重要更新:联邦CISO正在优先考虑机构的灵活性

来源:[db:来源]作者:新闻库来源发布时间:2021-10-28
[美国下一届政府网2021年10月26日报道] 克里斯·德鲁沙说,在网络攻击的新时代,各机构必须有更多的空间来实施能够持续保持警惕的做法。 又快到那个时候了。每年秋天,各机……

[美国下一届政府网2021年10月26日报道] 克里斯·德鲁沙说,在网络攻击的新时代,各机构必须有更多的空间来实施能够持续保持警惕的做法。

又快到那个时候了。每年秋天,各机构都会等待管理和预算办公室(OMB)发布指示,指示各机构应该如何形成关于其信息安全状况的年度报告。但这一次,这一过程是在两次大规模入侵破坏了多个政府机构之后发生的,将会有一些重要的变化。

联邦首席信息安全官克里斯·德鲁沙告诉Nextgov 的“关键更新”栏目,机构可以期待的最大事情是了解当前报告流程的要求有多高,并适当缩小他们在任何给定时间必须关注的事情的范围。

根据《联邦信息现代化法案》,各机构必须向管理和预算办公室(OMB)报告其信息安全情况。他们根据国家标准与技术研究所网络安全框架中描述的各种功能的数百项控制措施来审查自己的态势。 

德鲁沙认为,减少机构正在审查的事项清单,使之成为连续监测等实践所满足的最基本的职能,将比前几年在这方面的努力产生更好的结果。

“这个目标已有一段时间了,但我们正在加倍努力,并确保我们给机构一些空间,以便能够专注于这一点,”他说。“这意味着可能不那么频繁地询问他们所有的控制实施情况,我们不一定每年都审查所有控件。我们将专注于一个子集。” 

除了持续监控外,FISMA 2022 指南还将涵盖渗透测试等内容,这是被称为“红队”的一类操作的一部分。 

他说:“无论怎么称呼,我们都称其为真实测试或安全性测试。” “我们正在研究红队、渗透测试、漏洞披露程序、基于威胁情报的智能补丁。这些都是具有高影响力的活动。”

考虑到各机构可获得的资源水平各不相同,德鲁沙表示,FISMA指南将继续反映管理和预算办公室(OMB)在制定零信托计划实施指南时所采取的方法,这是5月份拜登发布的一项主要行政命令所要求的。 

为了解决在实施现代网络安全实践的道路上各机构处于非常不同的位置这一事实,德鲁沙说:“可以做的一件事就是利用能力和成熟度模型。我非常相信这一点。”

他说:“在FISMA 22标准和指南中,你会看到我们采取了类似的方法,我们将真正尝试评估一些关键能力、控制和安全活动的成熟度水平,这些都是取得成果的。”。 

与德鲁沙的谈话还谈到了他从CISO其他职位的过渡,以及为什么他不认为新的联邦采购安全委员会是供应链安全的终极目标,尤其是在 IT 管理公司 SolarWinds和Microsoft Office 365的内部服务器遭到攻击之后。(国家工业信息安全发展研究中心 张昇)