联邦政府需要一次技术性破产，而不是另一个安全补丁

Source: Dev.to

联邦网络安全危机

新闻称 CISA 已经失去了 超过三分之一的员工，而联邦网络安全正处于危机之中。
联邦政府需要宣布 技术破产 并重新开始。不是改革。不是现代化。也不是“数字化转型”。一次完整的架构重启，将当前的联邦 IT 基础设施视为它实际的状态：一套因年代久远、复杂性以及累积的技术债务而严重受损的系统，安全防护在数学上是不可能的。

当 CISA 的代理局长承认 “关键任务领域的空缺率达 40 %”，同时又声称他们正在 “加速创新” 时，我们正目睹一个 安全‑戏剧 的最后阶段——该戏剧在数十年间消耗了数十亿美元，却没有实质性提升我们的防御姿态。

传统系统规模

• 联邦政府在数百个机构中运营约 6,000 个不同的软件系统。
• 许多系统运行的代码是 在互联网出现之前 编写的，经过一次又一次的补丁修补，以至于原始架构已难以辨认。
• 这些系统并非为安全而设计，因为它们并未针对如今面临的威胁而设计。它们诞生于 “air gap” 不是安全手段而是物理现实的时代。

数学复杂性

“考虑数学：每个系统都有多个依赖、集成点和攻击面。随着每一次连接，复杂性呈指数增长。”

单个联邦机构可能运行来自 1980 年代的主机，与上周部署的云服务通信，所有这些都由从其他承包商那里学习系统的承包商管理，而这些承包商又是从已经退休的人员那里学到的。

关键点： 这不是网络安全问题，而是伪装成网络安全问题的架构问题。

私营部门的经验教训

• Netflix 并没有试图通过补丁方式从邮寄 DVD 系统转变为全球流媒体平台。它构建了全新的架构，以解决其需要应对的问题。
• Amazon 并没有对原始网站进行渐进式改进；在规模扩大时，它多次重建整个基础设施。

要点： 私营公司明白，维护已损坏的系统 成本更高且更危险，胜于更换它们。它们可以容忍短期的中断，以换取长期的稳定和安全。

政府中的激励不匹配

• 政治领袖因过渡期间的系统宕机而受到惩罚，但很少因维护破损系统而累积的安全债务承担责任。
• 其结果是更倾向于补丁而非解决方案、临时措施而非根本手术。

这种动态产生了安全专业人士所称的**“安全戏剧”：表面上的投资让利益相关者感觉更好，却并未真正提升安全姿态。新的监控工具、额外的合规框架以及扩大的安全团队都在更彻底地记录我们的失败**，却未能防止这些失败。

The Impossibility of CISA’s Current Mission

• CISA 的任务是保护 数千个系统，这些系统分布在数百个机构中，每个机构都有自己的遗留基础设施、承包商关系和技术债务。
• 即使人员配备齐全，任务也要求安全专业人员成为他们 “没有构建、无法完全理解且没有权力进行实质性更改” 的系统的专家。

该机构自己承认在 “大约 40% 的空缺率” 的情况下仍要 “支持国家安全任务”，这揭示了当前方法的根本不可能性。你无法保护你不了解的东西，也无法了解如此复杂且碎片化的系统。

前审计长 Gene Dodaro 警告说 “我们在 CISA 上踩刹车了”，但他忽略了更深层的问题：当你正驶向悬崖时，踩油门更用力也无济于事。他提到的增量进展并非真正的安全进展，而是对我们漏洞的更好文档化的进展。

Source: …

技术破产的表现

1. 承认沉没成本

   • 为确保遗留系统而投入的数十亿美元属于已支出的费用，而不是投资。这些系统永远无法真正安全，因为它们本质上就不安全。每一美元用于修补它们的费用，都是没有用于构建其替代系统的费用。

2. 针对当前威胁环境进行设计

   • 假设持续被攻破，采用零信任架构，并自动隔离故障。这在当年网络连接昂贵且稀缺时设计的系统上根本做不到。

3. 并行构建替代系统

   • 这样可以进行充分测试、逐步迁移，并在项目不奏效时及时放弃。最重要的是，它避免了数十年联邦 IT 现代化过程中一直采用的千补丁致死方式。

国防部在企业 DevSecOps 参考设计中展示了这一做法。他们没有尝试去保护现有的开发流程，而是构建了面向竞争环境下持续部署的新流程。结果不言自明：部署更快，安全性更高，运营成本更低。

解决合法关切

批评清零（clean‑slate）方法的人提出了关于 运营连续性 的合法担忧。联邦系统不能在构建替代方案期间就此下线——公民依赖这些服务，国家安全也无法容忍能力出现空档。

这些担忧是真实的，但它们忽视了更大的风险：当前的方法必然导致失败。

结论

联邦网络安全格局不仅仅是资金不足或人员短缺；它根本上是架构破碎的。宣布技术破产并从头开始重建——虽然痛苦且政治上风险极大——是实现真正安全、弹性且面向未来的联邦 IT 生态系统的唯一途径。

增量补丁的时代已经过去。现在是采用全新零信任并行开发策略的时刻。

连续性是个神话——联邦网络安全需要全面更换

每一次，从人事管理局（OPM）到 SolarWinds，攻击者之所以能够得手，都是因为他们利用了那些经过一次又一次修补、已变得面目全非的系统的复杂性和累积的漏洞。

“连续性”论点的缺陷

• 该论点忽视了成功的联邦机构更换案例：
  • 专利商标局 – 完全更换了其审查系统。
  • 联邦航空局（FAA） – 现代化了空中交通管制系统。

这些项目耗时多年、花费数十亿美元，但之所以成功，是因为领导层选择了 更换 而非渐进式改进。

为什么渐进式修补会失败

• 连续性的幻觉 – 会产生单点故障，一旦被利用，可能导致整个机构瘫痪。
• 真正的问题不是 我们是否负担得起更换这些系统，而是 我们是否负担得起不更换。

对不同受众的影响

1. 网络安全专业人员（联邦或合作机构）

• 停止为不可安全的架构进行优化。
• 主张采用 架构性解决方案 而不是安全临时补丁。
• 当被要求再添加一个监控工具或合规框架时，询问：

  这些资源是否更适合投入到从根本上为安全而设计的替代系统中？

2. 机构领导层

• 接受当前网络安全投资在很大程度上是 浪费金钱 的事实。
• 为保护遗留系统而花费的数十亿美元只会使它们 更复杂、更难以替换。

3. 国会与监督机构

• 将关注点从 衡量网络安全支出 转向 衡量架构替换进展。
• GAO 的“开放性建议”（如 Dodaro 所引用）是 失败方法的症状，而不是机构努力不足的证明。

适得其反的循环

• 每增加一个安全工具 → 更复杂 → 更难替换。

• 每引入一个新的合规框架 → 对架构变更的制度阻力。

• 每一次增量改进 → 对不安全的遗留系统的更深承诺。

• 中国 在假设持续的外国干预的前提下设计政府信息技术。

• 俄罗斯 在主动攻击下构建具有弹性的系统。

• 美国 仍在尝试保护那些在最大威胁是软盘盗窃时设计的系统。

CISA的人手危机

• 这不是暂时的挫折；它表明当前的做法已经达到极限。
• 我们无法：
  • 招募足够的人手来保护已损坏的系统。
  • 以足够快的速度培训人员，使其理解系统的复杂性。
  • 在攻击者发现新漏洞之前更快地进行补丁修复。

技术性破产并非失败

这是对认识，即最负责任的行动是停止在烂账上继续投入好钱，转而构建真正可行的东西。

联邦政府需要能够：

1. 承认当前方法已经失败。
2. 大胆重新开始，采用安全、可替换的架构。

我们看到的另一种情况

一种伪装成现代化的慢性崩溃，每一次“改进”都让根本问题更难解决。

---

Tags: cybersecurity, federal-government, technical-debt, infrastructure, policy