拜登政府的网络安全行政命令进展

关键要点

• 拜登政府于2021年5月12日发布的网络安全行政命令旨在指导政府机构提高对网络攻击的防御能力。
• 尽管已有进展，但数据表明许多机构仍然面临严重的安全漏洞。
• 软件供应链的透明性至关重要，能够显著提升事件响应效率。
• 国家标准与技术研究所（NIST）最近更新了针对软件供应链风险的响应指南，为各机构管理网络安全风险提供了最佳实践。
• 零信任架构与软件材料单(SBOM)是机构提升应用安全的重要策略。

自拜登政府2021年发布的网络安全行政命令以来，虽然一些关键进展得以实现，但显然仍有许多工作需要开展。根据最近的，2021年有32%的政府机构面临SQL注入（SQLi）攻击的威胁。这种漏洞往往导致敏感信息的泄露，并可能引发更严重的攻击，因此其频繁出现表明我们在预防重大安全漏洞方面依然任重道远，特别是在保护关键软件供应链方面。

软件供应链透明性的重要性

在软件供应链中保持透明对各类机构至关重要，这直接关系到其事件响应能力。借助软件材料单（SBOM），组织能够迅速有效地评估新发现漏洞是否对其资产清单中的应用程序构成潜在风险。这种透明性对于改善安全态势以及缩小整体攻击面尤为重要。

为重新聚焦于软件供应链的这些关键努力，国家标准与技术研究所（NIST）最近更新了其针对行政命令的，该指南提供了识别和修正规软件供应链风险的最佳实践，并提供了检查安全过程中可能被忽视的组件的指导。

这一更新是在管理和预算办公室（OMB）后几个月完成的，鼓励联邦机构采用零信任架构。随着越来越多的联邦机构与网络安全供应商合作，以改善流程并整合现代工具，他们能够在实施零信任原则的同时，最大限度地提高安全覆盖率。零信任假设“……发生漏洞是不可避免的，或者说很可能已经发生”，因此在限制访问权限的同时，也能对可疑活动发出警报，从而帮助机构覆盖更广泛的攻击面。

展望未来：在应用安全透明性基础上构建

零信任与SBOM都是帮助机构提升其应用安全（AppSec）程序的重要策略，尤其是在软件供应链透明性和主动获取完整覆盖方面。在网络攻击者继续利用直接影响的漏洞，特别是针对政府部门的攻击时，这种透明性显得尤为重要。

借助这些指导方针，机构已建立起远离传统解决方案的基础，并优先考虑更现代的网络安全方法，以保护供应链安全。通过遵循NIST的指南，并将全面的安全监控嵌入开发流程中，专注于实时保护敏感数据，机构能够更有效地不断诊断和缓解Web应用程序漏洞。

如需深入了解NIST的试点项目及其网络安全努力，以及在改善供应链安全方面的，请参考相关资料。

作者