美国白宫管理与预算办公室已经推动至少两轮尝试,旨在敦促各政府机构合并及优化其安全运营中心(SOC)。

目前,美国政府下属的一些部门中包含了8个甚至10个安全运营中心,这使得部门首席信息安全官(CISO)、国土安全部乃至管理与预算办公室根本无法了解到实际情况。

美国联邦政府首席信息安全官Grant Schneider表示,新一轮提升安全运营中心价值、削减机构数量正在努力推进中。

Schneider在最近接受采访时表示,“我们一直在努力推动各级政府机构提高网络安全标准。我们也很清楚,实现此项目标的一项重要手段,在于高度关注共享服务。通过安全运营中心即服务(SOC-as-a-Service,SOCaaS),国土安全部将为这一领域当中的所有服务提供方设定执行标准与发展目标。当然,国土安全部并不是这项工作中的唯一服务提供方,司法部也参与进来了,可为其他机构提供强有力的专业知识支持。”今年5月,管理与预算办公室将国土安全部任命为网络安全质量服务管理办公室(QSMO),而安全运营中心即服务也由此成为联邦政府推动共享服务全覆盖中的三大初始核心议题之一。

肩负质量网络安全服务管理办公室(QSMO)的职责,国土安全部将提供三项核心服务:

安全运营中心标准化
漏洞管理标准化
域名服务(DNS)解析服务

其未来的服务方案中可能将包括网络防御、事件管理、威胁情报、网络供应链风险管理和其它服务等。

Schneider表示,QSMO将从2021财年开始陆续推出安全运营中心即服务(SOCaaS)项目。

“我们希望通过两种方式实现服务供应。首先,可能通过司法部或国土安全部等相关政府机构提供这些服务;第二,国土安全部还将与总务管理局紧密合作,保证我们能够获得新的服务能力并将网络安全行业带入其中。国土安全部的QSMO职责,在于保证所有这些功能都将达到统一的服务水平与实施标准。我们也非常明确地意识到,网安行业将在这一领域中扮演重要角色。”

管理和预算办公室于2018年发布了首份网络风险定性报告,其中回顾了96个部门在管理和解决这些挑战时采取的具体方法,而建立QSMO的必要性也由此得到证明。

这份报告指出:“相当一部分联邦机构报告称,他们缺少具备操作安全运营中心所需核心技能的全职员工;某些机构的内部安全运营中心之间甚至采用完全不同的流程与技术方案。结果就是,安全网络的可见性差、运营效率低下且缺乏实际效用。对于下辖多个安全运营中心的机构而言,CISO们往往报告称这些中心之间互不交流、彼此隔绝,根本谈不上共享威胁信息及情报。尽管管理和预算办公室之前曾要求各机构指定单一主中心以缓解这方面问题,主中心将负责管理各机构内的所有安全事件响应活动。但从结果来看,问题仍然存在。”

 

通过CyberStat项目施加压力


Schneider表示,QSMO主要解决安全运营中心面临的部分技术挑战,而行政层面的难题则交给管理和预算办公室负责处理。他解释道,“我们去年曾要求各级机构制定安全运营中心成熟度计划,而且一直在与这些机构合作商讨计划细节。目前,不少机构内部设有多个安全运营中心,我们在着力进行合并,或者至少要保证在其中指定主中心,保证所有安全事件内容得到高效汇总,并作为集中且可见的结论用于指导机构运营。”

至于管理和预算办公室要如何实现运营中心的发展与合并目标,并逐步转向共享服务的新形态,则将由CyberState项目给出答案。

管理和预算办公室于2011年启动CyberStat项目,旨在向各级政府机关施加直接压力,借此解决种种系统性网络安全问题。但到2018年,CyberStat早已毫无存在感。

政府问责办公室在今年5月的公开建议报告中指出,管理和预算办公室正着手恢复这一监督流程。后者正在“更新对起草中的运营文件进行概念更新。为了全面落实此项建议,管理和预算办公室将最终确定并发布CyberStat运营文件概念大纲,并要求各机构更积极地参与CyberStat组织的安全会议。”

Schneider还表示,经过改进的CyberStat流程将通过多种具体方式发挥重要作用。

他指出,“各级政府所习惯的、以一对一形式进行的传统沟通方式当然需要整改。但除此之外,我们也在尝试推动更多新思路,希望借此让安全运营中心重新焕发活力。我们正与各级机构共商特定议题,并对各级机构与国土安全部在实践中的经验教训做出总结,整理出更多普遍适用的网安专业知识。”

Schneider表示,除了SOCaaS与重振CyberStat之外,联邦政府CISO理事会还将继续关注政策变化,例如需要在漏洞披露方面做出的收尾性调整。

 

为供应链管理制定最终过渡规则

联邦CISO理事会关注的另一个领域,在于供应链的风险管理。Schneider自己正是联邦政府采购安全委员会的负责人,他表示当前的目标,在于切实运用国会在《安全技术法》中赋予他们的权利。他解释道,“距离理事会讨论已经过去一年之久。在关于建立理事会的立法中,除了授予我们新的权利之外,也为我们指定了诸多实际任务。我们已经向国会提交了战略规划与FASC章程。目前,我们需要为供应链管理制定最终过渡规则,其中的核心内容,在于指导理事会如何着眼于几项根本任务制定执行流程与规程。我们需要在政府内部共享供应链信息管理信息,概述如何实现这一信息共享能力,并在适当时将结论与网安行业分享。我们还需要确定应如何对这类共享文章进行评估与核查,而后向国防部、国土安全部以及国家情报局局长提出建议,帮助他们判断是否有必要发出撤销令。”

在谈到供应链风险管理时,Schneider表示,他目前正在密切关注国防部发布的网络安全成熟度模型认证(CMMC)标准。

“我期待看到这项标准的进展以及将要实现的效果。我们也已经对可行的应用方式进行了思考,但目前还很难判断要不要将此项标准全面推广到整个联邦政府范围内。”

原文链接:https://federalnewsnetwork.com/ask-the-cio/2020/08/federal-ciso-schneider-plans-to-reinvigorate-cyberstat-in-fiscal-2021/

文章原文链接:https://www.anquanke.com/post/id/215478