拜登-哈里斯政府今天宣布了其国家网络安全战略,其明确目标是将确保物联网设备和软件安全的责任移交给制造商和开发商。

今天发布的这份长达39页的文件强调,网络安全的责任太多落在了最终用户身上,从而奠定了背景。拜登总统在开幕词中表示,“我们将重新平衡网络安全的责任,使其更加有效和公平。”该文件还表示,软件和系统越来越复杂,为公司和消费者提供了价值,但也增加了我们的集体不安全感。

The White House Cyber Security

它补充道,“我们经常以牺牲安全性和弹性为代价,将新的功能和技术分层到已经复杂而脆弱的系统上。人工智能系统的广泛引入——其行为方式甚至可能出乎其创造者的意料——正在加剧与我们许多最重要的技术系统相关的复杂性和风险。”

该战略围绕五大支柱展开:

  1. 保护关键基础设施:让美国人民对关键基础设施及其提供的基本服务的可用性和弹性充满信心;
  2. 破坏和瓦解威胁行为者:利用一切国家力量使恶意网络行为者无法威胁美国的国家安全或公共安全;
  3. 塑造市场力量,推动安全性和韧性:这里的重点是将责任交给数字生态系统中最有能力降低风险并将网络安全不良的后果从最脆弱的群体身上转移出去的人,以使数字生态系统更值得信赖(见下文);
  4. 投资于有韧性的未来:通过战略投资和协调合作行动,美国将继续在安全和有弹性的下一代技术和基础设施创新方面引领世界——这包括优先考虑后量子密码、数字身份和清洁能源基础设施等领域的研发;发展多样化的国家网络工作人员队伍;
  5. 建立国际伙伴关系以实现共同目标:美国寻求一个在网络空间中负责任的国家行为被期望和加强,不负责任的行为被孤立和代价高昂的世界。

支柱三:塑造市场力量,推动安全性和韧性

特别值得注意的是第三支柱,它指出,仅靠市场力量还不足以实现安全的产品开发。该战略表明,确保产品和软件安全的责任将更多地转移到物联网设备制造商和软件开发商身上。

它指出:

“关键基础设施的持续中断和个人数据的盗窃清楚地表明,仅靠市场力量不足以推动网络安全和恢复能力方面的最佳实践的广泛采用。在太多情况下,选择不投资网络安全的组织会对那些投资网络安全者产生负面和不公平的影响,往往会对小企业和我们最重要的人产生不成比例的影响弱势群体。尽管市场力量仍然是实现敏捷和有效创新的第一条最佳途径,但它们并没有充分动员行业优先考虑我们的核心经济和国家安全利益。

为了应对这些挑战,政府将塑造数字生态系统的长期安全性和韧性,以应对今天的威胁和明天的挑战。我们必须让我们的数据管理员对个人数据的保护负责;推动开发更安全的互联设备;并重新制定法律,规定网络安全错误、软件漏洞以及软件和数字技术造成的其他风险造成的数据损失和损害的责任。我们将利用联邦购买力和拨款来激励安全。”

然后在战略目标3.2中指出,物联网设备制造商在保护用户免受网络威胁方面做得不够:

“物联网(IoT)设备,包括健身追踪器和婴儿监护仪等消费品,以及工业控制系统和传感器,为我们的家庭和企业引入了新的连接来源。然而,目前部署的许多物联网设备没有得到足够的保护,无法抵御网络安全威胁。它们的部署往往没有足够的默认设置,可能很难或不可能进行修补或升级,或者配备了高级(有时是不必要的)功能,从而在关键的物理和数字系统上进行恶意网络活动。最近的物联网漏洞表明,不良行为者很容易利用这些设备构建僵尸网络并进行监控。”

“根据2020年《物联网网络安全改善法案》的指示,政府将继续通过联邦研发、采购和风险管理工作来改善物联网网络安保。此外,政府将根据EO 14028“改善国家网络安全”的指示,继续推进物联网安全标签计划的开发。通过物联网安全标签的扩展,消费者将能够比较不同物联网产品提供的网络安全保护,从而为整个物联网生态系统的更大安全性创造市场激励。”

转移不安全软件产品和服务的责任

在战略目标3.3中,国家网络安全战略表示,由于太多供应商忽视了安全开发的最佳实践,责任将不得不转移到开发者身上。

以下是本节的摘录:

“市场对那些将易受攻击的产品或服务引入我们的数字生态系统的实体施加了不足的成本,而且往往会给予奖励。太多的供应商忽视了安全开发的最佳实践,运送了具有不安全默认配置或已知漏洞的产品,并集成了未经验证或来源不明的第三方软件。软件制造商能够利用他们完全放弃合同责任的市场地位,进一步降低了他们遵循安全设计原则的动机,将进行预发布测试。完整的软件安全大大增加了整个数字生态系统的系统性风险,并让美国公民承担最终成本。

我们必须开始将责任转移到那些未能采取合理预防措施来保护其软件的实体身上,同时认识到即使是最先进的软件安全程序也无法防止所有漏洞。制造软件的公司必须有创新的自由,但如果他们没有履行对消费者、企业或关键基础设施提供商的注意义务,也必须承担责任。必须将责任交给最有能力采取行动防止不良结果的利益相关者,而不是经常承担不安全软件后果的最终用户,也不是集成到商业产品中的组件的开源开发者。这样做将推动市场生产更安全的产品和服务,同时保持创新以及初创企业和其他中小型企业与市场领导者竞争的能力。

政府将与国会和私营部门合作,制定立法,确立软件产品和服务的责任。任何此类立法都应防止具有市场影响力的制造商和软件出版商通过合同完全放弃责任,并在特定的高风险情况下为软件制定更高的护理标准。为了开始制定安全软件开发的护理标准,政府将推动开发一个适应性强的安全港框架,以保护那些安全开发和维护其软件产品和服务的公司免受责任。该安全港将借鉴当前安全软件开发的最佳实践,如NIST安全软件开发框架。它还必须随着时间的推移而发展,包括用于安全软件开发、软件透明度和漏洞发现的新工具。

为了进一步激励采用安全软件开发实践,政府将鼓励所有技术类型和部门协调一致地披露漏洞;促进SBOM的进一步发展[软件材料清单]; 以及开发一个过程,用于识别和减轻广泛使用或支持关键基础设施的不受支持的软件所带来的风险。联邦政府还将与私营部门和开源软件社区合作,继续投资开发安全软件,包括内存安全语言和软件开发技术、框架和测试工具。”

完整的国家网络安全战略文件可以阅读此处.