的网络安全态势的活力。首先是以美元为单位了解组织的网络风险。为了量化他们的风险,组织必须首先知道他们拥有哪些资产以及他们的漏洞是什么,因为网络安全的基本规则是你无法保护你看不到的东西。然后,组织必须通过衡量每项资产的价值及其被破坏的可能性,以货币形式计算其风险。然后,他们可以寻求将风险降低到可接受的值。

第二个是平均响应时间 (MTTR),这是您的组织识别安全事件或漏洞并采取措施隔离或减轻威胁所需的时间。 MTTR 对许多组织来说是一个挑战,因为除了每天尝试管理数百甚至数千个通知和警报之外,他们通常缺乏对每个网络资产的可见性。

如果没有量化网络风险和 MTTR 的基准标准,组织往往会夸大其绩效,让自己容易受到网络攻击——我们将继续看到网络攻击瘫痪 关键基础设施、食品供应和我们的经济。我们不能让公司在安全态势的夸大和模糊的指标上溜走。政府必须让公司对网络安全负责,为此,必须将这些指标付诸行动。

遗留安全工具和数十年历史的基础设施的问题

我们不允许医生在 1990 年代植入心脏起搏器,那么为什么我们会允许组织依赖同一十年的网络安全工具?如果有一件事是肯定的,那就是依赖为互联网诞生而设计的工具是跟上当今高度连接的世界和越来越多的网络犯罪分子的不适当方式。

正如在 美国救援计划 在 2022 年财政预算的进一步支持下,政府正在采取行动加强国家的网络安全态势,分别拨款 6.5 亿美元和 98 亿美元。但现实情况是,与用于物理攻击的国防支出相比,分配给网络安全的金额只是一小部分,未能认识到战争和犯罪是在线进行的。

为了保护我们的国家和稳定我们的经济,我们必须认识到每天都在进行数字战争。投入到这些战斗中的资源并没有接近结束它们所需要的资源。我们必须将同样的资源投入到网络战争中,就像投入到物理战争中一样。

为了准备和保护美国的关键基础设施,联邦预算需要解决这些组织使用的数十年历史的安全工具,并进行全面改革,从 电网 and 供水和处理设施 to 石油和天然气精炼厂 and 食品供应商.每个人都是国家经济不可或缺的一部分,在短短一年内就向世界展示了他们的脆弱程度。

当我们考虑减轻这些破坏性攻击的初始步骤时,例如 殖民管道攻击,我们必须考虑这些组织正在使用的工具的功效以及对现代技术的投资如何改善他们的安全状况。

自动化管理安全

自动化是在庞大的设备和攻击面网络中跟上不良行为者并管理安全威胁的唯一方法。先进的 AI/ML 和自动化使安全团队能够更好地整合来自不同网络安全工具的数据,分析数据以收集见解,确定行动项目的优先级并将其分派给指定的风险负责人进行补救。然后,组织可以量化他们的风险并减少响应安全事件的平均时间,同时应对时间限制和有限的预算。

随着我们继续看到勒索软件和网络犯罪在美国肆虐,我们必须将它们视为这场定义十年的战斗的一部分——这场战斗将随着我们的发展而载入史册 百万美元的付款 攻击者,但未能改善允许这些攻击的漏洞。我们不能落后于民族国家攻击者和网络犯罪爱好者。我们必须尽职尽责,努力实现跨行业和部门的有意义且可操作的变革。通过精确和可量化的指标、基础设施现代化和强制自动化,我们可以在努力消除网络犯罪黑市的同时改善我们的网络安全态势。




分享这个