美国政府问责局(Government Accountability Office)最近的一份报告显示,20个联邦机构未能在拜登政府规定的最后期限内,在其系统中实施最先进的网络事件记录要求,其中大多数机构甚至未能实施基本的事件跟踪标准。
在12月4日对23个联邦文职机构的绩效审计中,GAO发现“许多机构没有达到调查和补救(事件记录)能力的要求。”
乔·拜登总统于2021年5月发布了一项网络安全行政命令,部分要求各机构“建立日志记录、日志保留和日志管理的要求,以确保每个机构最高级安全运营中心的集中访问和可见性”。
管理和预算办公室随后于2021年8月发布了一份备忘录,建立了一个分层成熟度模型,以“帮助各机构优先考虑其努力和资源”,以遵守行政命令的要求。备忘录要求所有相关机构在2023年8月之前达到第三级合规要求,即“满足所有临界级别的日志记录要求”。
该报告发现,17家机构未能超越OMB的0级标准,其中“最高临界性的伐木要求要么没有达到,要么只是部分达到”。政府问责局发现,只有三个机构——小企业管理局、国家科学基金会和农业部——达到了OMB 8月份规定的第三级合规的最后期限。
报告称:“在各机构实施所有事件记录要求之前,联邦政府全面检测、调查和补救网络威胁的能力将受到限制。”
GAO将各机构未能充分准备和应对网络事件的原因归结为人员不足、事件记录方面的技术挑战以及网络威胁信息共享方面的限制。
报告指出,诸如“网络安全和基础设施安全局的现场网络事件响应援助、事件记录研讨会以及对网络威胁信息共享平台的指导和增强”等正在进行的举措,可以为各机构提供加强网络安全实践所需的支持。
报告补充说:“此外,还计划进行长期努力,例如实施国家劳动力和教育战略,以及CISA提供的新威胁情报平台,目标是在2024财政年度向联邦部门和机构推出第一阶段。”
GAO的报告向19个机构提出了20项建议,包括要求它们“全面实施事件记录要求”。
该报告发布之际,OMB发布了一份备忘录,其中包括新的网络安全目标和各机构在2024财年FISMA审查之前要达到的要求。
虽然国防部没有被包括在GAO的报告中,因为五角大楼不受适用于其他机构的相同网络要求的约束,但在解决网络漏洞方面,国防部也不能幸免。
五角大楼内部监督机构12月4日发布的一份特别报告警告说,国防部承包商在保护受控制的非机密信息方面继续面临挑战,包括未能实施多因素认证和使用弱密码。
本文来自作者[慕菲]投稿,不代表文学号立场,如若转载,请注明出处:https://8ucq.com/wenxuehao/7107.html
评论列表(4条)
我是文学号的签约作者“慕菲”!
希望本篇文章《监管机构表示,20个联邦机构错过了实施网络事件跟踪要求的最后期限》能对你有所帮助!
本站[文学号]内容主要涵盖:文学号, 名著深析, 创作秘笈, 经典文脉, 诗词鉴赏, 作家故事, 每日文萃, 写作指南, 文本细读, 文学灯塔, 经典重释
本文概览:美国政府问责局(GovernmentAccountabilityOffice)最近的一份报告显示,20个联邦机构...