白宫国家网络安全战略的反思

关键要点

• 美国白宫最近发布的国家网络安全战略展示了对网络安全的重视，但仍存在改进空间。
• 需著重支持中小企业(SMBs)以抵御网络攻击。
• 政府需要打破信息孤岛，促进跨部门合作。
• 重建云服务商的信任至关重要。
• 防御优先于进攻的策略将更有效。

美国白宫最新发布的受到许多人的欢迎，因为这证明了美国对网络安全的重视。该战略的范围非常广泛，以捕捉2023年网络犯罪威胁的多面性及其复杂性。它著重于关键基础设施的弹性和软件漏洞在网络攻击中的作用。此外，该战略还旨在利用跨国执法机构对网络犯罪的近期成功，并概述进一步实施反洗钱/打击恐怖主义融资（AML/CFT）和了解您的客户（KYC）标准，以使利用加密货币进行勒索更具挑战性。

不过，该战略有一些疏漏，白宫需要进行修正才能在网络安全方面取得进展。我建议政府考虑以下几点：

• 重视中小企业。 战略指出私营部门公司能在没有联邦直接协助的情况下缓解大多数网络事件。我怀疑他们指的是哪些公司？根据美国小型企业管理局的数据，中小企业占全国GDP的。如果我们想在对抗勒索病毒和其他网络攻击方面取得进展，必须重点关注中小企业的网络安全。
• 打破信息孤岛。 美国政府计划增加与私营部门和网络犯罪受害者的情报共享。听起来不错，但实际上联邦机构之间存在信息孤岛——他们相互之间没有信息交流，更别说与私营部门的合作。政府需要可行的策略来消除这些孤岛，以便各机构能有效交流并服务于民众。至于网络犯罪受害者，情况则更加模糊——受害者通常不知道应该向FBI、CISA还是当地执法机构报告。
• 重建云服务商的信任。 关于政府与云服务商的合作，战略提到拜登政府将确定云计算行业及其他关键第三方服务的安全实践中的权威缺口，并与行业、国会及监管机构合作加以填补。这听起来可行，但云服务商对政府并不信任，这是有原因的。例如，以获取用户信息。因此，政府在云服务商愿意合作之前，需要做大量的工作来建立信任。
• 重新考虑对不安全软件产品施加过多责任。 白宫战略中的这一观点自从首次公告以来受到了不少关注。然而，这似乎是在自说自话。政府自己也经常创造出易受攻击的脆弱系统。例如，美国法警局的数据泄露正是由此类问题引起的。该战略在不安全软件产品上施加了过多责任，这也是美国联邦政府在指责他人之前需要