美国政府机构如何验证私人承包商的安全软件？

参议员Ron Wyden（D-Ore）说：“政府迫切需要为软件和服务设置最低安全要求，并拒绝购买任何不符合这些标准的产品。” “联邦机构花费数十亿美元用于安全性，然后将政府合同授予产品不安全的公司，这是令人难以置信的自负。”

在过去的一周中，各机构争先恐后地从其网络中清除了恶意代码，而高级官员则挤在紧急会议上，而据报道，联邦政府，州政府和私营企业中有更多的受害者。随着攻击范围的扩大，网络专家警告说，清理混乱可能需要数月或数年。

SolarWinds的33万客户包括关键的联邦机构，主要的电信公司，军队的每个分支机构以及《财富》 500强企业的五分之四，这是功能失调最极端的例子之一，但这种情况远非如此。只有保护不善的供应商才能加入世界上最重要的计算机网络。

美国政府依靠各种规模的私人供应商为其代理机构提供软件。其中一些拥有专业的安全团队，例如提供云托管服务的亚马逊和提供软件帮助机构处理大量数据的SAP。网络分析人士说，但是其他一些公司，无论大小，都没有严格的安全测试程序，更容易受到这种破坏。

联邦调查人员周四表示，SolarWinds的Orion软件并不是黑客入侵其目标的唯一方法，并警告“尚未发现的其他初始访问媒介，战术，技术和程序……”。

现在，黑客已经有数月的时间在联邦网络中建立立足点，网络安全和基础设施安全局警告说，将其删除“将是非常复杂和具有挑战性的”。

SolarWinds黑客事件-官员与俄罗斯外国情报服务，SVR相关联，而国务卿迈克庞培（Mike Pompeo）周五晚间公开地指责俄罗斯-反映出一种复杂程度，可能无法完全阻止，但技术专家和政策制定者表示，软件开发和采购方法至少可以给防御者带来战斗的机会。

国会网络安全核心小组的联合创始人吉姆·兰格文（D-R.I。）说，对软件供应链中的供应商的攻击是一个需要优先处理的已知问题。

朗格文说：“ SolarWinds事件……强调了供应链安全是一个必须摆在首位和中心位置的话题。”

他说，国会需要“激励”公司，使其软件更加安全，这可能需要进行昂贵的更改。

CISA供应链风险管理计划的前负责人埃米尔·莫内特（Emile Monette）说：“绝对需要对这类公司进行更多的监督。”他说，政府应该要求承包商证明他们的软件没有“中等影响的漏洞”。通常，供应商仅确保其软件没有特别危险的漏洞，这些漏洞被标记为“严重”或“严重影响”。

私营公司会定期部署带有未发现错误的软件，因为开发人员缺乏充分检查它们的时间，技能或动力。

Monette说，代理商必须“准备为购买的产品增加安全性付出代价”，并鼓励政府在软件安全等领域“加倍投资”。

但是，对于联邦机构和《财富》 500强公司来说，当他们不了解所购买商品的复杂性或存在缺陷的方式时，很难找出弱点。

CISA的前网络安全助理总监Bryan Ware说：“安全不是一个重要的考虑因素，甚至不是一个很好的理解。” “大量经验丰富的[首席信息官]购买并部署了[SolarWinds的软件]，所以不仅仅是我要问的供应商。”

没有哪个政府机构在哪个办公室使用哪个软件的集中清单，这就是为什么花费了很长时间来确定机构是否被黑客入侵的原因之一。

CISA前副主任马修·特拉维斯（Matthew Travis）表示：“首要问题仍然是试图让我们掌握101个民用行政部门网络上的所有应用程序和软件。”

特拉维斯（Travis）哀叹分散的方法，并鼓励国会授权CISA和OMB“重新架构古老的联邦企业”，并将更多应用程序推向云。

确实存在的自动网守-两个由CISA运行的网络安全程序-都不具备识别SolarWinds入侵的能力，更不用说阻止入侵了。

一个名为“爱因斯坦”的程序旨在阻止威胁越过阈值进入联邦民用机构的网络，但只能发现以前看到的恶意活动，这是黑客通过使用以前未标记为服务器的服务器精心利用的缺点。恶意的。

另一个是“持续诊断和缓解”，它将扫描和监视服务集中在一起，这些服务应该能够发现和阻止那些网络上的可疑​​行为。但是CDM对应该产生危险信号的理解仅限于明显可疑的活动，例如非现场传输大量加密文件，而被感染的SolarWinds更新则不会发生。

国会中有些人准备采取行动。众议员泰德·里乌（D.Calif。）在一份声明中说，他正在“制定法律，以确保与美国政府有业务往来的供应商维持漏洞披露政策。”

“政府规定的安全要求可能对HARM安全有帮助，而不是帮助它。”前众议院情报委员会高级助理，特朗普过渡时期国家安全顾问安迪·凯泽（Andy Keiser）在一封电子邮件中写道。 “标准太慢，过时，麻烦（并且）选择不正确的赢家和输家。”

韦尔说，国会应该“认真研究软件设计中的过失处罚”，但只能以有限的方式进行，“因为它可能导致负面的意想不到的后果。”

政府已经为云平台和国防工业基地承包商运行了安全认证计划。韦尔说，国会可以对其进行审查和修改，以应对这一新挑战。

无论在第117届国会中由谁控制参议院，由民主党领导的众议院可能对新的联邦命令更加开放。要求匿名讨论内部计划的众议院国土安全委员会助手说，现在讨论法规还为时过早，但他补充说：“我敢肯定，新的一年我们将就[SolarWinds]举行听证会。”

一些专家说，与其对供应商施加新的安全性要求，不如说代理商应更加注意所购买的软件并定期测试其缺陷。

战略与国际研究中心的网络专家詹姆斯·刘易斯（James Lewis）提出了行政命令指导机构“监视和更好地管理其对此类平台的使用”的想法，并要求针对特定行业的监管机构要求这些机构具有相同的要求。关键行业的公司，例如电力和医疗保健。

刘易斯说：“需要的东西类似于苹果在App Store上所做的事情，”刘易斯指出，这家科技巨头会审查每个提交的应用程序，只批准那些证明其安全的应用程序。

一些私有公司确实以这种方式监视第三方软件，但是例行软件审核可能会给联邦机构带来沉重负担，其中很少有联邦机构拥有足够的安全人员来执行其现有任务之外的这项工作。

一种方法是将软件测试集中在一个机构。最自然的选择可能是CISA，它于4月成为政府网络安全服务中心市场的运营商。

韦尔说，这可以防止一种情况，即一个机构发现整个政府使用的软件存在问题，但没有向其他客户报告。

“人才到处都是短缺的，没有人会自愿去调动，而国土安全部则没有从情报人才，国防部和联邦调查局等人才那里窃取情报的能力，”刘易斯说过。相反，他建议软件安全监督始于OMB，OMB有权向其他机构发布法令。

尽管进展缓慢，但政府的某些部门已经在努力鼓励更好的编码实践。

两年多来，一个联邦机构一直在召集外部专家会议，讨论软件的一种成分标签的创建，即一种“材料清单”，该标签将使每个程序中使用的代码透明。尽管此软件物料清单无法完全解决导致SolarWinds危机的问题，但Ware和其他网络专家表示，它将通过使应用程序的数字内容更加透明来鼓励进行更仔细的编码。

这项工作背后的机构是商务部的国家电信和信息管理局（National Telecommunications and Information Administration），这是最早发现它在SolarWinds活动中遭到黑客攻击的机构之一。