ลักษณะที่อันตรายที่สุดประการหนึ่งของการบุกรุกเข้าสู่เครือข่ายของรัฐบาลคือเวลาที่ใช้ในการระบุการโจมตีนั้น ตัวอย่างเช่นการละเมิดการบริหารงานบุคคลของสำนักงานเริ่มขึ้นในเดือนพฤศจิกายน 2013 แต่ไม่มีการเปิดเผยต่อสาธารณะจนกระทั่งเกือบหกเดือนต่อมา และโดยพื้นฐานแล้วมันยังคงดำเนินต่อไปในรูปแบบใดรูปแบบหนึ่ง ซึ่งส่งผลกระทบต่อทั้งหน่วยงานและผู้รับเหมาจนถึงกลางปี 2015 การแฮ็ก SolarWinds เกิดขึ้นมานานกว่าหนึ่งปี และไม่ถูกค้นพบโดยบริษัทแต่เป็นบุคคลที่สาม
ส่วนที่ 7 และ 8 ของคำสั่งผู้บริหารด้านความปลอดภัยในโลกไซเบอร์
ของประธานาธิบดีโจ ไบเดนจะจัดการกับปัญหาใหญ่นี้โดยตรง โดยมีคำสั่งนโยบายเกี่ยวกับความสามารถในการตรวจจับและบรรเทาผลกระทบที่ได้รับการปรับปรุง
“[นี่] เป็นความต่อเนื่องของกระบวนการที่เกิดขึ้นเป็นเวลานาน การรวมศูนย์ความปลอดภัยทางไซเบอร์ไว้ที่ฝ่ายพลเรือนของรัฐบาลกลาง ในขณะที่ยังคงมีหน่วยงานน้อยลงในธุรกิจด้านความปลอดภัยทางไซเบอร์” ไมเคิล แดเนียล อดีตผู้ช่วยพิเศษกล่าว ถึงประธานและผู้ประสานงานด้านความปลอดภัยในโลกไซเบอร์ ซึ่งปัจจุบันเป็นประธานและซีอีโอของ Cyber Threat Alliance
เพื่อปรับปรุงการตรวจจับช่องโหว่และเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ส่วนที่ 7 กำหนดให้หน่วยงานปรับใช้เครื่องมือตรวจจับและตอบสนองปลายทาง (EDR) โดยมุ่งเป้าไปที่การตรวจจับเหตุการณ์เชิงรุกภายในโครงสร้างพื้นฐานของรัฐบาลกลาง การตามล่าทางไซเบอร์อย่างแข็งขัน การกักกันและการแก้ไข และการตอบสนองต่อเหตุการณ์
นี่ไม่ได้หมายความว่าหน่วยงานจะต้องสร้าง EDR ของตนเอง
กระทรวงความมั่นคงแห่งมาตุภูมิ — โดยเฉพาะหน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน — มีเวลา 30 วันในการให้คำแนะนำแก่สำนักงานการจัดการและผู้อำนวยการงบประมาณเกี่ยวกับทางเลือกต่าง ๆ สำหรับการดำเนินการริเริ่ม EDR ที่ตั้งอยู่ใจกลางเมือง การมีที่ตั้งศูนย์กลางแห่งเดียว EDR จะ “สนับสนุนการมองเห็น ระดับโฮสต์ การแสดงที่มา และการตอบสนอง” สำหรับระบบข้อมูลของหน่วยงานพลเรือน ภายใน 90 วันหลังจากได้รับคำแนะนำ OMB จะต้องออกข้อกำหนดให้หน่วยงานพลเรือนนำแนวทาง EDR มาใช้ทั่วทั้งรัฐบาล ซึ่งรวมถึงการให้อำนาจ CISA ในการล่าทางไซเบอร์โดยไม่ได้รับอนุญาตล่วงหน้าจากกิจกรรมการตรวจจับและการตอบสนองของหน่วยงาน
เพื่อสนับสนุนใบอนุญาตล่าสัตว์ของ CISA หน่วยงานมีเวลา 75 วันในการปรับปรุงหรือจัดทำบันทึกความเข้าใจกับ CISA สำหรับโปรแกรมการวินิจฉัยและบรรเทาผลกระทบ (CDM) อย่างต่อเนื่อง สิ่งนี้ทำเพื่อให้แน่ใจว่าข้อมูลระดับวัตถุทั้งหมดพร้อมใช้งานและเข้าถึงได้โดย CISA
ผู้อำนวยการ CISA มีเวลา 90 วันในการรายงานต่อผู้อำนวยการ OMB และผู้ช่วยประธานาธิบดีฝ่ายกิจการความมั่นคงแห่งชาติ (APNSA) เกี่ยวกับวิธีที่หน่วยงานจะดำเนินการตามล่าภัยคุกคาม จากนี้ไป CISA จะรายงานทุกไตรมาสเกี่ยวกับการดำเนินการที่ได้ดำเนินการไปแล้ว
ในด้านกลาโหมและข่าวกรองของรัฐบาล ผู้อำนวยการสำนักงานความมั่นคงแห่งชาติ ซึ่งทำหน้าที่เป็นผู้จัดการระดับชาติสำหรับระบบความมั่นคงแห่งชาติ มีเวลา 45 วันในการเสนอแนะต่อรัฐมนตรีกระทรวงกลาโหม ผู้อำนวยการข่าวกรองแห่งชาติ และคณะกรรมการแห่งชาติ ระบบรักษาความปลอดภัย (CNSS) ขั้นตอนในการปรับปรุงการตรวจจับเหตุการณ์ทางไซเบอร์ที่กำหนดเป้าหมายระบบความมั่นคงแห่งชาติ
แตกต่างจากฝ่ายพลเรือน คำแนะนำเกี่ยวกับแนวทาง EDR จะรวมอยู่ในคำแนะนำเพิ่มเติมว่าควรดำเนินการโดยหน่วยงานหรือผ่านบริการส่วนกลาง รัฐมนตรีกระทรวงกลาโหม ผู้อำนวยการหน่วยข่าวกรองแห่งชาติ และ CNSS มีเวลาอีก 90 วันในการทบทวนคำแนะนำและกำหนดนโยบายเพื่อดำเนินการ
ในการรวมหน่วยงานพลเรือนและการป้องกันเข้าด้วยกัน เลขาธิการกลาโหม เลขาธิการความมั่นคงแห่งมาตุภูมิ และผู้อำนวยการ OMB มีเวลา 60 วันในการจัดทำขั้นตอนการแบ่งปันข้อมูลสำหรับเหตุการณ์ทางไซเบอร์ที่เกิดขึ้นในดินแดนใดอาณาจักรหนึ่ง จากนั้นพวกเขามีเวลาเจ็ดวันในการแจ้งให้ APNSA และผู้ดูแลระบบของสำนักงานรัฐบาลอิเล็กทรอนิกส์ของ OMB ทราบว่าคำแนะนำนั้นจะถูกนำไปใช้หรือไม่
