黑客和/或敌对的外国政府使用恶意代码获得进入美国政府IT基础设施的后门的威胁是一个巨大的国家安全风险。想象一下,一个软件系统为第三方提供访问美国关键基础设施之一(即电网、供水设施、交通系统)的权限,以及网络漏洞的后果,会带来什么样的影响和责任。这就是为什么想要向美国政府出售产品的软件公司必须确保他们提供的产品没有恶意代码、勒索软件或其他一些由敌对的外国情报机构植入的“隐藏之手”。随着美国国防部(DOD)和其他机构过渡到全球网络战和虚拟战场的时代,新的公司正在出现,以满足五角大楼迫切的网络需求。仅今年一年,美国联邦机构就将购买超过800亿美元的私人IT解决方案,其中90亿美元将用于基于云的解决方案。但是仅仅拥有创新的基于云的软件是不够的——它还必须是安全的。
随着最近应用程序、软件解决方案和物联网(IoT)的爆炸式增长,几乎不可避免的是,每一家硅谷初创企业,包括那些在父母车库里编写革命性代码的好斗的青少年企业家,都想把自己的产品和服务卖给美国联邦政府。对山姆大叔的销售潜力实际上是无限的——只要问问那些从每年大约8000亿美元的国防开支中获利的主要国防承包商就知道了。然而,打入联邦政府领域不仅仅是拥有最好的产品或服务,还需要实施有效的网络安全协议。
供应商必须认识到经济间谍活动对美国(包括公共和私营部门)构成的巨大威胁,因此,提供限制后门访问在线平台的技术。知识产权盗窃每年给美国造成大约2000亿到6000亿美元的损失,那些向政府出售产品的人必须确保他们提供的产品没有恶意代码、勒索软件或其他一些由敌对的外国情报机构植入的“隐藏之手”。更进一步,想象一个软件系统提供第三方访问美国关键基础设施(例如,电网,供水设施,运输系统)的影响/责任,以及破坏的后果。
不对称的军事行动不再是例外,而是常态。因此,国防开支不再仅仅用于采购军事硬件。随着美国国防部(DOD)和其他机构过渡到全球网络战和虚拟战场的时代,新的公司正在出现,以满足五角大楼迫切的网络需求。仅今年一年,美国联邦机构将购买超过800亿美元的私人IT解决方案,其中90亿美元将用于基于云的解决方案。
不幸的是,仅仅拥有创新的基于云的软件是不够的——它还必须是安全的。黑客和/或敌对的外国政府使用恶意代码获得进入美国政府IT基础设施的后门的威胁是一个巨大的国家安全风险。出于这个原因,希望向联邦机构出售云服务的企业必须首先遵守一项名为联邦风险和授权管理计划(FedRAMP)的法规。可以把它看作是在华盛顿特区环城公路上销售云计算解决方案的官方安全印章。
管理网络风险
探索挑战和解决方案。FedRAMP是一个政府范围内的项目,用于认证美国联邦和国防部机构使用的云服务。其目的是通过为云技术提供安全评估、授权和持续监控的标准化方法,在整个政府范围内采用安全云服务。该项目由总务管理局(GSA) FedRAMP项目管理办公室(PMO)管理。每个云服务——软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)——在被美国政府机构使用之前,必须获得联合认证委员会(JAB)临时运营授权(P-ATO)或机构ATO。
弗兰克·麦肯齐将军(退役)是南佛罗里达大学佛罗里达网络安全中心和全球与国家安全研究所的执行主任,也是前美国中央司令部司令,他在一次采访中告诉我们:“虽然FedRAMP程序对于确保在政府平台(特别是国防部平台)上共享的软件没有恶意代码或我们的敌人可以利用的后门非常重要,但我们也必须认识到,我们不能因为官僚主义和不必要的繁文缛节而扼杀技术或竞争优势。”
要获得FedRAMP认证,未来的供应商——被称为云服务提供商(CSP)——必须经过FedRAMP认可的第三方评估机构(3PAO)的严格第三方评估。3PAO负责确保云计算服务提供商及其软件产品符合美国国家标准与技术研究所(NIST)指南所概述的安全要求。
一旦所有的检查都完成了,云服务已经成功地获得了授权,下一站就是在FedRAMP市场上列出。该网站是各机构寻找已经过测试和批准安全使用的云服务的一站式商店,使其更容易确定产品是否符合安全要求。一旦软件进入平台,供应商几乎肯定会赢得一些巨额的政府合同。目前有近300家供应商,从软件巨头Adobe和Box到施乐(Xerox)和Zoom。(注:即使供应商在FedRAMP市场上,也不意味着他们不受威胁。例如,Adobe在2013年参与了21世纪最大的数据泄露事件之一,Zoom最近解决了多达四个可利用的代码安全漏洞)。
让人欣慰的是,纳税人的钱至少在努力确保美国政府购买的软件是安全的、不受损害的。但这里有一个问题:获得FedRAMP认证的成本不是几百美元。也不是几千美元,或者几万美元。获得FedRAMP认证的费用从40万美元到100多万美元不等。对于一家财富500强公司,甚至是一家拥有雄厚投资者的硅谷科技初创公司来说,这个价格可能只是九牛一毛。但是,对于拥有伟大软件产品的有抱负的企业家来说,他或她可能会被冷落。但千万不要认为只有那些会付费游戏的人才能进入这一领域。相反,FedRAMP认证不是给定的,即使您能负担得起。测试过程是严格的,正在进行的评估也是如此。也可能需要六个月到两年的时间才能获得你的ATO。
领先的网络安全公司Pivot Point Security的管理合伙人John Verry表示:“与其他网络安全框架(如ISO 27001和SOC 2)相比,FedRAMP需要高层管理人员的坚定承诺,因为它需要在初始认证工作、持续监控计划的运作和年度评估过程中投入最初和持续的资源/美元。在一个典型的销售电话中,我们花费的时间与构建符合fedramp标准的网络安全计划的过程/影响一样多(或更多)来确定投资是否会带来商业回报。”
因此,问题就变成了,FedRAMP值得投资吗?如果你想让你的软件公司更上一层楼,简短的回答是响亮的“是”。FedRAMP几乎可以确保您的百万美元投资的合同价值翻倍、三倍、四倍甚至更多。以流行的商业软件公司Salesforce为例。客户关系管理(CRM)技术是在私营企业中应用最为广泛的技术之一。在2014年获得FedRAMP市场的批准后,Salesforce已经赢得了1400多个机构的合同,包括国土安全部、国务院和国家科学基金会。仅与退伍军人事务部的合同就价值2.6亿美元。可以肯定地说,Salesforce从FedRAMP中受益匪浅。
2022年12月23日,拜登政府签署了《FedRAMP授权法案》,旨在简化FedRAMP授权程序。这应该有望为政府领域带来更具竞争力的技术产品的新供应商。美国政府当然可以使用更广泛的网络选项。由于迫切需要升级山姆大叔的计算能力,对于那些在车库里开发下一件大事的聪明人来说,也许是时候让他们的云计算软件受到关注了。我们只希望他们的网络安全措施能够胜任这项任务。