美国CISA《2022年度报告》全文精华!2023工作重点任务
2023年1月12日,美国网络安全和基础设施安全局(CISA)发布《2022年度工作报告》,重点介绍了CISA及其合作伙伴为保护国家关键基础设施所做的工作,报告主要分为网络安全防御、减少风险和增强韧性、业务协作和机构建设4个部分,并展望了该机构2023年工作重点。本文对此报告进行译介与评析,仅供参考。
美国网络安全和基础设施安全局(CISA)2022年年度报告
报告主要内容
1.确保美国网络空间防御和恢复力:“举起盾牌”助乌抗俄;绩效目标提升关键部门网络安全;部署新技术;协调漏洞披露增强网络生态系统;联合网络防御协作/JCDC合作成绩显著;网络安全咨询委员会CSAC与网络创新研究员计划;CSRB首审Log4j软件库漏洞提出可行建议
2.降低美国关键基础设施的风险并增强其韧性:拨款项目;网络风暴演习;首届K-12学校安全和安保国家峰会;闪点行动;JAMX22活动(公共安全通信的韧性);普及网安基本操作;基础设施安全演习/培训/产品/评估
3.加强业务协作和信息共享:国际(英,澳,新加坡,以色列,阿联酋,乌克兰,罗马尼亚,墨西哥,加拿大);互操作的应急通信,发布《关键基础设施网络事件报告法》(CIRCIA);维护保障选举安全
5.2023年工作重点:2023年初将发布《网络安全战略计划》作为CISA未来几年工作纲要;关键基础设施与重大灾害应急;新建平台网站共享资源信息
美国网络安全和基础设施安全局(CISA)是确保美国网络空间防御和弹性工作的领导机构,致力于建设美国防御网络入侵并从中恢复的能力,包括与合作伙伴合作,加强其网络安全和事件应对态势,保护支持美国基本行动的文职行政部门网络,以及与私营部门、州、地方、部落和地区政府合作,在网络威胁和漏洞事发之前的发现和预防工作。
Buildacommunity
Sharethefutureincyberspace
1.确保美国网络空间防御和恢复力
协调漏洞披露(CVD)是在受影响的供应商协调产品和服务中新发现的网络安全漏洞的缓解、补救以及公开披露的过程。CVD提供了通过团队合作和协作团结网络社区的方式,保护彼此和公众免受潜在威胁活动的影响。CISA赞助脆弱性信息和协调环境,作为支持全球网络安全研究人员报告、沟通和协调与美国和国际供应商缓解脆弱性的CVD过程的一种手段。2022年,超过700个协调漏洞披露,发布了416份脆弱性报告。CVD已简化了每年数百万台设备的补丁开发和部署流程,减少了漏洞信息和提供的补救指导的不确定性和不准确性,增强了网络生态系统对CVD协调安全建议的信任。
创建联合网络防御协作(JCDC)组织,通过公共部门和私营部门中值得信赖的合作伙伴之间的持续合作,以及在发生破坏性入侵之前进行严格规划,应对最严重威胁。美国16个关键基础设施部门都参加该组织,JCDC改善了行业与政府间的沟通与合作,大大增加了已知被利用漏洞目录,为网络安全咨询做出了贡献。
JCDC与全球150多个计算机应急响应小组建立了关系,通过运营网络合作,提供威胁态势感知,加强与波罗的海三国、波兰、格鲁吉亚、捷克、乌克兰和东欧国家的合作,协调行动,实时应对威胁。
2021年12月,CISA启动首届网络安全咨询委员会(CSAC)会议。CSAC旨在为CISA网络安全计划和政策的发展和完善提供建议。2022财年,CSAC召开了四次季度会议和94次小组委员会会议,并向CISA主管提供了53项建议,这些建议将使CISA在快速变化的网络安全环境中保持良好的应对威胁的能力。
2022年6月,CISA启动首个网络创新研究员计划,为私营部门网络安全专家提供机会,促进和参与CISA网络安全运营团队。截至12月,CISA已挑选六名研究员。该计划是CISA与更广泛的专家群体接触的一个重要里程碑。
网络安全审查委员会(CSRB)旨在审查和评估重大网络安全事件,以便政府、行业和更广泛的安全社区能更好地保护国家网络和基础设施。2022年7月,CSRB发布的首份报告反映了其对Log4j软件库漏洞的首次审查。Log4j软件被集成到数百万个系统中,影响着全世界的公司、组织和政府。CSRB与近80个组织和个人合作,收集见解,通报调查结果,并为政府和行业制定19项可行的建议,以解决Log4j开源软件库中的漏洞带来的持续风险。
2.降低美国关键基础设施的风险并增强其韧性
与联邦紧急事务管理局合作开展州和地方网络安全拨款项目,帮助建立州和地方网络安全改进法案,有助解决其防御网络面临的挑战。
2022年3月,CISA举行第八次网络风暴演习(cyberstorm),为政府发起的网络安全演习提供了框架,检查国家对影响关键基础设施的重大网络事件的反应。该次演习包括来自33个联邦机构、9个州、100家私营公司和16个伙伴国家的2000余名参与者,推动网络安全政策和计划的改进,是目前最成功的网络风暴演习。
2021年11月,CISA启动ChemLock自愿化学安全倡议,计划为危化品设施提供定制、可扩展、免费的服务和工具,改善危化品安全状况,工作延伸至2022年。
为了应对历史上的黑人学院和大学(HBCUs)面临的威胁,CISA动员了保护性安全顾问等资源,联系全国所有108所HBCUs,与56所HBCUs建立新关系,收到37所HBCUs援助请求。CISA举办了27次预防爆炸课程,培训了1300多名参与者,交付了1500多件产品。
2022年4月,CISA与国土安全部科技局共同主办了JAMX22活动,评估干扰公共安全通信系统和任务响应的影响,并与公共安全通信合作伙伴确定培训差距。CISA参与了JamX22VIP演示,开发了公共安全通信和网络韧性工具包,帮助公共安全机构和其他负责通信网络的机构评估当前的韧性能力,确定提高韧性的方法,并制定减轻潜在韧性威胁影响计划。
2.6向美国公民普及网络安全的意识与具体操作方法
发起强调多因素身份认证(MFA)活动,包括敦促实施防网络钓鱼MFA,提高美国人网络安全意识。CISA推广了4个步骤来确保网络安全:对帐户实施多因素身份验证,大大降低被黑客攻击的可能性;打开自动更新软件;点击前请三思,超过90%的成功网络攻击始于网络钓鱼邮件;使用强密码,最好使用密码管理器生成和存储唯一的密码。
一是在全国各地进行了163次演习,共有14,260人参加;
三是发布了K-12学校安全指南(2022年第3版)和配套产品,提供了全面的理论和基于系统的方法,支持学校进行漏洞评估和规划,在K-12学区和校园中实施分层的物理安全要素。该指南在前六个月被下载2400多次。交付了120个基础设施可视化平台产品,并在42个区域弹性评估项目上开展了合作。这些与关键基础设施所有者和运营商的合作评估工作确定导致了设施安全和恢复能力漏洞,提出了缓解这些漏洞的建议。
此外,CISA支持了200多项基础设施调查工具(IST)评估。正在进行的IST工厂中,92%的工厂会将漏洞评估或调查信息整合到安全性和弹性增强措施中。
3.协作:加强业务协作和信息共享
2022年,CISA扩大了与国际社会的合作。通过联合工作计划和谅解备忘录与多个国际合作伙伴正式开展业务合作,包括英国、澳大利亚、新加坡、以色列、阿联酋和乌克兰。7月,CISA开设了第一家Ataché办事处,总部设在伦敦,作为CISA、英国政府官员和其他联邦机构官员间国际合作的协调中心,接待了来自英国国家网络安全中心和澳大利亚信号局的现场联络员。通过国务院资助的对外援助,CISA实施国际能力建设、技术援助和加强信息共享,持续支持乌政府反击俄网络入侵;与菲律宾反恐委员会合作,支持其软目标保护国家行动计划;通过在美洲国家组织的合作伙伴参与西半球事务;支持亚洲与印太经济框架;减轻巴尔干地区的脆弱性。
CISA与国防威胁减少署、国际刑警组织和联邦调查局合作召开全球化学安全和新出现的威胁大会,促进各方之间的对话。来自72个国家的220多名化学安全专家参会,包括政策制定者、执法机构、监管机构、工业界、学术界、智库、军方、非政府组织和国际组织。
2022年,CISA扩大了对每个州的支持,设立了网络安全州协调员、网络安全顾问、物理安全顾问和地区工作人员,无缝应对新出现的威胁和漏洞。CISA将其紧急通信协调员完全纳入原子能机构区域办事处外勤队,确保公共安全、国家安全和应急准备社区能够无缝和安全地进行沟通。
概念验证:CISA继续在通信领域优先发力。与爱达荷国家实验室合作进行概念验证,测试“CRIUS”通信管道技术,促进国家安全和应急准备通信的弹性路由多样性,以便在网络拥塞、损坏甚至毁坏时提供替代通信路径。
互操作研讨会:CISA、州911管理员全国协会、州互操作性协调员全国委员会和国家公路交通安全管理局911项目办公室举办了一系列面向所有州的互操作性研讨会,会聚集了州应急领导有效沟通和协作,为各州制定目标和可行步骤,提高应急通信互操作性,深化和加强应急通信治理结构,促进更好的互操作性和决策。
公众紧急服务911:CISA把工作重点放在确保公众直接获得紧急服务,即911系统,编写指南以协助管理员更好地准备和响应网络事件。CISA获得了2022财年拨款中的初始资金用于支持新计划,该计划致力于确保911系统符合NIST网络安全标准,同时保留能够处理各种形式的数据、视频和信息服务。公共安全官员与CISA合作,发布了针对公共安全运作环境的网络安全教育材料,如“前48小时:网络事件发生时的预期”文件和网络风险评估入门指南。
网安信息交流会议:CISA还促成了六次网络安全信息交流(NSIE)会议。包括国际伙伴在内的NSIE工业界和政府成员就影响国家安全和应急准备电信的公共网络的威胁和脆弱性交流信息。
亮点数据:2022年,CISA优先服务新增123,236名无线优先服务用户;在46个州为5,000名参与者完成了214项技术援助请求;为1,680名学生举办了112次通信重点培训课程;在27个州促进了34次战略研讨会,推动了可互操作、网络安全和弹性应急通信。扩大网络安全服务,包括研讨会、网络研讨会和快速网络安全评估,通过回应500多项请求和询问,就国家应急通信计划与公共安全官员接触。
CISA与州和地方选举官员合作,确保官员们能够获得需要工具、能力和信息,构建抵御所有威胁的能力。对选举基础设施进行安全评估,扫描数百个管辖区网络安全漏洞,与选举基础设施信息共享和分析中心合作,提供实时、可操作的威胁和缓解信息,帮助州和地方选举官员了解风险环境。在全国范围内开展培训、练习、小组演示、主题演讲等活动,在选举安全和弹性方面发挥作用的人数超过5000人。桌面投票是CISA一年一度的全国选举活动,包括来自48个州、16个联邦机构和18个部门合作伙伴的1,100多名参与者,解决了选举基础设施面临的网络和物理安全挑战。
4.整合:进行职能整合,加强员工队伍建设
5.工作重点2023
CISA2023年工作重点:
拨款计划:出台一个为美国原始部落社区量身定制的部落版网络安全拨款计划;
国际合作:面临不断演变的网络威胁格局,CISA国际交往发展起来的关系将继续成熟并结出硕果;
地区事务:继续支持应对重大灾害,提供关键基础设施影响信息,促进基础设施优先化和恢复工作,并为应急响应者保持通信渠道畅通;
近日CyberScoop、FedScoop网站对14名现任和前任CISA员工以及另外18名熟悉CISA内部运营的人士进行了采访。大多数人认为CISA存在一些问题:
二是CISA不注重内部交流。内部人员和最近离职人员抱怨领导层没有明确说明优先事项,常常与员工隔绝,进行的外部交流远多于内部交流;
三是面临着诸多生存挑战。美国需要网络安全援助的实体数量众多,CISA无法聘请合适的网络人才,在招聘高技能技术人才方面尤其困难,近150个网络安全职位空缺,严重损害了执行任务能力;
四是CISA局长JenEasterly的工作风格使其与国土安全部部长亚历杭德罗·马约卡斯(AlejandroMayorkas)关系紧张,得到国土安全部领导层的支持很少;
五是内部组织结构问题。CISA被划分为六个部门,各个部门管理自己的基础设施,缺乏凝聚力,缺乏监督,分裂的组织结构和CISA获取技术的能力受限限制了新软件的部署;
六是CISA将过多的精力集中在与主要行业参与者和大型企业合作伙伴建立联盟上。这些类型的组织拥有资源充足的网络安全团队来捍卫他们的利益,通常不会与CISA共享有关当前威胁的重要信息。