去年12月，SolarWinds大規(guī)模供應(yīng)鏈攻擊被曝光，美國(guó)政府正在考慮修改網(wǎng)絡(luò)安全領(lǐng)域的游戲規(guī)則。

路透社披露，現(xiàn)任總統(tǒng)組建的美國(guó)政府正在醞釀中的一項(xiàng)總統(tǒng)行政命令草案中要求軟件公司向政府披露所遭受的任何安全問題。

美國(guó)國(guó)家安全委員會(huì)發(fā)言人對(duì)媒體表示：“聯(lián)邦政府需要能夠及早地介入調(diào)查，及時(shí)地進(jìn)行修復(fù)，保護(hù)美國(guó)人民免受威脅的侵害”。在提及SolarWinds事件時(shí)，發(fā)言人指出：“簡(jiǎn)而言之，我們無法應(yīng)對(duì)未知的問題”。

攻擊者利用植入惡意代碼的產(chǎn)品更新向眾多受害者部署了名為Sunburst的后門，攻擊者利用的產(chǎn)品是SolarWinds的Orion網(wǎng)絡(luò)管理平臺(tái)。從去年3月開始，Sunburst后門被下發(fā)到全球18000個(gè)組織，直到12月才被發(fā)現(xiàn)。借助Sunburst后門，攻擊者在大規(guī)模的受害者中選擇高價(jià)值目標(biāo)進(jìn)行滲透，對(duì)美國(guó)9個(gè)政府機(jī)構(gòu)產(chǎn)生了致命威脅，甚至包括微軟這樣的高科技公司。

據(jù)路透社報(bào)道，該草案要求政府使用的所有軟件都需要列出一份完整的清單，詳細(xì)解釋所有軟件和代碼的來源，包括所有的開源代碼和合作方的代碼。此外，草案還將強(qiáng)制要求聯(lián)邦機(jī)構(gòu)使用多因子認(rèn)證和數(shù)據(jù)加密。

?[[390708]]?

該草案還要求，供應(yīng)商要保留數(shù)字痕跡記錄，便于協(xié)助FBI和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)一起進(jìn)行事件響應(yīng)。草案還將致力于創(chuàng)建一個(gè)網(wǎng)絡(luò)安全事件響應(yīng)委員會(huì)，該委員會(huì)將承擔(dān)信息共享的責(zé)任。委員會(huì)由聯(lián)邦政府的代表、網(wǎng)絡(luò)安全研究員與供應(yīng)商組成，也會(huì)建立激勵(lì)和責(zé)任機(jī)制來鼓勵(lì)大家的參與。

美國(guó)國(guó)家安全委員會(huì)發(fā)言人表示，該行政命令草案可能會(huì)在下周盡快簽署發(fā)布，但到目前為止還沒有最終敲定。

參考來源：??ThreatPOST ??