全文约7000字 阅读约10分钟
🛡️ **DIB定义与构成**: 国防工业基础(DIB)由提供国防工业能力的私营和公有公司组成,包括国内和全球制造业。兰德报告主要关注为国防部进行研究的中小型技术行业公司,并根据年收入将DIB公司划分为小型、中型和大型。
⚙️ **DCP2框架与部署**: DCP2框架提供了多个选项,这些选项由国防部的作用、DIB公司规模、网络部署位置和受控非密信息(CUI)级别等因素定义。框架旨在通过统一保护计划,提升DIB中小企业的网络安全能力,核心是优惠政策和数据交换。
💡 **安全预算与防护**: 报告强调,考虑到DIB公司面临的网络攻击风险,应提高安全预算比例。建议DIB公司将其IT预算的22%用于网络安全。同时,国防部仅依靠纯监管方式难以提升DIB公司的整体安全防护能力,需要采取更积极的措施。
☁️ **云迁移的优势**: 向云迁移被认为是实施DCP2最具成本效益的选项。DIB云可以提供计算和存储资源,云服务提供商(CSP)负责安全防护,从而增强DIB公司的网络安全,降低成本,并简化管理。
全文约7000字 阅读约10分钟
2.国防工业基础网络保护计划(DCP2)框架
1)框架选项和部署说明
2)国防工业基础(DIB)之安全部署现状
3)国防工业基础网络保护计划(DCP2)之安全部署场景
3.洞察和启示
1)易遭受网络攻击的公司,应该提高安全预算的比例2)DIB公司应该将其IT预算的22%用于网络安全3)DIB中小型公司无力承担应该投入的网络安全资源4)国防部仅依靠纯监管方式,难以提升DIB公司的整体安全防护能力5)当前国防部提出的网络安全成熟度模型认证(CMMC)程序仍有不足6)必须采取统一保护计划,来提升DIB中小型公司的网络安全能力7)国防工业基础网络保护计划(DCP2)的核心是优惠政策和数据交换8)网络安全的管理层,需要提供安全服务功能9)网络威胁共享服务,并非想象的那么容易10)向云迁移是最具成本效益的选项1)什么是国防工业基础
国防工业基础(DIB)是一组提供国防工业能力的私营和公有公司(从小公司到大公司)。国防工业能力是“设计、开发、制造、维修、保障国防部产品及其必要子系统和组件所需的技能和知识、流程、设施、设备”。国防工业基础(DIB)有两个组成部分:1)框架选项和部署说明
兰德报告为国防工业基础网络保护计划(DCP2)提供了多个框架选项。这些选项由几个关键因素定义:3)国防工业基础网络保护计划(DCP2)之安全部署场景
3.1)大型DIB公司场景图5-大型公司网络:现状 vs. 选项A
对于大型公司而言,由于大型公司通常已经自建了大部分的安全能力(见左图,以红色标记),故通过DCP2提供的安全能力(以绿色标记)并不多,主要是DLP、自动补丁、Web安全工具等(见右图,以绿色标记)。右图(选项A)中,还连接到国防部领导的DIB安全运营中心。
图6-大型公司网络:选项A vs. 选项B
上图显示了选项A和选项B的区别:
两者的安全控制几乎是完全相同的;
但选项A(左图)仅使用了国防部领导的DIB安全运营中心;
而选项B(右图)除了还增加了商业安全运营中心,并且将网络威胁情报、高级防火墙能力转交商业安全运营中心来提供。
3.2)小型DIB公司场景
1)易遭受网络攻击的公司,应该提高安全预算的比例
兰德认为,一家公司的网络安全预算必须足够大,才能支付网络安全专业人员的工资和福利、网络安全工具集(CST)的软件许可费,以及应对网络安全事件可能需要的额外资金,如额外的工具或服务和来自外部专家或公司的建议。
兰德同时认为,不论国内外网安市场中安全预算的实际比例如何,当一家公司有较大概率遭受网络攻击时,就应该提高安全预算的比例。考虑到其业务和资产的价值,DIB公司当然属于这类公司,理所应当提高安全预算的比例。
这一结论启示我们,设置安全预算比例,不能只是参考市场平均数字,而要考虑实际面临的威胁和风险状况。如果确实面临较大网络攻击风险,则在某种程度上有必要“不计成本”地提高安全预算比例。
2)DIB公司应该将其IT预算的22%用于网络安全
兰德报告中指出,IBM建议有严重网络安全问题的公司将其IT预算的14%用于网络安全措施。Forrester数据显示,如果一家公司遭到黑客攻击,它将把IT 预算的30%或更多用于网络安全。
兰德测算结果表明,平均而言,一家DIB公司应该将其IT预算的22%用于网络安全,这是上述14%和30%建议的平均值。
兰德认为这个目标是可以接受的,因为已经假设有多达一半的DIB可能受到了网络攻击。
为了支撑该结论和观点,兰德进行了以下五项分析:
网络安全预算估算
国防工业基础公司信息技术预算估算
网络安全人员工资估算
国防工业基础公司小样本特征分析
国防工业基础中小型公司网络安全预算估算与建议的比较
3)DIB中小型公司无力承担应该投入的网络安全资源
网络安全是必要的,但也是昂贵的。一套网络安全工具需要专业人员才能使用,而所需的工具和熟练的专业人员对许多DIB公司来说可能负担不起。此外,管理环境复杂且难以驾驭,即使对于拥有强大网络安全团队的大型公司也是如此。
兰德分析表明:
对于DIB小型公司:要么无法拥有足够的网络安全专业人员,要么无法维护全套的网络安全工具集(CST),几乎不可能同时拥有网络安全专业人员和全套的网络安全工具集(CST);
对于DIB中型公司:在承担网络安全工具和专业人员成本方面处于更有利的地位,但它们仍面临挑战。
更多的资金未必意味着更多的网络安全。要保护DIB公司的非密网络,除了花钱购买网络安全工具集(CST),还需要有效管理、网络安全最佳实践、员工培训。然而,如果公司没有足够的钱花在网络安全工具集(CST)和网络安全专业人员身上,这将严重阻碍他们的网络安全努力。
4)国防部仅依靠纯监管方式,难以提升DIB公司的整体安全防护能力
目前国防部防止DIB遭受网络攻击的方法,主要基于国防联邦采办条例补充规定(DFARS)800-7012和NIST SP 800-171,但这样做并不够。
兰德报告的成本分析显示,DIB的小型公司和一些中型公司没有足够资源,来遵守NIST SP 800-171的合规要求。
5)当前国防部提出的网络安全成熟度模型认证(CMMC)程序仍有不足
国防部推出的网络安全成熟度模型认证(CMMC),仍然是基于合规性的,并将增加DIB公司的成本。
兰德报告的成本分析表明,大多数DIB的小型公司可能无力负担网络安全成熟度模型认证(CMMC)的网络防御要求。许多中等规模的DIB公司可能面临同样的挑战,特别是如果要求它们达到网络安全成熟度模型认证(CMMC)的最高合规等级的话。
兰德报告建议的国防工业基础网络保护计划(DCP2),并非要取代网络安全成熟度模型认证(CMMC),而是为了完善这一认证,帮助改善DIB公司对NIST SP 800-171指南的合规性。
6)必须采取统一保护计划,来提升DIB中小型公司的网络安全能力
一方面,兰德报告称,如果遵循国防部目前的方法,可能无法保护DIB公司在非密网络上拥有的大量受控非密信息(CUI)不受外国对手的攻击。而来自非密网络的持续攻击和关键信息技术的损失,以及重大的经济损失,侵蚀了美国的国防工业基础(DIB),也威胁到美国的长期军事优势。
另一方面,对于DIB的小型公司来说,网络安全专业人员的成本将导致在聘请网络安全专业人员和购买额外的网络安全工具集(CST)上两者不可兼得。许多DIB的中型公司也不得不做出类似的决定。即便是当前国防部提出的网络安全成熟度模型认证(CMMC)程序,对许多中小型国防工业基础公司来说可能是负担不起的。
为了充分保护DIB公司的非密网络,需要替代的解决方案。这个替代方案就是国防工业基础网络保护计划(DCP2),其目的是推动国防部加强非密DIB网络的保护,用来抵御网络空间严重的安全威胁。
7)国防工业基础网络保护计划(DCP2)的核心是优惠政策和数据交换
为了系统性解决DIB公司非密网络网络安全防护面临的各种问题,兰德报告建议国防部,建立国防工业基础网络保护计划(DCP2),包括:
改善DIB的监控和实时健康状况;
为那些无力负担所需网络安全工具集(CST)和专业人员的公司,改善网络安全;
提供数据保护,防止从DIB公司到国防部的敏感企业信息、DIB上的敏感供应链信息、DIB的敏感数据,泄露给对手;
为DIB公司提供法律保护,如果DIB公司提供给政府的信息被非预期使用,最小化他们可能承担的责任。
国防工业基础网络保护计划(DCP2)的核心是优惠政策和数据交换:
一方面是优惠政策:DIB公司参加国防工业基础网络保护计划(DCP2)将是自愿的。参与该计划的DIB公司将同意安装和使用国防部提供的网络安全工具集(CST)。关键在于,这些网络安全工具集(CST)将免费提供,或者以大幅降低的许可价格提供。
另一方面是数据交换:DIB公司将同意向新的DIB安全运营中心(SOC)或专门为DIB服务的商业安全运营中心(SOC),提供网络安全工具集(CST)产生的经过清洗的数据,以改善DIB的实时监控和健康状况。这些数据包括网络元数据、应用程序元数据、匿名用户帐户元数据、安全警报和匿名系统日志文件。这些经过清洗的数据不包括DIB公司员工的个人身份信息(PII)、公司专有信息、员工通信,或者任何受控非密信息(CUI)。国防部将免费提供数据清洗程序,确保只将相关的网络安全数据传输到DIB安全运营中心(SOC)或商业安全运营中心(SOC)。
管理国防工业基础网络保护计划(DCP2)的成本很重要。只有拥有重要受控非密信息(CUI)并向国防部提供关键国防技术的DIB公司,才有资格获得该计划的全部好处。那些主要为国防项目提供大宗商品相关产品的小公司,可能不符合条件。
8)网络安全的管理层,需要提供安全服务功能
兰德报告认识到国防工业基础网络保护计划(DCP2)会给政府带来新的巨大成本,也预料到一些反对者可能会争论说,这笔成本应该由私营行业承担,因为他们将在许多方面从国防部提供的网络安全工具集(CST)中受益。
然而,兰德报告认为保护DIB归根结底是美国政府的责任。DIB公司正受到有能力的民族国家的网络攻击,对手使用的大量资源在许多情况下都远远超过DIB公司的可用资源。2019年,美国国家安全局(NSA)局长呼吁公共和私营行业团结起来共同应对网络安全威胁:“指望私营行业能够真正经受住整个国家的集中攻击(而这些国家还正在以一种非常同步的战略路线努力尝试获得优势),我认为这是不现实的。”
就像在其他领域(如司法领域),私营公司应该受到执法机构的保护,使其免受犯罪行为的侵害(例如,由当地警察部门或联邦调查局保护)。DIB公司也有权获得美国政府的某种形式的网络安全保护,尽管这种保护需要公共和私营实体之间的合作才能取得成功。
国防工业基础网络保护计划(DCP2)的思路,反映了使管理层从单纯监管视角转向帮扶弱者的观点,值得我们深深的思索。这也许是国防工业基础网络保护计划(DCP2)能够落地的关键思想。
当然,精打细算是美国的传统。兰德报告建议研究网络安全工具(CST)许可成本和模型,其中包括规模经济和价格选项。因为向每个DIB公司提供网络安全工具集(CST)并不是一个合理的经济建议,必须建立门槛和限制,以确定国防部支付的网络安全工具集(CST)数量,并探索不同的网络安全工具集(CST)的补贴模式。
9)网络威胁共享服务,并非想象的那么容易
兰德报告指出,当前自愿性的国防部网络威胁共享服务,对许多国防工业基础公司是不可用的。因为不是所有的DIB公司都能使用这项服务。为了使用这个网站,DIB公司用户必须使用国防部通用访问卡(CAC)进行登陆。而一些防务承包商可能没有任何员工拥有这些证件。
兰德报告提出的解决方案是,通过实施国防工业基础网络保护计划(DCP2):
一方面,通过DIB安全运营中心或商业安全运营中心,向DIB公司提供动态情报、安全警报、行动建议,以识别和应对高级持续性威胁(APT)入侵;
另一方面,它使实时威胁情报能够以目前不可能的方式,在DIB中进行收集和综合。
DIB安全运营中心或商业安全运营中心,使用这些数据和其他数据来生成警报,并把这些警报发送回DIB公司,以保护和改善对其网络的监控,免受外部和内部威胁。
毫无疑问,这种设想为国内网安行业的威胁情报共享,提供了很好的落地思路。
10)向云迁移是最具成本效益的选项
实施国防工业基础网络保护计划(DCP2)的最具成本效益的选项可能是基于云计算功能。国防工业基础网络保护计划(DCP2)中有一个重要选项,是将国防工业基础非密网络迁移到国防工业基础(DIB)云,DIB公司可以使用这个云实现非密数据的计算和存储。
如果实现了DIB云,DIB公司将获得的不仅仅是网络安全,还将免费获得计算和存储资源。DIB公司拥有的受控非密信息(CUI)将不再存储在本地,它将只在DIB云中存储和处理。
云服务提供商(CSP)将为国防工业基础网络保护计划(DCP2)在商业云中划出一个安全飞地,并提供一组标准化的计算系统资源(CSR)。国防工业基础网络保护计划(DCP2)将提供DIB云虚拟机和容器仓库,供DIB公司使用。云服务提供商(CSP)将负责修补和更新DIB成员公司使用的云基础设施。国防部还将建立和维护DIB云的元数据服务。
参与国防工业基础网络保护计划(DCP2)的DIB公司,将在自己的安全飞地内得到一套标准化的安全计算系统资源(CSR)。不同公司的安全飞地相互隔离,并建立硬安全边界,以防止受控非密信息(CUI)和专有信息未经授权流动。而在DIB公司本地部署的网络由瘦客户端或胖客户端机器组成,它们被配置为防止公司数据的本地存储,不会将任何受控非密信息(CUI)存储在本地网络中。
📍发表于:中国 北京
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑