最近未能有效调查CrowdStrike的错误更新,导致各个部门出现重大破坏,这凸显了需要一个授权、公正的网络安全审查机构。目前,白宫的网络安全审查委员会(CSRB)担任这一职务,但其缺乏传票权和政治限制阻碍了其有效性。这一缺陷在其关于中国黑客组织入侵Microsoft云环境的最新报告中很明显,尽管该报告进行了深入研究,但未能将其发现推广到更广泛的行业实践中。
CSRB于2021年根据行政命令成立,旨在对针对美国的重大网络攻击进行独立分析,促进安全社区内的透明度和公共学习。这项任务类似于美国国家运输安全委员会在调查飞机失事方面的作用。然而,CSRB一直在努力履行其职责,尽管它被明确要求这样做,但它未能调查备受瞩目的俄罗斯网络攻击SolarWinds。
迄今为止,CSRB已经发布了三份报告,但它们只提供了基本建议。例如,该委员会对Log4J的第一次调查只是建议公司加快修补他们的系统。这种简单化的指导模式引发了人们对委员会推动网络安全实践有意义变革的能力的担忧。来源