FDA監(jiān)管的產(chǎn)品遍布美國的每個超市���、藥店和家庭���。網(wǎng)絡(luò)安全涉及FDA廣泛而復(fù)雜的職責(zé)的方方面面�。這是FDA的首要任務(wù)之一�,F(xiàn)DA對此非常重視,尤其是考慮到當(dāng)今日益增長的網(wǎng)絡(luò)安全風(fēng)險���。
在大流行期間�,F(xiàn)DA經(jīng)歷了偵察活動�、拒絕服務(wù)���、企圖利用和其他針對IT基礎(chǔ)設(shè)施的網(wǎng)絡(luò)事件增加了457%,這包括每月近95億個防火墻和入侵檢測塊���。
FDA必須加強當(dāng)前的網(wǎng)絡(luò)安全防御�,以應(yīng)對不斷變化的威脅環(huán)境���,并保護支持我們監(jiān)管決策的重要數(shù)據(jù)�����。
為了實現(xiàn)這些新的能力�����,F(xiàn)DA正在信息安全辦公室(OIS)和數(shù)字轉(zhuǎn)型辦公室的指導(dǎo)下推進全機構(gòu)范圍的網(wǎng)絡(luò)安全現(xiàn)代化方法���。
OIS提供接近實時的網(wǎng)絡(luò)安全能力和風(fēng)險管理方法,以保護敏感數(shù)據(jù)和信息系統(tǒng)�,并以提供一流的、情報驅(qū)動的網(wǎng)絡(luò)安全項目為愿景�����,實現(xiàn)FDA的公共衛(wèi)生使命。
2022.11.27�����,F(xiàn)DA引入網(wǎng)絡(luò)安全現(xiàn)代化行動計劃(CMAP)�,這是FDA企業(yè)數(shù)字化方法的下一個階段。
為了實現(xiàn)這一目標(biāo)�����,F(xiàn)DA正在將IT�、數(shù)據(jù)和業(yè)務(wù)流程水平的進步與改進的網(wǎng)絡(luò)安全能力相結(jié)合�。CMAP概述了FDA將采取的措施,以使其安全和網(wǎng)絡(luò)防御現(xiàn)代化�����,并實施“Zero Trust零信任”�,零信任是一種策略或方法,可以確保正確的人在正確的時間正確地訪問正確的資源�。
OIS將在該機構(gòu)內(nèi)開展工作,并與TMAP�����、DMAP和EMAP合作,實施FDA的2022-2025年網(wǎng)絡(luò)安全戰(zhàn)略計劃�。CMAP還與最近“Presidential Executive Order 14028 Improving the Nation’s Cybersecurity”和“Office of Management and Budget OMB M-22-09 Moving the U.S. Government Toward Zero Trust Cybersecurity Principals”保持一致。
CMAP的主要目標(biāo)是:
• 建立全面的零信任方法�����,以促進新的數(shù)字服務(wù)和現(xiàn)代化工作�。
• 促進軟件保障最佳實踐,在每個開發(fā)生命周期階段都包括安全措施���。
• 增強FDA及其公共衛(wèi)生合作伙伴之間的互操作性和安全性數(shù)據(jù)交換和協(xié)作�。
• 利用人工智能和機器學(xué)習(xí)技術(shù)來增強網(wǎng)絡(luò)檢測和響應(yīng)能力�����。
• 將反情報和內(nèi)部風(fēng)險原則與零信任模型相結(jié)合�����,以實現(xiàn)情報驅(qū)動的方法�����。
• 優(yōu)先考慮并投資于FDA的網(wǎng)絡(luò)安全勞動力。
隨著網(wǎng)絡(luò)威脅格局在全球范圍內(nèi)演變���,威脅參與者帶來了不斷變化的挑戰(zhàn)���。FDA將使其網(wǎng)絡(luò)防御現(xiàn)代化,并將繼續(xù)發(fā)展員工隊伍�����,以滿足當(dāng)前和未來的網(wǎng)絡(luò)安全需求���。FDA員工活動將側(cè)重于采用新的流程和技術(shù)來培養(yǎng)一支技術(shù)熟練的員工隊伍���,這支隊伍將利用最先進的技術(shù)和先進的流程來應(yīng)對快速變化的威脅環(huán)境的挑戰(zhàn)�。
?我們來看看網(wǎng)絡(luò)安全現(xiàn)代化行動計劃的具體內(nèi)容:
從上可以看出,F(xiàn)DA的網(wǎng)絡(luò)安全計劃仍然逐步關(guān)注企業(yè)范圍的網(wǎng)絡(luò)防御���,其目標(biāo)將通過持續(xù)推進FDA’s Cybersecurity Strategic Plan 2022 - 2025 中的六個戰(zhàn)略優(yōu)先事項來實現(xiàn)�,并以此為指導(dǎo):
• 優(yōu)先級1: 數(shù)據(jù)和信息保護
• 優(yōu)先級2: 網(wǎng)絡(luò)安全�、創(chuàng)新和技術(shù)
• 優(yōu)先級3: 網(wǎng)絡(luò)、威脅和漏洞管理
• 優(yōu)先級4: 網(wǎng)絡(luò)安全風(fēng)險和合規(guī)性
• 優(yōu)先級5: 客戶參與和網(wǎng)絡(luò)安全員工發(fā)展
• 優(yōu)先級6: 反情報和內(nèi)部威脅
從上可以看出�����,F(xiàn)DA正在通過實施零信任、安全云計算���、多因素認證�、加密���、威脅檢測�����、漏洞管理和其他網(wǎng)絡(luò)防御功能來增強我們的網(wǎng)絡(luò)安全保護���。CMAP、改善國家網(wǎng)絡(luò)安全的第14028號總統(tǒng)行政命令�、OMB管理和預(yù)算辦公室M-22-09推動美國政府走向零信任網(wǎng)絡(luò)安全原則,以及其他網(wǎng)絡(luò)安全倡議與FDA的2022-2025年網(wǎng)絡(luò)安全戰(zhàn)略計劃保持一致�����。這些努力也支持FDA的技術(shù)現(xiàn)代化行動計劃���、數(shù)據(jù)現(xiàn)代化行動計劃和企業(yè)現(xiàn)代化行動計劃�。ODT已經(jīng)制定了FDA零信任網(wǎng)絡(luò)安全防御實施計劃,它將作為有效實現(xiàn)現(xiàn)代化和過渡到零信任模式的路線圖�����。
FDA零信任網(wǎng)絡(luò)安全網(wǎng)絡(luò)防御實施計劃建立在基本網(wǎng)絡(luò)安全概念和技術(shù)的基礎(chǔ)上���,以達到最佳的成熟度級別�����。該計劃包括升級���、現(xiàn)代化和增強我們的安全和網(wǎng)絡(luò)防御,以應(yīng)對FDA的IT基礎(chǔ)設(shè)施和敏感數(shù)據(jù)面臨的不斷變化的威脅�����、漏洞和風(fēng)險�����。該倡議包括三個關(guān)鍵領(lǐng)域:倡議協(xié)調(diào)和監(jiān)督�����、主要支柱和支助支柱���。FDA將在這些活動中運用專業(yè)知識�、協(xié)調(diào)和監(jiān)督資源�����,以成功實現(xiàn)我們的零信任目標(biāo)�����。
?
上圖描述了零信任的5大主要支柱
支柱1: 身份�����。實施強大的身份憑據(jù)和訪問管理工具���、原則和多因素身份認證���,以防范身份欺騙、網(wǎng)絡(luò)釣魚和未經(jīng)授權(quán)的環(huán)境訪問企圖�。
支柱2:設(shè)備。實施技術(shù)能力來保護筆記本電腦�、工作站�、服務(wù)器���、智能手機和平板電腦�����。實施設(shè)備清單監(jiān)控���、儀表板以及端點檢測和響應(yīng),以實現(xiàn)跟蹤目的���。
支柱3:網(wǎng)絡(luò)環(huán)境�。實施網(wǎng)絡(luò)安全并使其現(xiàn)代化���。繼續(xù)減少潛在的攻擊面�����,實施軟件定義的網(wǎng)絡(luò)�、現(xiàn)代云連接�����、網(wǎng)絡(luò)分段和安全訪問服務(wù)邊緣服務(wù)���。
支柱4: 應(yīng)用程序工作負載���。增強系統(tǒng)和應(yīng)用程序監(jiān)控能力,以檢測網(wǎng)絡(luò)威脅以及網(wǎng)絡(luò)和系統(tǒng)故障�。使用永不信任和永遠驗證的模型保護應(yīng)用程序。繼續(xù)推進云訪問安全代理�,調(diào)整DevSecOps和威脅情報功能,以嚴格掃描安全差距���,并符合FISMA�、FedRAMP�、HHS和其他安全要求。
支柱5: 數(shù)據(jù)�。保護FDA信息免受未經(jīng)授權(quán)的披露、訪問或濫用�。保護和加密傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)。增強FDA的數(shù)據(jù)丟失預(yù)防能力�,以防止敏感數(shù)據(jù)外泄,并實現(xiàn)和促進數(shù)據(jù)共享和協(xié)作�����。
上圖描述了零信任的3大支助支柱
支助支柱1:可見性和分析。通過利用FDA的下一代網(wǎng)絡(luò)安全平臺�,為近實時監(jiān)控、搜索�����、分析和記錄功能提供可見性和數(shù)據(jù)分析�����。該平臺將威脅情報源與身臨其境的儀表盤和高級分析引擎相集成���,結(jié)合實時和歷史數(shù)據(jù)關(guān)聯(lián)服務(wù)�,使得主動高效地識別和應(yīng)對網(wǎng)絡(luò)安全異常成為可能���。
支助支柱2: 自動化和流程編排�。自動化網(wǎng)絡(luò)安全和網(wǎng)絡(luò)基礎(chǔ)設(shè)施事件�����,并將其轉(zhuǎn)化為可操作的情報���,并通過FDA的網(wǎng)絡(luò)安全平臺支持安全工作負載自動化增強�����。自動化和協(xié)調(diào)指的是使分析師能夠迅速響應(yīng)來自惡意行為者的威脅���,并允許他們將注意力集中在案例而不是任務(wù)上的編程。
支助支柱3: 治理�����。在HHS CISO委員會和其他聯(lián)邦政府安全要求的指導(dǎo)下�,通過FDA網(wǎng)絡(luò)和數(shù)據(jù)安全咨詢委員會/小組委員會和技術(shù)委員會,為FDA的零信任活動提供治理支持和企業(yè)協(xié)調(diào)�。FDA的零信任方法符合我們的網(wǎng)絡(luò)安全戰(zhàn)略計劃2022- 2025、NIST特別出版物800-207���、零信任架構(gòu)�����、網(wǎng)絡(luò)安全框架�����、風(fēng)險管理框架以及網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的零信任成熟度模型�����。
FDA將使用基于CISA零信任成熟度模型中定義的標(biāo)準(zhǔn)的FDA零信任記分卡來衡量進展和成熟度水平�,如下所述:
• Traditional傳統(tǒng)。手動配置和分配屬性�、靜態(tài)安全策略、對外部系統(tǒng)的粗略依賴的支柱級解決方案�、在配置時建立的最少功能、策略實施的專有和不靈活支柱�、手動事件響應(yīng)和緩解部署。
• Advanced高級���。一些跨支柱協(xié)調(diào)�����、集中可見性�����、集中身份控制�����、基于跨支柱輸入和輸出的策略實施�����、對預(yù)定義緩解措施的一些事件響應(yīng)�����、與外部系統(tǒng)的依賴性的更多細節(jié)�����,以及一些基于狀態(tài)評估的最低權(quán)限更改�。
• Optimal 最佳���。將屬性完全自動分配給資產(chǎn)和資源�����,基于自動化/觀察到的觸發(fā)器的動態(tài)策略�����,具有用于動態(tài)最低權(quán)限訪問的自我枚舉依賴性的資產(chǎn)���,符合用于跨支柱互操作性的開放標(biāo)準(zhǔn)�,以及具有用于時間點回憶的歷史功能的集中可見性�。
這里主要介紹了?CMAP的主要目標(biāo),前文已有相關(guān)描述�。
京公網(wǎng)安備11010802046783號