新特朗普行政命令对网络安全造成重大打击

关于安全软件、抗量子加密等条款被取消。

图片来源： Getty Images | Erik Pronske Photography

网络安全从业者对白宫发布的一项行政命令表示担忧，该命令取消了以下要求：保护政府使用的软件、惩罚破坏敏感网络的人员、制定能够抵御量子计算机攻击的新加密方案以及其他现有管控措施。

该行政命令
(EO)，于6月6日发布，推翻了乔·拜登总统制定的多项关键网络安全指令，其中一些指令甚至是在他1月任期结束前几天才发布的。伴随唐纳德·特朗普行政命令发布的声明
称拜登的指令”试图将有问题且分散注意力的问题纳入网络安全政策”，并将其描述为”政治足球”。

亲企业、反监管

特朗普取消或放宽的具体指令包括：(1) 要求联邦机构和承包商采用市场上可用的抗量子加密产品，(2) 为联邦机构和承包商使用的软件和服务实施严格的《安全软件开发框架》(SSDF)，(3) 采用抗钓鱼措施，如WebAuthn标准用于承包商和机构使用的网络登录，(4) 实施通过边界网关协议保护互联网路由的新工具，以及(5) 鼓励使用数字身份形式。

在许多方面，行政命令至少和政策制定一样是表演性质的。拜登的网络安全指令主要属于后者。

例如，关于安全软件开发框架的规定源于2020年SolarWinds供应链攻击的严重后果。在此次事件中，与俄罗斯政府有关的黑客入侵了广泛使用的云服务SolarWinds的网络。黑客随后推送了一个恶意更新，将后门分发给超过18,000名客户，其中许多是联邦政府的承包商和机构。

商业部、财政部、国土安全部和国家卫生研究院均遭到破坏。微软、英特尔、思科、德勤、火眼和CrowdStrike等大量私营公司也遭到入侵。

作为回应，拜登的行政命令要求网络安全与基础设施安全局建立一种”通用格式”的自我声明，以证明向联邦政府销售关键软件的组织遵守了SSDF的规定。该声明由公司高管签署。

特朗普的行政命令取消了这一要求，并指示国家标准与技术研究院(NIST)制定SSDF的参考安全实施，不再需要进一步的声明。新实施将取代SP 800-218，即政府现有的SSDF参考实施，尽管特朗普行政命令要求新指南应以此为基础。

批评者表示，这一改变将允许政府承包商规避要求他们主动修复导致SolarWinds漏洞的网络安全漏洞的指令。

“这将使人们通过打勾方式通过’我们复制了实施’，而实际上并未遵循SP 800-218中的安全控制精神，”前国家安全局黑客、现为网络安全公司Hunter Strategy的研究与开发副总裁Jake Williams在接受采访时表示。”很少有组织真正遵守SP 800-218的规定，因为它们对开发环境施加了繁重的安全要求，而这些环境通常[就像]西部荒野。”

特朗普的行政命令还取消了要求联邦机构采用抗量子计算机攻击加密方案的要求。拜登此举旨在推动NIST正在开发的新抗量子算法的实施。

“我们最终得到的是更少的明确指导和更少的建议，而我们本就缺乏这些，”拥有30年网络安全治理经验的Alex Sharpe表示。他和其他行业专家警告称，向抗量子算法过渡将是政府和私营部门面临的最大技术挑战之一。这反过来又会增加对整个软件堆栈、数据库和其他现有基础设施进行改造工作的阻力。

“现在既然执行机制被取消了，将有很多组织不太可能处理这个问题，”他说。

特朗普还取消了国务院和商务部鼓励关键外国盟友和海外行业采用NIST的PQC算法的指示。

行政命令规定的其他变化包括：

• 禁止财政部制裁涉及针对美国基础设施网络攻击的美国人员。白宫发布的声明称，这一改变将防止”对国内政治对手的滥用”。
• 取消声明边界网关协议（BGP）是”易受攻击的”的语言。同时取消了现有要求，即商务部与NIST合作，发布实施”操作可行的BGP安全方法”的指南，例如资源公钥基础设施并为政府网络和承包服务提供商创建路由起源授权。这些防御措施旨在防止劫持 IP地址 属于银行和其他关键基础设施的BGP攻击和失误。
• 取消拜登政府鼓励使用数字身份文件的计划。白宫声明称实施数字ID”可能被非法移民滥用以不当获取公共福利”。

“我认为这非常亲企业、反监管，”Williams对新行政命令的整体基调表示。除了削弱SSDF要求外，他表示：”删除BPG安全信息是对ISP的馈赠，他们知道这是个问题，但也知道修复它将很昂贵。”

Sharpe表示，大多数被删除的要求”很有道理”。谈到特朗普时，他补充道：”他谈论的是合规负担。那非合规的负担呢？”