Jonathan Greig er journalist baseret i New York City.
Fuld biografisk den 3. februar 2022 | Emne: Regering: USA
Ministeriet for Hjemmelandsikkerhed annoncerede oprettelsen af et nyt Cyber Safety Review Board, der vil samle cybersikkerhedseksperter fra offentlige og private organisationer for at “gennemgå og vurdere væsentlige cybersikkerhedsbegivenheder.”
Bestyrelsen var en del af den bekendtgørelse, som præsident Joe Biden underskrev sidste år. Eksperter har længe opfordret den føderale regering til at oprette en organisation for cybersikkerhedshændelser i lighed med National Transportation Safety Board, som undersøger flyulykker og transporthændelser.
Sekretær for indenrigssikkerhed, Alejandro Mayorkas, sagde, at bestyrelsen vil “grundigt vurdere tidligere begivenheder, stille de svære spørgsmål og fremme forbedringer på tværs af den private og offentlige sektor.”
DHS sagde, at bestyrelsen vil starte sit første arbejde med spørgsmål relateret til Log4J, fordi sårbarheder forbundet med softwarebiblioteket “udnyttes af et voksende sæt trusselsaktører” og “er en presserende udfordring for netværksforsvarere.”
“Som en af de mest alvorlige sårbarheder, der er opdaget i de seneste år, vil dens undersøgelse generere mange erfaringer for cybersikkerhedssamfundet. Sammen fastslog Det Hvide Hus og DHS, at fokus på denne sårbarhed og dens tilhørende afhjælpningsproces var den vigtigste første brug af CSRB's ekspertise,” forklarede DHS.
Da ZDNet spurgte, hvorfor bestyrelsen arbejdede på Log4J, før de undersøgte rækken af problemer forbundet med SolarWinds-skandalen, sagde en DHS-talsmand, at den føderale regering og den private sektor har gennemført “forskellige anmeldelser” af kompromiset i løbet af det sidste år og besluttet det bedste. Brug af Cyber Safety Review Boards ekspertise er at fokusere dens indledende gennemgang på sårbarhederne i Log4J-softwarebiblioteket og tilhørende afhjælpningsprocesser.
De bemærkede, at Log4J-softwarebiblioteket bruges bredt, er relativt let at udnytte og kan forårsage betydelig indvirkning på et netværk. DHS-talsmanden sagde, at bestyrelsens gennemgang og anbefalinger “vil tage hensyn til eksisterende resultater og anbefalinger relateret til de aktiviteter, der fik Cyber Unified Coordination Group i december 2020 (dvs. “SolarWinds-hændelsen”) til at inkludere alle elementer relateret til eksistensen og udnyttelsen af sårbarheder eller reaktionen på begivenhederne.”
Bestyrelsen vil have 15 medlemmer, som vil give anbefalinger til DHS og Det Hvide Hus. DHS under sekretær for politik Robert Silvers vil fungere som formand, og Googles seniordirektør for sikkerhedsteknik Heather Adkins vil være næstformand.
CISA-direktør Jen Easterly vil udpege bestyrelsens medlemmer og vil stå for styring, støtte og finansiering af indsatsen.
Den første rapport fra bestyrelsen vil være færdig til sommer og vil vise tiltag, som både regeringen og den private sektor har truffet for at afbøde Log4J-problemet.
Bestyrelsens medlemmer vil også komme med anbefalinger til, hvordan man adresserer associeret trusselsaktivitet og mere generelle råd til “forbedring af cybersikkerhed og hændelsesreaktionspraksis og -politik baseret på erfaringer fra Log4J-sårbarheden.”
< p>En redigeret version af rapporten vil blive frigivet til offentligheden, ifølge DHS.
Silvers sagde, at han og de andre medlemmer af bestyrelsen “er lysmænd i feltet”, og at han var beæret over at fungere sammen med dem som bestyrelsesformand.
“Når en større cyberhændelse opstår, påvirker det os alle,” tilføjede Adkins. “CSRB er en banebrydende mulighed for at udføre holistiske anmeldelser og levere fremadrettede løsninger, der går på tværs af organisationer og sektorer. Jeg er beæret over at tjene sammen med denne mangfoldige vifte af talenter fra både private virksomheder og den amerikanske regering, når vi lancerer denne indvielse. anmeldelse.”
De øvrige medlemmer af bestyrelsen omfatter Dmitri Alperovitch, medstifter og formand for Silverado Policy Accelerator, DOJs primære associerede viceadvokat John Carlin, føderal informationssikkerhedschef ved Office of Management and Budget Chris DeRusha, National Cyber Director Chris Inglis , NSA cybersikkerhedsdirektør Rob Joyce, Luta Security grundlægger Katie Moussouris, CISA executive assistant director for infrastruktursikkerhed David Mussington, Verizon Threat Research Advisory Center medstifter Chris Novak, Center for Internet Security senior vicepræsident Tony Sager, Department of Defense CIO John Sherman , FBI assisterende direktør Bryan Vorndran, Microsoft assisterende generaladvokat Kemba Walden og Palo Alto Networks senior vicepræsident Wendi Whitmore.
Eksperter roste oprettelsen af cybervurderingsnævnet, og mange bemærkede, at landet længe har haft brug for eksperter til at gennemgå væsentlige cyberbegivenheder for at give ensartede svar på presserende situationer.
AttackIQs Jonathan Reiber, den tidligere chefstrategichef for cyberpolitik i den amerikanske forsvarsministers kontor under Obama-administrationen, fortalte ZDNet, at embedsmænd skal lære af tidligere begivenheder, kodificere lektioner og derefter kommunikere disse lektioner til verden.
“At have et så talentfuldt hold af tænkere og kommunikatører – fra folk som Dmitri Alperovitch til Kate Moussouris, til alle andre på listen – som gennemgår store cybersikkerhedsbegivenheder og deler anbefalinger, vil være en stor hjælp,” sagde Reiber. “Deres indsigt vil hjælpe organisationer i både den private og offentlige sektor med at foretage strategiske ændringer og forbedre cybersikkerhedsberedskab.”
Andre eksperter, som Bugcrowd-grundlæggeren Casey Ellis, roste bestyrelsen for at starte med et problem som Log4J, fordi det afslørede en række tilstødende og systemiske svagheder i en unik stor skala. En undersøgelse af problemet vil give flere oplysninger om open source-forsyningskædesikkerhed, håndtering af usofistikerede og sofistikerede modstandere på samme tid, post-patch produktgencertificering og regressionsanalyse og mere, ifølge Ellis.
Han tilføjede, at det vil være godt at have et svar på spørgsmålet: “hvad gør vi, hvis tingene rammer fanen i løbet af feriesæsonen.”
Vulcan Cyber-ingeniør Mike Parkin bemærkede, at bestyrelsen ikke vil have nogen regulatorisk autoritet, hvilket giver anledning til yderligere spørgsmål om, hvordan deres anbefalinger vil blive brugt i den virkelige verden.
Nogle tog et mere kritisk syn på indsatsen og spekulerede på, om bestyrelsens resultater vil blive omsat til handling.
“Grundlæggende må vi spørge os selv – er der en mangel på analyse i forhold til erfaringer, der fastholder cyberrisici? Eller en mangel på opfølgning og ansvarlighed, der fastholder cyberrisici? Det vil sige , et behov for at skabe ny viden eller viljen til at implementere eksisterende viden?” sagde Tim Wade, teknisk direktør hos Vectra.
“Min personlige partiskhed er en overbevisning om sidstnævnte, så mine forventninger til effektiviteten af en sådan bestyrelse afhænger af dens evne til at tvinge handling.”
Sikkerhed
Usikret AWS-server afsløret 3TB i lufthavnsmedarbejdernes optegnelser Sådan finder og fjerner du spyware fra din telefon Microsoft: Sådan stoppede vi det største DDoS-angreb nogensinde. Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Sådan teknologi er et våben i moderne misbrug i hjemmet Sikkerhed | CXO | Innovation | Smarte byer