去年12月，SolarWinds大規(guī)模供應鏈攻擊被曝光，美國政府正在考慮修改網絡安全領域的游戲規(guī)則。

路透社披露，現(xiàn)任總統(tǒng)組建的美國政府正在醞釀中的一項總統(tǒng)行政命令草案中要求軟件公司向政府披露所遭受的任何安全問題。

美國國家安全委員會發(fā)言人對媒體表示：“聯(lián)邦政府需要能夠及早地介入調查，及時地進行修復，保護美國人民免受威脅的侵害”。在提及SolarWinds事件時，發(fā)言人指出：“簡而言之，我們無法應對未知的問題”。

攻擊者利用植入惡意代碼的產品更新向眾多受害者部署了名為Sunburst的后門，攻擊者利用的產品是SolarWinds的Orion網絡管理平臺。從去年3月開始，Sunburst后門被下發(fā)到全球18000個組織，直到12月才被發(fā)現(xiàn)。借助Sunburst后門，攻擊者在大規(guī)模的受害者中選擇高價值目標進行滲透，對美國9個政府機構產生了致命威脅，甚至包括微軟這樣的高科技公司。

據路透社報道，該草案要求政府使用的所有軟件都需要列出一份完整的清單，詳細解釋所有軟件和代碼的來源，包括所有的開源代碼和合作方的代碼。此外，草案還將強制要求聯(lián)邦機構使用多因子認證和數據加密。

?[[390708]]?

該草案還要求，供應商要保留數字痕跡記錄，便于協(xié)助FBI和網絡安全與基礎設施安全局(CISA)一起進行事件響應。草案還將致力于創(chuàng)建一個網絡安全事件響應委員會，該委員會將承擔信息共享的責任。委員會由聯(lián)邦政府的代表、網絡安全研究員與供應商組成，也會建立激勵和責任機制來鼓勵大家的參與。

美國國家安全委員會發(fā)言人表示，該行政命令草案可能會在下周盡快簽署發(fā)布，但到目前為止還沒有最終敲定。

參考來源：??ThreatPOST ??