网安 - 专业的网络安全产业、社区、知识平台

白宫发布2024财年网络安全预算备忘录

VSole2022-07-27 10:53:58

本周三,白宫发布备忘录公布了拜登政府的跨政府部门网络安全投资优先事项,并呼吁联邦民事行政部门(FCEB)在三个网络安全重点领域进行投资,分别是:

  • 提高政府网络的防御能力和弹性
  • 深化关键基础设施防御方面的跨部门合作
  • 加强数字化未来的基础

备忘录称,网络安全研发优先事项的指导可以在即将发布的政府部门重点研发项目2024财年预算备忘录中找到。“这些优先事项应在管理和预算办公室(OMB)公布的2024财年预算指导范围内解决。”

政府部门零信任战略落实到预算

管理和预算办公室(OMB)和美国国家网络总监办公室(ONCD)将审查政府部门对这些网络优先事项的反应,同时确定潜在差距和可能的解决方案来弥补这些差距。此外,这两个部门将协调向其他政府部门提供反馈,说明其网络优先事项是否得到充分解决并与整体网络安全战略和政策保持一致。

拜登在2021年5月的总统行政命令中呼吁美国政府“做出大胆的改变和重大投资,以捍卫支撑美国生活方式的重要机构”,加固IT系统和网络并推动其现代化。FCEB将以身作则,在2024财年预算提交中优先考虑零信任实施和IT现代化。

拜登政府在今年1月份的一份备忘录中指示各政府部门和机构选择最高价值应用作为零信任战略道路的起点。

“这一战略是一个起点,而不是一个完全成熟的零信任架构的综合指南。”备忘录说。该备忘录中规定的联邦零信任战略还要求各机构在2024财年年底之前实现具体的零信任安全目标,预计提交的预算需要优先确保完成这项工作。

“各政府部门已向OMB提交了零信任实施计划,来自OMB、ONCD和网络安全与基础设施安全局(CISA)的跨政府网络安全专家团队正在与各政府部门合作,以完善这些计划并确定可实现目标,”最新的备忘录指出:“联邦零信任战略定义了政府部门的优先目标,在部门内实现一致的网络安全基线,该基线基于最小特权原则、最小化攻击面以及机构安全边界被攻破的假设设计保护措施。”

白宫备忘录补充说:“这是FCEB运营的重大转变,各政府部门需要在预算中体现出对实现新的、更具弹性的安全基础态势的承诺。

关键基础设施安全:深化横向和垂直合作

备忘录指出,美国的关键基础设施越来越多地与网络空间交互并由网络空间定义,因此确保基础设施对网络威胁的防御和弹性需要“公共部门和私营企业之间前所未有的(垂直)合作水平”。此外还需要深化跨部门横向合作以确保关键基础设施机构的安全。

根据备忘录,美国各政府部门将在2024财年建立横向深度合作,优先考虑其部门风险管理机构(SRMA)的职责,并确保通过指定的网络安全中心进行充分的信息共享。

备忘录强调,2024财年预算提交应优先考虑具体提案,以确保SRMA有足够的资源来履行其第9002节的职责。这些提案应使SRMA能够与CISA和其他SRMA更紧密地合作,以改善各政府部门的集体(政府和行业)防御、响应和恢复流程。预算还应该促进政府和行业之间的信息交流,包括通过美国联邦网络中心和信息共享和分析组织以及信息共享和分析中心,以开发可操作的运营情报。这些措施还将提供有意义的威胁缓解建议。

各政府部门提交的材料还必须深入阐述与各部门相关的国家安全风险的详细内容,这些风险正在或可能被包括民族国家在内的对手利用。预算提案还需要更深入地了解威胁参与者的网络策略、技术和程序(TTPs)以及对每个部门构成的风险。最后,这些提案必须促进行业和政府在网络威胁情报、安全指标和防御措施(包括安全、物理或虚拟环境中的事件)方面加强共享和协作。

给数字化未来打下坚实基础

随着美国从数字化经济向数字经济转型,各机构在塑造、指导和推动这一转型方面做出的决策将在未来数十年内产生重大影响。FCEB各部门将优先考虑物理基础设施、人力资本和供应链风险管理。

随着拜登政府通过《基础设施投资和就业法案》(IIJA)对基础设施进行“千载难逢”的投资,FCEB各部门的预算应支持保护该基础设施免受网络攻击的威胁。

备忘录称,IIJA资金没有覆盖与技术支持相关的成本,因此2024财年的投资预算应优先为(关键基础设施安全)技术支持项目审查和评估提供资金,以应对网络安全威胁,并在现有标准不足的情况下为基础设施投资制定网络安全性能标准。此外还必须推动跨部门的协作,以便在整体设计和实施阶段为项目提供充分的安全保障。

对于供应链风险管理(SCRM),被网络指出成立联邦采购安全委员会的目的就是为了管理此类网络安全风险。

“联邦机构必须为自己的采购建立正式的SCRM计划,特别是与信息和通信技术和服务(ICTS)有关的项目,”备忘录指出:“这些规定即将在2023年底到期,有待立法将该规定延长至2026年。2023财年的总统预算对政府部门的SCRM计划进行了关键投资。各部门应在其2024财年提交的文件中延续这些投资。此外,各部门应将额外资源用于培训和适当跟踪供应链投资,以支持改进联邦政府整体SCRM的工作。”

来源:@GoUpSec

网络安全预算
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络安全预算中的成本陷阱
2023-11-29 17:23:44
最近,有关网络安全预算相关问题的数据出现了相互矛盾的现象。
网络安全预算正在上升,为什么数据泄露没有下降呢?
2023-02-08 10:15:09
网络安全在过去几年已经成为全球企业关注的主要事项。此外,将近70%的网络安全工作者认为他们的公司没有足够的网络安全人员。预计这一趋势将持续下去,全球网络安全支出预计每年增长11%,到2026年将达到2673亿美元。据报道,从2020年到2021年,这一数字同比增长了50%。因此,企业需要进行战略转变,将重点转移到预测威胁、实施预防性战略并提高敏捷性上面,以尽快发现和消除威胁。
企业网络安全预算场景下的风险量化评估探索与研究
2023-06-16 14:58:51
本文提出 将网络安全风险量化评估与戈登—洛布模型结合 起来分析企业的网络安全预算的收益情况。网络安全风险是指由于网络系统存在脆弱 性,因人为或自然的威胁导致安全事件发生所 造成的损失。网络风险评估就是评估威胁者利 用网络资产的脆弱性造成网络资产损失的严重 程度。一是对机密性的威胁。二是对完整性的威胁。GL 模型使用安全漏洞概率函数作为条件, 这些函数有两种类型,一种是线性型,另一种 是指数型。
三分技术七分人:网络安全预算该怎么花?
2021-10-28 08:57:15
2021年上半年,有1097个组织遭受了勒索软件攻击,而2020年全年为1112个。在接受调查的公司中,大约三分之二的公司没有专项预算来处理勒索软件攻击。规模较小的组织根本不太可能有任何解决方案,而只有10%到12%的员工规模超过1000人的企业没有勒索软件防御解决方案。当组织确实实施以勒索软件为中心的安全解决方案时,它通常与不同的产品或服务捆绑在一起。
企业网络安全预算控制条件:规划和谈判
2020-10-26 14:18:05
中断的影响 Olyaei认为,无法预料的危机或疫情可能引发网络安全预算的变化,但这种反应通常遵循典型的模式。在这种情况下,安全支出可能会增加。Olyaei还指出,预算必须“具有适应性并切合实际”,因此IT团队应制定预算计划以应对任何可能的情况。McKay说,如果供应商使用“白金客户”一词,这可能是一个好兆头,并表明该交易对该供应商的重要性。McKay建议与供应商谈判以压低价格,并询问在谈判合同时是否包括支持服务或折扣。
资金预算和员工培训,企业网络安全建设绕不过的两道坎
2023-02-07 09:12:20
企业内部人员安全意识培训公司自身防御体系对于应对网络威胁至关重要,但员工的安全意识同样不可或缺。因此,无论经济形势好坏,网络安全预算应始终排在企业支出前列,以避免产生更大的经济损失。调查结果显示,只有 5% 的受访者表示公司计划减少 IT 人员,67% 受访者其公司将保持人员配置不变,4% 不确定,甚至有 24% 的企业计划增加人员。
企业在决定网络安全预算分配时都会寻求“高性价比”
2023-12-04 17:15:42
目前,情报与网络安全咨询公司S-RM发布《网络安全洞察报告2023》,报告显示,企业在决定网络安全预算分配时都会寻求“高性价比”,并且“更为重视从现有资源获取价值”。
CISO正在努力争取网络安全预算
2023-09-28 14:29:42
在2022年第四季度的后半部分,许多CISO报告说,作为整体预算紧缩的一部分,他们被批准的2023年预算正在被大幅削减。
合理的网络安全预算比例是多少?
2023-07-04 09:52:34
德勤最近的研究发现,网络安全已经成为企业云计算数字化转型的核心,接近50%的数字化转型支出都与网络安全有关。令人担忧的是,教育、零售和制造业在网络安全方面的支出严重偏低。一位CISO透露,基准测试、预算编制和修正周期需要成为组织成功基因的一部分。此外,基准测试数据因行业的细分市场和子细分市场而异,因此了解其面临的独特挑战至关重要。
2023年的网络安全预算分配
2022-09-01 11:46:00
为了帮企业做到这一点,Forrester发布了一份报告。Forrester的副总裁兼研究总监Merritt Maxim说。公司在云安全方面支出不足,在本地安全方面支出过多报告指出,企业在云安全方面的支出可能不足。该报告的作者之一Maxim解释说。然而,Forrester预测,传统上对托管安全服务提供商的支出将转向新产品和提供更好结果的新提供商。
VSole
网络安全专家