FDA監(jiān)管的產(chǎn)品遍布美國(guó)的每個(gè)超市、藥店和家庭。網(wǎng)絡(luò)安全涉及FDA廣泛而復(fù)雜的職責(zé)的方方面面。這是FDA的首要任務(wù)之一，F(xiàn)DA對(duì)此非常重視，尤其是考慮到當(dāng)今日益增長(zhǎng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

在大流行期間，F(xiàn)DA經(jīng)歷了偵察活動(dòng)、拒絕服務(wù)、企圖利用和其他針對(duì)IT基礎(chǔ)設(shè)施的網(wǎng)絡(luò)事件增加了457%，這包括每月近95億個(gè)防火墻和入侵檢測(cè)塊。

FDA必須加強(qiáng)當(dāng)前的網(wǎng)絡(luò)安全防御，以應(yīng)對(duì)不斷變化的威脅環(huán)境，并保護(hù)支持我們監(jiān)管決策的重要數(shù)據(jù)。

為了實(shí)現(xiàn)這些新的能力，F(xiàn)DA正在信息安全辦公室(OIS)和數(shù)字轉(zhuǎn)型辦公室的指導(dǎo)下推進(jìn)全機(jī)構(gòu)范圍的網(wǎng)絡(luò)安全現(xiàn)代化方法。

OIS提供接近實(shí)時(shí)的網(wǎng)絡(luò)安全能力和風(fēng)險(xiǎn)管理方法，以保護(hù)敏感數(shù)據(jù)和信息系統(tǒng)，并以提供一流的、情報(bào)驅(qū)動(dòng)的網(wǎng)絡(luò)安全項(xiàng)目為愿景，實(shí)現(xiàn)FDA的公共衛(wèi)生使命。

2022.11.27，F(xiàn)DA引入網(wǎng)絡(luò)安全現(xiàn)代化行動(dòng)計(jì)劃(CMAP)，這是FDA企業(yè)數(shù)字化方法的下一個(gè)階段。

為了實(shí)現(xiàn)這一目標(biāo)，F(xiàn)DA正在將IT、數(shù)據(jù)和業(yè)務(wù)流程水平的進(jìn)步與改進(jìn)的網(wǎng)絡(luò)安全能力相結(jié)合。CMAP概述了FDA將采取的措施，以使其安全和網(wǎng)絡(luò)防御現(xiàn)代化，并實(shí)施“Zero Trust零信任”，零信任是一種策略或方法，可以確保正確的人在正確的時(shí)間正確地訪問(wèn)正確的資源。

OIS將在該機(jī)構(gòu)內(nèi)開(kāi)展工作，并與TMAP、DMAP和EMAP合作，實(shí)施FDA的2022-2025年網(wǎng)絡(luò)安全戰(zhàn)略計(jì)劃。CMAP還與最近“Presidential Executive Order 14028 Improving the Nation’s Cybersecurity”和“Office of Management and Budget OMB M-22-09 Moving the U.S. Government Toward Zero Trust Cybersecurity Principals”保持一致。

CMAP的主要目標(biāo)是:

• 建立全面的零信任方法，以促進(jìn)新的數(shù)字服務(wù)和現(xiàn)代化工作。

• 促進(jìn)軟件保障最佳實(shí)踐，在每個(gè)開(kāi)發(fā)生命周期階段都包括安全措施。

• 增強(qiáng)FDA及其公共衛(wèi)生合作伙伴之間的互操作性和安全性數(shù)據(jù)交換和協(xié)作。

• 利用人工智能和機(jī)器學(xué)習(xí)技術(shù)來(lái)增強(qiáng)網(wǎng)絡(luò)檢測(cè)和響應(yīng)能力。

• 將反情報(bào)和內(nèi)部風(fēng)險(xiǎn)原則與零信任模型相結(jié)合，以實(shí)現(xiàn)情報(bào)驅(qū)動(dòng)的方法。

• 優(yōu)先考慮并投資于FDA的網(wǎng)絡(luò)安全勞動(dòng)力。

隨著網(wǎng)絡(luò)威脅格局在全球范圍內(nèi)演變，威脅參與者帶來(lái)了不斷變化的挑戰(zhàn)。FDA將使其網(wǎng)絡(luò)防御現(xiàn)代化，并將繼續(xù)發(fā)展員工隊(duì)伍，以滿(mǎn)足當(dāng)前和未來(lái)的網(wǎng)絡(luò)安全需求。FDA員工活動(dòng)將側(cè)重于采用新的流程和技術(shù)來(lái)培養(yǎng)一支技術(shù)熟練的員工隊(duì)伍，這支隊(duì)伍將利用最先進(jìn)的技術(shù)和先進(jìn)的流程來(lái)應(yīng)對(duì)快速變化的威脅環(huán)境的挑戰(zhàn)。

?我們來(lái)看看網(wǎng)絡(luò)安全現(xiàn)代化行動(dòng)計(jì)劃的具體內(nèi)容：

從上可以看出，F(xiàn)DA的網(wǎng)絡(luò)安全計(jì)劃仍然逐步關(guān)注企業(yè)范圍的網(wǎng)絡(luò)防御，其目標(biāo)將通過(guò)持續(xù)推進(jìn)FDA’s Cybersecurity Strategic Plan 2022 - 2025 中的六個(gè)戰(zhàn)略?xún)?yōu)先事項(xiàng)來(lái)實(shí)現(xiàn)，并以此為指導(dǎo)：

• 優(yōu)先級(jí)1: 數(shù)據(jù)和信息保護(hù)

• 優(yōu)先級(jí)2: 網(wǎng)絡(luò)安全、創(chuàng)新和技術(shù)

• 優(yōu)先級(jí)3: 網(wǎng)絡(luò)、威脅和漏洞管理

• 優(yōu)先級(jí)4: 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和合規(guī)性

• 優(yōu)先級(jí)5: 客戶(hù)參與和網(wǎng)絡(luò)安全員工發(fā)展

• 優(yōu)先級(jí)6: 反情報(bào)和內(nèi)部威脅

從上可以看出，F(xiàn)DA正在通過(guò)實(shí)施零信任、安全云計(jì)算、多因素認(rèn)證、加密、威脅檢測(cè)、漏洞管理和其他網(wǎng)絡(luò)防御功能來(lái)增強(qiáng)我們的網(wǎng)絡(luò)安全保護(hù)。CMAP、改善國(guó)家網(wǎng)絡(luò)安全的第14028號(hào)總統(tǒng)行政命令、OMB管理和預(yù)算辦公室M-22-09推動(dòng)美國(guó)政府走向零信任網(wǎng)絡(luò)安全原則，以及其他網(wǎng)絡(luò)安全倡議與FDA的2022-2025年網(wǎng)絡(luò)安全戰(zhàn)略計(jì)劃保持一致。這些努力也支持FDA的技術(shù)現(xiàn)代化行動(dòng)計(jì)劃、數(shù)據(jù)現(xiàn)代化行動(dòng)計(jì)劃和企業(yè)現(xiàn)代化行動(dòng)計(jì)劃。ODT已經(jīng)制定了FDA零信任網(wǎng)絡(luò)安全防御實(shí)施計(jì)劃，它將作為有效實(shí)現(xiàn)現(xiàn)代化和過(guò)渡到零信任模式的路線(xiàn)圖。

FDA零信任網(wǎng)絡(luò)安全網(wǎng)絡(luò)防御實(shí)施計(jì)劃建立在基本網(wǎng)絡(luò)安全概念和技術(shù)的基礎(chǔ)上，以達(dá)到最佳的成熟度級(jí)別。該計(jì)劃包括升級(jí)、現(xiàn)代化和增強(qiáng)我們的安全和網(wǎng)絡(luò)防御，以應(yīng)對(duì)FDA的IT基礎(chǔ)設(shè)施和敏感數(shù)據(jù)面臨的不斷變化的威脅、漏洞和風(fēng)險(xiǎn)。該倡議包括三個(gè)關(guān)鍵領(lǐng)域:倡議協(xié)調(diào)和監(jiān)督、主要支柱和支助支柱。FDA將在這些活動(dòng)中運(yùn)用專(zhuān)業(yè)知識(shí)、協(xié)調(diào)和監(jiān)督資源，以成功實(shí)現(xiàn)我們的零信任目標(biāo)。

?

上圖描述了零信任的5大主要支柱

支柱1: 身份。實(shí)施強(qiáng)大的身份憑據(jù)和訪問(wèn)管理工具、原則和多因素身份認(rèn)證，以防范身份欺騙、網(wǎng)絡(luò)釣魚(yú)和未經(jīng)授權(quán)的環(huán)境訪問(wèn)企圖。

支柱2:設(shè)備。實(shí)施技術(shù)能力來(lái)保護(hù)筆記本電腦、工作站、服務(wù)器、智能手機(jī)和平板電腦。實(shí)施設(shè)備清單監(jiān)控、儀表板以及端點(diǎn)檢測(cè)和響應(yīng)，以實(shí)現(xiàn)跟蹤目的。

支柱3：網(wǎng)絡(luò)環(huán)境。實(shí)施網(wǎng)絡(luò)安全并使其現(xiàn)代化。繼續(xù)減少潛在的攻擊面，實(shí)施軟件定義的網(wǎng)絡(luò)、現(xiàn)代云連接、網(wǎng)絡(luò)分段和安全訪問(wèn)服務(wù)邊緣服務(wù)。

支柱4: 應(yīng)用程序工作負(fù)載。增強(qiáng)系統(tǒng)和應(yīng)用程序監(jiān)控能力，以檢測(cè)網(wǎng)絡(luò)威脅以及網(wǎng)絡(luò)和系統(tǒng)故障。使用永不信任和永遠(yuǎn)驗(yàn)證的模型保護(hù)應(yīng)用程序。繼續(xù)推進(jìn)云訪問(wèn)安全代理，調(diào)整DevSecOps和威脅情報(bào)功能，以嚴(yán)格掃描安全差距，并符合FISMA、FedRAMP、HHS和其他安全要求。

支柱5: 數(shù)據(jù)。保護(hù)FDA信息免受未經(jīng)授權(quán)的披露、訪問(wèn)或?yàn)E用。保護(hù)和加密傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)。增強(qiáng)FDA的數(shù)據(jù)丟失預(yù)防能力，以防止敏感數(shù)據(jù)外泄，并實(shí)現(xiàn)和促進(jìn)數(shù)據(jù)共享和協(xié)作。

上圖描述了零信任的3大支助支柱

支助支柱1:可見(jiàn)性和分析。通過(guò)利用FDA的下一代網(wǎng)絡(luò)安全平臺(tái)，為近實(shí)時(shí)監(jiān)控、搜索、分析和記錄功能提供可見(jiàn)性和數(shù)據(jù)分析。該平臺(tái)將威脅情報(bào)源與身臨其境的儀表盤(pán)和高級(jí)分析引擎相集成，結(jié)合實(shí)時(shí)和歷史數(shù)據(jù)關(guān)聯(lián)服務(wù)，使得主動(dòng)高效地識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)安全異常成為可能。

支助支柱2: 自動(dòng)化和流程編排。自動(dòng)化網(wǎng)絡(luò)安全和網(wǎng)絡(luò)基礎(chǔ)設(shè)施事件，并將其轉(zhuǎn)化為可操作的情報(bào)，并通過(guò)FDA的網(wǎng)絡(luò)安全平臺(tái)支持安全工作負(fù)載自動(dòng)化增強(qiáng)。自動(dòng)化和協(xié)調(diào)指的是使分析師能夠迅速響應(yīng)來(lái)自惡意行為者的威脅，并允許他們將注意力集中在案例而不是任務(wù)上的編程。

支助支柱3: 治理。在HHS CISO委員會(huì)和其他聯(lián)邦政府安全要求的指導(dǎo)下，通過(guò)FDA網(wǎng)絡(luò)和數(shù)據(jù)安全咨詢(xún)委員會(huì)/小組委員會(huì)和技術(shù)委員會(huì)，為FDA的零信任活動(dòng)提供治理支持和企業(yè)協(xié)調(diào)。FDA的零信任方法符合我們的網(wǎng)絡(luò)安全戰(zhàn)略計(jì)劃2022- 2025、NIST特別出版物800-207、零信任架構(gòu)、網(wǎng)絡(luò)安全框架、風(fēng)險(xiǎn)管理框架以及網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的零信任成熟度模型。

FDA將使用基于CISA零信任成熟度模型中定義的標(biāo)準(zhǔn)的FDA零信任記分卡來(lái)衡量進(jìn)展和成熟度水平，如下所述:

• Traditional傳統(tǒng)。手動(dòng)配置和分配屬性、靜態(tài)安全策略、對(duì)外部系統(tǒng)的粗略依賴(lài)的支柱級(jí)解決方案、在配置時(shí)建立的最少功能、策略實(shí)施的專(zhuān)有和不靈活支柱、手動(dòng)事件響應(yīng)和緩解部署。

• Advanced高級(jí)。一些跨支柱協(xié)調(diào)、集中可見(jiàn)性、集中身份控制、基于跨支柱輸入和輸出的策略實(shí)施、對(duì)預(yù)定義緩解措施的一些事件響應(yīng)、與外部系統(tǒng)的依賴(lài)性的更多細(xì)節(jié)，以及一些基于狀態(tài)評(píng)估的最低權(quán)限更改。

• Optimal 最佳。將屬性完全自動(dòng)分配給資產(chǎn)和資源，基于自動(dòng)化/觀察到的觸發(fā)器的動(dòng)態(tài)策略，具有用于動(dòng)態(tài)最低權(quán)限訪問(wèn)的自我枚舉依賴(lài)性的資產(chǎn)，符合用于跨支柱互操作性的開(kāi)放標(biāo)準(zhǔn)，以及具有用于時(shí)間點(diǎn)回憶的歷史功能的集中可見(jiàn)性。

這里主要介紹了?CMAP的主要目標(biāo)，前文已有相關(guān)描述。