美國陸軍計劃改變以前完全基于硬件報告戰(zhàn)備情況的狀況,將軟件也納入部隊的關鍵戰(zhàn)備指標。陸軍擬于2022年發(fā)布命令,要求各部隊報告其軟件戰(zhàn)備情況。陸軍通信電子司令部(CECOM)軟件工程中心(SEC)正在與陸軍G-3/5/7合作定義軟件戰(zhàn)備指標,例如運行經(jīng)批準的軟件版本以及在發(fā)布后30天內安裝最新軟件。
陸軍計劃更新當前所用的2020年10月創(chuàng)建的軟件存儲庫,并于2022年春季推出的“軟件存儲庫2.0”?!败浖鎯?.0”不僅可讓部隊在世界任何地方下載軟件,還能讓陸軍對部隊下載軟件情況進行準確監(jiān)督,包括哪支部隊何時下載了何種軟件。此舉將使陸軍能夠“變被動為主動”,更深入地了解部隊軟件戰(zhàn)備狀況,防范過時軟件被對手利用或導致系統(tǒng)無法正常工作等情況。該軟件存儲庫目前正在從國防信息系統(tǒng)局(DISA)遷移到陸軍云,SEC正在與陸軍首席信息官合作以構建新存儲庫。
奇安網(wǎng)情局編譯有關情況,供讀者參考。
美國陸軍正準備將軟件納為部隊的關鍵戰(zhàn)備指標。過去,部隊主要基于硬件報告其戰(zhàn)備水平時,而對軟件的考慮為零。
陸軍通信電子司令部(CECOM)軟件工程中心(SEC)主任詹妮弗·斯旺森表示,“戰(zhàn)備狀態(tài)就像,‘嘿,我有零件嗎?我有備品和所有硬件嗎?’但是,如果軟件無法運行,做好戰(zhàn)備了嗎?可能不是。這不是衡量的一部分。”
軟件工程中心(SEC)與陸軍G-3/5/7合作定義軟件戰(zhàn)備指標,例如運行經(jīng)批準的軟件版本以及在發(fā)布后30天內安裝最新軟件。因此,G-3/5/7去年發(fā)布了執(zhí)行命令并進行了試點,以測試其軟件戰(zhàn)備報告。最終命令預計將在2022財年發(fā)布,將要求各單位報告其軟件戰(zhàn)備情況。
詹妮弗·斯旺森稱,“如果未能更新軟件,那么就需要報告為‘不具備任務能力’?!?/p>
事實證明,軟件作為威脅載體具有巨大的戰(zhàn)略和戰(zhàn)術重要性。過時軟件可能會被對手利用或導致系統(tǒng)無法正常工作,有些軟件補丁非常關鍵需要立即下載。
詹妮弗·斯旺森以SolarWinds黑客事件為例進行說明,美國政府將該事件歸咎于俄羅斯外國情報機構。她稱,“我們有SolarWinds……它的美妙之處在于SolarWinds,我們有軟件存儲庫可用,我們能夠在周五晚上發(fā)布這些東西,然后觀察單位立即開始將其撤下,在此之前不會出現(xiàn)這種情況?!?/p>
陸軍計劃更新其軟件存儲庫,以便知道哪些部隊下載了哪些軟件補丁,以及何時下載。該軟件存儲庫是一個于2020年10月創(chuàng)建的門戶網(wǎng)站,可讓部隊在世界任何地方下載更新——就像商用手機一樣。以前,陸軍必須將硬盤郵寄給部隊才能進行更新。這意味著更新可能無法及時到達,從而產生某些漏洞。
雖然當前版本的軟件存儲庫允許進行某種程度的監(jiān)督,以查看哪些部隊正在下載更新,但官員們無法看到哪些部隊在下載哪些軟件。預計明年春季推出的軟件存儲庫2.0可以對部隊下載軟件情況進行準確監(jiān)督。
這種類型的能力在SolarWinds事件中被證明很重要。詹妮弗·斯旺森表示,“以SolarWinds為例,電子表格通過電子郵件發(fā)送到整個機密互聯(lián)網(wǎng)協(xié)議路由網(wǎng)絡(SIPRNet)……試圖找出這里的部隊列表,這支部隊拿到它,這支部加載它。軟件存儲庫2.0可以讓你不必做所有這些事情。你就會知道誰打了補丁。”
軟件存儲庫2.0還讓陸軍能夠更深入地了解部隊軟件戰(zhàn)備情況。未更新到最新版本的部隊可能存在問題。詹妮弗·斯旺森稱,也許部隊碰到了連接問題,或者只是忽略了更新。但是擁有這種級別的精確性可以讓陸軍聯(lián)系這些部隊,看看可能存在什么問題。這使陸軍能夠變被動為主動。
該軟件存儲庫目前正在從托管它的國防信息系統(tǒng)局(DISA)遷移到陸軍云。詹妮弗·斯旺森稱,軟件工程中心(SEC)正在與陸軍首席信息官及其DevSecOps工具集合作,以構建更新的存儲庫。