Mỹ lập hội đồng đánh giá các sự cố an ninh mạng, bắt đầu với lỗ hổng Log4J

Theo Zdnet và các trang báo của Mỹ đưa tin ngày 4/2, DHS đã chính thức công bố về việc thành lập Hội đồng đánh giá An toàn không gian mạng (CSRB) mới với các chuyên gia an ninh mạng từ các tổ chức công và tư để "xem xét và đánh giá các sự kiện an ninh mạng quan trọng".

Bắt đầu từ lỗ hổng Log4J

Việc thành lập Hội đồng là thực hiện nhiệm vụ theo Sắc lệnh mà Tổng thống Joe Biden đã ký ban hành vào năm ngoái. Các chuyên gia từ lâu đã thúc giục chính phủ liên bang thành lập một tổ chức về đánh giá các sự cố an ninh mạng giống như Hội đồng An toàn giao thông quốc gia, chuyên điều tra các vụ tai nạn máy bay và các sự cố giao thông vận tải.

Bộ trưởng Bộ An ninh Nội địa Alejandro Mayorkas cho biết hội đồng sẽ "đánh giá kỹ lưỡng các sự cố trong quá khứ, đưa ra các câu hỏi khó và thúc đẩy cải thiện trong khu vực tư và công".

DHS cho biết hội đồng sẽ bắt đầu công việc đầu tiên của mình về các vấn đề liên quan đến lỗ hổng Log4J vì các lỗ hổng liên quan đến thư viện phần mềm "đang bị khai thác bởi một số lượng lớn các tác nhân đe dọa" và "đặt ra một thách thức cấp bách đối với những người bảo vệ mạng".

"Là một trong những lỗ hổng nghiêm trọng nhất được phát hiện trong những năm gần đây, việc đánh giá lỗ hổng này sẽ mang lại nhiều bài học kinh nghiệm cho cộng đồng an ninh mạng. Nhà Trắng và DHS cùng nhau xác định việc tập trung vào lỗ hổng này và quy trình khắc phục liên quan là cách tận dụng chuyên môn của CSRB đầu tiên và quan trọng nhất", DHS cho hay.

Hội đồng tập trung vào Log4J trước khi xem xét một loạt các vấn đề liên quan đến vụ việc SolarWinds. Một phát ngôn viên của DHS cho Zdnet biết chính phủ liên bang và khu vực tư nhân đã tiến hành "nhiều cuộc đánh giá" về các xâm phạm trong năm qua và quyết định tốt nhất là tận dụng chuyên môn của Hội đồng với công việc đầu tiên là tập trung đánh giá các lỗ hổng trong thư viện phần mềm Log4J và các quy trình khắc phục liên quan.

Hội đồng lưu ý thư viện phần mềm Log4J được sử dụng rộng rãi, tương đối dễ khai thác và có thể gây ra tác động đáng kể đến mạng lưới. Người phát ngôn của DHS cho biết việc xem xét và khuyến nghị của hội đồng "sẽ xem xét các phát hiện và khuyến nghị hiện có liên quan đến các hoạt động đã thúc đẩy Nhóm điều phối hợp nhất không gian mạng vào tháng 12/2020 (tức là" sự cố SolarWinds") để xem xét bất kỳ yếu tố nào liên quan đến sự tồn tại và khai thác các lỗ hổng bảo mật hoặc ứng phó với các sự cố".

Đưa ra các khuyến nghị về an ninh mạng

Hội đồng sẽ có 15 thành viên, những người sẽ đưa ra các khuyến nghị cho DHS và Nhà Trắng. Thư ký chính sách Robert Silvers sẽ giữ chức chủ tịch và giám đốc cấp cao của Google về kỹ thuật bảo mật Heather Adkins sẽ là phó chủ tịch Hội đồng.

Giám đốc cơ quan kiểm định hệ thống thông tin (CISA) Jen Easterly sẽ bổ nhiệm các thành viên của hội đồng và chịu trách nhiệm quản lý, hỗ trợ và tài trợ cho nỗ lực này.

Báo cáo đầu tiên từ hội đồng sẽ được hoàn thành vào mùa hè. Hội đồng cũng sẽ công bố danh sách các hành động được cả chính phủ và khu vực tư nhân thực hiện để giảm thiểu tác động của Log4J.

Các thành viên của hội đồng cũng sẽ đưa ra những khuyến nghị về cách giải quyết mối đe dọa liên quan và khuyến nghị chung để "cải thiện các thực tiễn và chính sách ứng phó sự cố và an ninh mạng dựa trên các bài học kinh nghiệm từ lỗ hổng Log4J".

Theo DHS, một phiên bản biên tập lại của báo cáo sẽ được công bố rộng rãi.

Silvers cho biết ông và các thành viên khác của hội đồng "là những người chịu trách nhiệm trong lĩnh vực này" và ông vinh dự được đảm đương trọng trách cùng với họ với tư cách là chủ tịch Hội đồng.

Adkins nói thêm: "Khi một sự cố mạng lớn xảy ra, nó sẽ ảnh hưởng đến tất cả chúng ta. CSRB là một cơ hội đột phá để thực hiện các đánh giá tổng thể và cung cấp các giải pháp tư duy tương lai cho các tổ chức và lĩnh vực. Tôi rất vinh dự được phục vụ với đội ngũ nhân tài từ cả các công ty tư nhân và chính phủ Mỹ khi chúng tôi khởi động đánh giá lại".

Các thành viên khác của hội đồng bao gồm Dmitri Alperovitch, đồng sáng lập và chủ tịch của Silverado Policy Accelerator; Phó tổng chưởng lý chính của Bộ Tư pháp (DOJ) John Carlin; Giám đốc an ninh thông tin liên bang tại Văn phòng quản lý và ngân sách Chris DeRusha; Giám đốc Không gian mạng Quốc gia Chris Inglis; Giám đốc an ninh mạng NSA Rob Joyce; người sáng lập Luta Security Katie Moussouris; Trợ lý giám đốc điều hành CISA về bảo mật cơ sở hạ tầng David Mussington; đồng sáng lập Trung tâm tư vấn nghiên cứu mối đe dọa của nhà mạng Verizon, Chris Novak; Phó chủ tịch cấp cao Trung tâm An ninh Internet Tony Sager; Giám đốc điều hành Bộ Quốc phòng John Sherman; Trợ lý giám đốc FBI Bryan Vorndran; Trợ lý tổng cố vấn Microsoft Kemba Walden và Phó chủ tịch cấp cao Wendi Whitmore của Palo Alto Networks.

Các chuyên gia hoan nghênh việc thành lập hội đồng, trong đó nhiều chuyên gia cho rằng Mỹ từ lâu đã cần các chuyên gia để xem xét các sự kiện mạng quan trọng nhằm đưa ra các phản ứng thống nhất cho các tình huống khẩn cấp.

Jonathan Reiber của AttackIQ, cựu giám đốc chiến lược về chính sách mạng tại Văn phòng Bộ trưởng Quốc phòng Mỹ thời Obama, nói với Zdnet rằng các quan chức cần học hỏi từ các sự cố trong quá khứ, hệ thống hóa các bài học và sau đó truyền đạt những bài học đó cho thế giới.

Reiber nói: "Có một đội ngũ các nhà tư tưởng và giao tiếp tài năng - từ những người như Dmitri Alperovitch đến Kate Moussouris, đến những người khác trong danh sách - đánh giá sự kiện an ninh mạng lớn và chia sẻ các khuyến nghị sẽ là một trợ giúp rất lớn. Những hiểu biết sâu sắc của họ sẽ giúp các tổ chức ở cả khu vực tư và nhà nước thực hiện những thay đổi chiến lược và cải thiện khả năng sẵn sàng cho an ninh mạng".

Các chuyên gia khác, như người sáng lập Bugcrowd, Casey Ellis, cho biết hội đồng bắt đầu với một vấn đề như Log4J vì nó cho thấy một loạt các điểm yếu liên quan và hệ thống trên quy mô lớn duy nhất. Theo Ellis, việc đánh giá vấn đề này sẽ cung cấp thêm thông tin về bảo mật chuỗi cung ứng nguồn mở, đối phó với các đối thủ không phức tạp và phức tạp, tái chứng nhận sản phẩm sau bản vá và phân tích hồi quy…

Kỹ sư Mike Parkin của Vulcan Cyber lưu ý rằng hội đồng sẽ không có cơ quan quản lý, đặt ra câu hỏi thêm về cách các khuyến nghị của họ sẽ được thực hiện trong thế giới thực.

Một số có quan điểm phê phán hơn về nỗ lực này, tự hỏi liệu những phát hiện của hội đồng có được chuyển thành hành động hay không./.