权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2020年征订开始  
联邦网络安全顾问针对云服务提供商发布行政命令
2021-12-16

[美国下一届政府网20211214日报道] 网络安全和基础设施安全局(Cybersecurity and Infrastructure security AgencyCISA)新成立的联邦咨询委员会(federal advisory committee)的一位重要成员表示,不应允许云服务提供商将基线安全功能作为需要特殊许可证的附加组件进行营销。

克雷布斯斯塔莫斯集团合伙人亚历克斯·斯塔莫斯(Alex Stamos)表示:客户不应支付额外的费用,对公司来说是不道德的。希望有一项行政命令,即联邦机构购买的任何云产品都必须在最基本的付费包中,支持多因素认证、单点登录和基本审计。

斯塔莫斯是CISA新成立的联邦咨询委员会的23名成员之一,CISA周五首次召开会议。斯塔莫斯与CISA前董事克里斯托弗·克雷布斯(Christopher Krebs)共同创办的这家公司在去年“太阳风”黑客入侵了几家联邦机构后,向“太阳风”咨询了意见。斯塔莫斯还管理斯坦福互联网观察站。与克雷布斯一样,他在处理高度政治化的选举安全问题时建立了社区信誉。

云服务提供商增加安全功能的销售是错误的,这种想法在决策者中并不新鲜。“太阳风”事件的后果突出了追踪攻击者与记录功能相关的步骤所面临的挑战,这些功能与微软的高成本许可证相关联。

斯塔莫斯在讨论如何扭转网络安全卫生的局面时提出了这一问题,CISA主管延·东利就这一领域寻求建议,并请苹果公司企业信息安全副总裁乔治·斯塔塔科普洛斯领导这项工作。

斯塔莫斯说:“不仅仅是微软,还有大量的云计算公司。”“值得赞扬的是,苹果没有这样做。但是大量的云计算公司向用户收取更多的费用,必须持有企业许可证才能获得MFASSO。除非支付额外费用,否则本田不会卖给你一辆没有安全气囊的汽车,对吗?安全气囊需要处于基线。

为激励公司实施适当的安全措施而提出的其他建议包括提供税收激励和保护,在公司实施时免于承担责任,在公司未能实施时强制执行罚款。

斯塔莫斯强调了私营部门能力的差异,提出了关于云服务提供商责任的观点。

他说:“给每个月为产品付费5美元或10美元的人,不要每月收取20美元、30美元或50美元的基本安全功能费用。这是一件不道德的事情。坦白来讲,对于大企业拖住小企业来说,除非花更多的钱,否则就不会有安全感

伊斯特利表示乐观,尽管他注意到两党的事故报告立法被排除在下一个《国防授权法案》之外的情况令人震惊。

“亚历克斯,带着我认为我们都可以认同的道德愤怒。我同意安全问题是一种赌注,”她在谈到斯塔莫斯的评论时说。“我们可以在安全问题上取得一些重大进展,现在正处在一个关键时刻,所以我期待着这一点。”

在缺乏监管的情况下,东利采取了简单地要求云计算和其他骨干互联网服务提供商与CISA合作的方式,作为联合网络防御合作伙伴,将提高美国关键基础设施的知名度。

CISA的网络安全咨询委员会是在2021的《国防授权法》下建立的。在周五会议的公开评论部分,国家技术安全联盟(National Technology Security CoalitionNTSC)执行主任帕特里克·道尔表示,CISA是网络安全咨询委员会成立的先锋。

道尔将NTSC描述为代表首席信息安全官的唯一全国性组织,并祝贺摩根大通和微软成为咨询委员会的成员,因为他们都在NTSC中设有董事会。微软也是NTSC保险商。

在未来两年内,网络安全咨询委员会将由南方公司总裁兼首席执行官汤姆·范宁担任主席,副主席由万事达卡执行副总裁兼首席安全官罗纳德·格林担任。(国家工业信息安全发展研究中心 蔚艳艳)

相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
国防科技信息网 dsti.net © 2006 - 2022 版权所有 | 京ICP备10013389号-1 | 公安备案号:11010802036354