Heimatschutzministerium Angekündigt Schaffen Sie ein neues Überprüfungsgremium für Cybersicherheit, das Cybersicherheitsexperten aus öffentlichen und privaten Organisationen zusammenbringen wird, um „wichtige Cybersicherheitsfragen zu überprüfen und zu überprüfen“.
Es gab ein Brett. Teil der von Präsident Joe Biden unterzeichneten Durchführungsverordnung. vergangenes Jahr. Experten fordern die Bundesregierung seit langem auf, eine Organisation ähnlich dem National Transportation Safety Board für Cyber-Sicherheitsvorfälle einzurichten, um Flugzeugabstürze und Transportzwischenfälle zu untersuchen.
Heimatschutzminister Alejandro Meirkas sagte, der Vorstand werde „vergangene Ereignisse überprüfen, schwierige Fragen stellen und Verbesserungen im privaten und öffentlichen Sektor vornehmen“.
Das DHS sagte, der Vorstand werde mit seiner ersten Arbeit zu verwandten Themen beginnen. Protokoll 4J Denn die mit der Softwarebibliothek verbundenen Schwachstellen würden „von einer wachsenden Bedrohungsgruppe ausgenutzt“ und „stellen eine unmittelbare Herausforderung für Netzwerkschützer dar“.
„Als eine der schwerwiegendsten Bedrohungen, die in den letzten Jahren entdeckt wurden, wird dieser Test viele Lektionen für die Cybersicherheitsgemeinschaft lehren. Das Weiße Haus und das DHS waren sich einig, dass die Konzentration auf den damit verbundenen Rechtsbehelfsprozess der wichtigste erste Einsatz war. CSRB-Expertise, “DHS erklärt.
Auf Nachfrage von ZD-Netz Warum der Vorstand an Log4J arbeitete, bevor er die damit verbundenen Probleme überprüfte. Skandal um SonnenwindeEin Sprecher des DHS sagte, die Bundesregierung und der Privatsektor hätten im vergangenen Jahr „verschiedene Überprüfungen“ der Vereinbarung durchgeführt und entschieden, dass die beste Nutzung der Expertise des Cybersecurity Review Board darin bestehe, seine erste Überprüfung zu überprüfen die Softwarebibliothek und den Korrekturprozess.
Er stellte fest, dass die Log4J-Softwarebibliothek weit verbreitet und relativ einfach zu verwenden ist und einen erheblichen Einfluss auf das Netzwerk haben kann. Ein DHS-Sprecher sagte, die Überprüfung und Empfehlungen des Vorstands würden „aktuelle Erkenntnisse und Empfehlungen zu den Aktivitäten berücksichtigen, die zur Existenz und Nutzung der Cyber Unified Coordination Group vom Dezember 2020 führten („Solar Winds Incident“). Auch provozierte die Aufnahme von Elementen. Reaktionen auf Bedrohungen oder Ereignisse. “
Der Vorstand wird aus 15 Mitgliedern bestehen, die dem DHS und dem Weißen Haus Empfehlungen unterbreiten werden. DHS Under Secretary for Policy Robert Silvers wird als Vorsitzender fungieren und Heather Adkins, Senior Director for Security Engineering von Google, wird stellvertretende Vorsitzende sein.
CISA-Direktorin Jane Esterley wird die Vorstandsmitglieder ernennen und für die Verwaltung, Unterstützung und Finanzierung der Bemühungen verantwortlich sein.
Der erste Bericht des Vorstands wird im Sommer erscheinen und die Schritte auflisten, die sowohl von der Regierung als auch vom Privatsektor unternommen wurden, um das Problem von Log4J zu verringern.
Die Vorstandsmitglieder werden auch allgemeinere Ratschläge zum Umgang mit den relevanten Risikoaktivitäten geben und „die Richtlinien auf der Grundlage von Cybersicherheits- und Vorfallreaktionsmethoden und Lehren aus der Log4J-Bedrohung verbessern“.
Nach Angaben des DHS wird eine überarbeitete Version des Berichts der Öffentlichkeit zugänglich gemacht.
Silvers sagte, er und andere Vorstandsmitglieder seien „helle Stars auf dem Feld“ und er habe die Ehre, mit ihnen als Vorstandsvorsitzender zu dienen.
„Wenn es zu einem größeren Cyber-Vorfall kommt, betrifft das uns alle“, fügte Adkins hinzu. „CSRB ist eine wichtige Gelegenheit, umfassende Bewertungen und zukunftsweisende Lösungen für Organisationen und Sektoren bereitzustellen. Ich fühle mich geehrt, mit diesem vielfältigen Talent sowohl von Privatunternehmen als auch von der US-Regierung zu dienen. Dann beginnen wir mit dieser Öffnung. Schauen Sie mal rein.“
Weitere Vorstandsmitglieder sind Dmitry Alprovich, Mitbegründer und Vorsitzender des Sloverado Policy Accelerator, John Carlin, Principal Associate Deputy Attorney General des DOJ, Chris DeRosha, Federal Chief Information Security Officer des Office of Management and Budget, und Chris Inglis , Nationaler Cyber-Direktor. ۔ Rob Joyce, Direktor von NSA Cybersecurity; Katie Mousouris, Gründerin von Luta Security; David Masington, Executive Assistant Director of Infrastructure Security bei CISA; Chris Novak, Mitbegründer des Verizon Threat Research Advisory Center; CIO John Sherman Brian Werndern, Assistant Director des FBI, Kemba Walden, Assistant General Counsel von Microsoft, und Wendy Whitmore, Senior Vice President von Palo Alto Networks.
Experten lobten die Einrichtung des Cyber Review Board und stellten fest, dass das Land Experten brauche, um wichtige Cyber-Vorfälle langfristig zu überprüfen, um eine einheitliche Reaktion auf Notfälle zu ermöglichen.
Jonathan Reber von Attack IQ, ehemaliger Chief Strategy Officer für Cyberpolitik im Pentagon während der Obama-Regierung, sagte: ZD-Netz Diese Behörden müssen aus vergangenen Ereignissen lernen, Lehren zusammenstellen und diese Lehren dann an die Welt weitergeben.
Reber sagte: „Ein so talentiertes Team von Denkern und Kommunikatoren zu haben – von Dmitry Alprovich über Kate Mussoorie bis hin zu allen auf der Liste – das wichtige Cybersicherheitsthemen überprüft und Empfehlungen weitergibt. Das wäre eine große Hilfe.“ “Ihre Erkenntnisse werden Organisationen sowohl im privaten als auch im öffentlichen Sektor dabei helfen, strategische Änderungen vorzunehmen und die Bereitschaft zur Cybersicherheit zu verbessern.”
Andere Experten wie Casey Ellis, Gründer von Bugcrowd, lobten das Board dafür, dass es mit einem Problem wie Log4J begonnen habe, weil es auf einzigartige Weise eine große Anzahl von Partnern und Systemschwachstellen aufgedeckt habe. Laut Ellis wird die Überprüfung des Problems mehr Informationen über die Sicherheit der Open-Source-Lieferkette, den gleichzeitigen Umgang mit nicht erfahrenen und erfahrenen Gegnern, die Produktvalidierung und Regressionsanalyse nach dem Patch und vieles mehr liefern.
Er fügte hinzu, dass es gut wäre, eine Antwort auf diese Frage zu bekommen: “Was würden wir tun, wenn die Dinge die Fans während der Ferienzeit treffen würden?”
Der Cyber-Ingenieur Mike Parkin merkte jedoch an, dass der Vorstand keine Regulierungsbehörde haben würde, was weitere Fragen darüber aufwerfen würde, wie seine Empfehlungen in der realen Welt verwendet würden.
Einige sahen die Bemühungen kritischer und fragten sich, ob die Ergebnisse des Ausschusses in die Praxis umgesetzt würden.
„Grundsätzlich müssen wir uns fragen: Fehlt es an der Analyse der gewonnenen Erkenntnisse, die Cyber-Bedrohungen aufrechterhalten, oder fehlt es an Nachverfolgung und Verantwortlichkeit, die Cyber-Bedrohungen aufrechterhalten?“ Das heißt, Kreativität ist erforderlich. Neues Wissen oder die Absicht, vorhandenes Wissen umzusetzen?“ Sagte Tim Wade, technischer Direktor von Vectra.
“Mein persönliches Vorurteil ist der Glaube an Letzteres, daher hängen meine Erwartungen an die Effektivität eines solchen Gremiums von seiner Fähigkeit ab, Maßnahmen zu erzwingen.”