这可能是一个漫长的博客由于广泛的性质行政命令在提高国家的网络安全及其对网络安全的影响和零信任的方法。拜登政府也发表了简报:“总统行政命令迹象制图新课程来提高国家的网络安全,保护联邦政府网络”提供一个坚实的总结我们建议检查的行政命令,特别是对于非政府实体。

但在我们深入细节之前,你必须容忍我们的胜利圈。Forrester的客户知道我们的安全和风险团队已经向零信任十多年来。我们的动态组合大卫•福尔摩斯史蒂夫•特纳Forrester的零信任现在,放大我们已经认识很长一段时间:零工作的信任。现在,美国联邦政府已经确认,确认,并要求零信任。我们不流行香槟,因为现在真正的工作开始了。为美国政府和它的供应商,这个行政命令代表巨大的变化。但是非政府组织应该感觉的影响,。

行政命令的涟漪效应

行政命令不直接接触私营部门,但这样的重大变革的努力将导致变化远远超出政府安全厂商和企业组织。美国联邦政府的采购流程是刚性的,过时的,和冰川,这部分行政命令寻求解决。然而,刚性的本质,采购流程也提供一个基准,其他企业组织用来帮助他们编写和规范要求。这项行政命令将大大扩大超出了政府作为指导企业组织的形象。

这样的重大变化,政府采购创建商业动机给政府的钱花。估计基于美国机构预算请求北部联邦网络安全支出180亿美元。例如,自2020年12月,网络安全和基础设施安全机构(CISA)就已经收到了26亿美元的资金。接下来我们将详细的主要地区的影响。

SBOM的天

自2018年以来,国家电信和信息管理局(NTIA)美国商务部协调行业努力推动软件采购过程的透明度组织理解的软件构建、购买和使用。行政命令的要求提供产品软件材料清单(SBOM)将帮助组织管理风险,让他们迅速确定脆弱的软件组件在他们的产品。

SBOM常被比作一个列表的成分在食品包装,而我们很多人只是看一眼成分列表,食物过敏患者要特别注意确保他们准备吃的东西不会伤害他们。SBOM使组织能够很容易地看到如果他们使用的产品和构建包含任何组件关键的漏洞。当研究人员发现新的漏洞在开源或其他软件组件,安全团队可以快速审查SBOMs,确定哪些产品有这些组件,优先考虑补救。

在接下来的60天,商务部长必须发布SBOM的最小元素。今天有多个SBOM格式,我们缺乏标准化的所有软件组件的命名约定。不幸的是,这不会是普遍一致的第一天,但朝着正确的方向前进。

潜在的格式混乱,使一个足够好的SBOM可供用户是非常重要的。我们不了解所有的材料阅读食品标签上,要么(我读标签袋M&M的迷你裙:什么是“黄色6日”和它如何与“黄色5”到底有何不同?)。预计软件成分分析(SCA)、漏洞管理、风险管理和第三方供应商,让他们的客户通过集成的首选SBOM约定到他们的产品中。

供应链和第三方风险

行政命令包括开发标准”来评估开发商和供应商的安全实践自己“标签系统,提出了识别这些供应商和产品,已经超过一个基线。的规范化和特异性的这一部分行政命令与每个组织面临的一个主要问题处理软件和技术的今天,无论段。公司是否真正花时间”保证你卖什么”是一个反复出现的破坏和数据丢失的根源,与最近问题加快签署行政命令。

国家运输安全委员会等效网络安全

通过这种行政命令,我们最终将有一个身体(表示从公共和私营部门)来处理“火车残骸”网络安全。这将非常地提高横贯公共和私营部门的信息共享,帮助组织优先实施适当的人员,安全技术和流程。网络安全安全审查委员会的成立,我们终于可以有关键cyberincidents跨产业共享信息,配合必要的、说明性的建议另一个组织如何避免同样的危险。

涉及到其他领域的行政命令

私营部门之间的信息共享和政府关注的焦点。标准化反应剧本、报告标准、检测调查,反应,并修复所有得到提到。大部分的细节在这些领域在未来60至120天,各种机构和内阁职位收到的最后期限来创建和问题的政策,将这变成现实行政命令和操作整个联邦政府和私人部门。接下来的两到四个月将抨击政府。之后,它将为别人当我们读,消化,并考虑如何应用这些物品在我们自己的安全和风险项目。

兴奋因为这是一个重要的时刻存在于网络安全对美国的历史。然而,历史表明,我们避免希望太多。缺陷存在,我们探索未来——包括所有可能的方式这是错误的。

部分看起来像一箩筐的技术以零信任保险杠贴纸

正如上面提到的,这是第一次,公共政策已经承认,当前网络安全的联邦模型坏了,过时了。这些是需要采取的第一个步骤,考虑我们有近30年的数据和10年的极具破坏力的攻击确认明显:美国政府其他国家是纷繁复杂的,就像其他国家的政府是美国的目标。我们预测政府将形式化零信任框架,果然,这是美国。

这种行政命令尖叫“我们需要购买更多的科技!“解决问题(例如,端点检测和响应提到至少12倍),但一般来说,这是名单上的最后一件事我们用来使问题得到解决。甚至现在,谣言的“新”供应商进入新兴市场。一些供应商代表的问题我们应该逃离,没有方向。

今天,大多数机构和部门为这些物品没有预算,员工要运行这些工具,也没有空闲时间需要实际实现的。如果这风在大多数企业安全产品的部署——一半的部署,摆在架子上,只有30%的人使用的特性,那么我们所做的就是创建一个“政府安全厂商的经济刺激计划。“我们不相信任何人,除了那些供应商的投资者和股东。真正激励驱动安全转换必须存在各级政府的成功。安全从业人员知道更多的控制为了增加控制只会增加更多的复杂性,不一定更多或更好的安全性。

仍然缺乏指导的整体安全生命周期

不幸的是,国家标准与技术研究院(NIST)指导需要大力发展更基础的技术现实我们目前生活在。当前的指导,对去年年底是依赖于能够发现一个坏的演员在您的环境中跨工具与某种异常检测功效。安全行业多年来一直追着这个神奇的发现独角兽,它仍然是不存在的。

这个参考体系结构带来价值,但需要发展和考虑持续疼痛安全优点的脸。NIST参考体系结构需要建立在现实中,和指导需要发展符合组织实际实现零信任。Forrester还在写这和其他实际的指导好多年了。

零信任(最后)主流

这样最喜欢的地下乐队,最后滴在Spotify热门单曲,零信任发现进入主流。零信任的方法将影响美国联邦政府保护它的方式。Forrester预计,采用全球扩张和企业基础设施。