Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Le CNRC publie des recommandations pour une meilleure sécurité des réseaux et des logiciels

Republié par Platon
Republié par Platon

Date :

Vues: 153

La Résilience du réseau Coalition a émis des recommandations visant à améliorer l'infrastructure de sécurité des réseaux en réduisant les vulnérabilités créées par des logiciels et du matériel obsolètes et mal configurés. Les membres du CNRC, rejoints par les principaux dirigeants du gouvernement américain en matière de cybersécurité, ont présenté les recommandations lors d'un événement à Washington, DC.

Créé en juillet 2023 par le Center for Cybersecurity Policy and Law, le NRC cherche à aligner les opérateurs de réseaux et les fournisseurs informatiques pour améliorer la cyber-résilience de leurs produits. Le CNRC whitepaper comprend des recommandations pour aborder le développement sécurisé de logiciels et la gestion du cycle de vie, et englobe le développement de produits sécurisés dès la conception et par défaut pour améliorer la sécurité de la chaîne d'approvisionnement logicielle.

Les membres du CNRC comprennent AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon et VMware.

Le groupe appelle tous les fournisseurs informatiques à tenir compte des avertissements du gouvernement selon lesquels les acteurs de la menace étatiques ont intensifié leurs efforts pour attaquer les infrastructures critiques en exploitant des vulnérabilités matérielles et logicielles qui ne sont pas correctement sécurisées, corrigées ou entretenues.

Leurs recommandations sont conformes aux recommandations de l'administration Biden. Executive Order 14208, appelant à des normes de cybersécurité modernisées, notamment une meilleure sécurité de la chaîne d’approvisionnement en logiciels. Ils correspondent également aux directives de la Cybersecurity and Infrastructure Security Agency (CISA). Sécurité dès la conception et par défaut directives et à la loi sur la cybersécurité de l'administration publiée l'année dernière. 

Eric Goldstein, directeur adjoint exécutif de la CISA pour la cybersécurité, a décrit la formation du groupe et la publication du livre blanc six mois plus tard comme une évolution surprenante mais bienvenue. "Franchement, l'idée il y a quelques années à peine de fournisseurs de réseaux, de fournisseurs de technologie et de fabricants d'appareils se réunissant et disant que nous devons faire plus collectivement pour faire progresser la cybersécurité de l'écosystème de produits aurait été un concept étranger", a déclaré Goldstein. lors de l'événement du CNRC. "Cela aurait été un anathème."

Adopter le SSDF et OASIS Open EoX du NIST

Le CNRC demande aux fournisseurs de faire correspondre leurs méthodologies de développement de logiciels avec celles du NIST. Cadre de développement logiciel sécurisé (SSDF), tout en détaillant combien de temps ils prendront en charge et publieront les correctifs. En outre, les fournisseurs devraient publier les correctifs de sécurité séparément plutôt que de les regrouper avec des mises à jour de fonctionnalités. Dans le même temps, les clients doivent accorder de l’importance aux fournisseurs qui se sont engagés à publier séparément les correctifs critiques et à se conformer au SSDF.

De plus, le CNRC recommande aux fournisseurs de prendre en charge OpenEoX, un effort lancé en septembre 2023 par OASIS pour standardiser la manière dont les fournisseurs identifient les risques et communiquent les détails de fin de vie dans un format lisible par machine pour chaque produit qu'ils lancent.

Les gouvernements du monde entier tentent de déterminer comment rendre leur économie globale plus stable, résiliente et sécurisée, a déclaré Matt Fussa, directeur de la confiance chez Cisco. "Je pense que toutes les entreprises sont en étroite collaboration avec la CISA et le gouvernement américain dans son ensemble pour promouvoir les meilleures pratiques telles que la production de factures et de documents logiciels, l'engagement et le déploiement de pratiques de développement de logiciels sécurisés", a déclaré Fussa lors de l'événement de presse du NRC de cette semaine.

Les initiatives visant à renforcer la transparence des logiciels, à établir des environnements de construction plus sécurisés et à consolider les processus de développement de logiciels se traduiront par une sécurité améliorée au-delà des seules infrastructures critiques, a ajouté Fussa. "Il y aura un effet d'entraînement en dehors du gouvernement à mesure que ces choses deviendront des normes dans l'industrie", a-t-il déclaré. 

Lors d'une séance de questions-réponses avec les médias tenue immédiatement après le briefing, Fussa de Cisco a reconnu que les fournisseurs avaient mis du temps à se conformer aux décrets concernant la délivrance de SBOM ou l'auto-attestation des composants open source et tiers dans leurs offres. "L'une des choses qui nous a surpris, c'est qu'une fois que nous étions prêts à les produire, il ne s'agissait plus vraiment de grillons, mais le volume était inférieur à celui auquel nous aurions pu nous attendre", a-t-il déclaré. "Je pense qu'avec le temps, à mesure que les gens seront à l'aise avec la façon de les utiliser, nous verrons cela se développer et éventuellement devenir courant."

Action immédiate recommandée

Fussa exhorte les parties prenantes à commencer immédiatement à adopter les pratiques décrites dans le nouveau rapport. « Je vous encourage tous à penser à le faire de toute urgence, à déployer SSDF de toute urgence, à créer et à fournir des SBOM à vos clients avec un sentiment d'urgence et, franchement, à assurer la sécurité avec un sentiment d'urgence, car les acteurs de la menace n'attendent pas, et ils recherchent activement de nouvelles opportunités à exploiter contre tous nos réseaux.

En tant que consortium industriel, le CNRC ne peut qu’inciter ses membres à suivre ses recommandations. Mais comme le livre blanc est conforme au décret et au Stratégie nationale de cybersécurité Publié par la Maison Blanche l'année dernière, Fussa estime que le fait d'y adhérer préparera les fournisseurs à l'inévitable. "Je prédis que bon nombre des suggestions que vous voyez dans ce document constitueront des exigences légales, tant en Europe qu'aux États-Unis", a-t-il ajouté.

Jordan LaRose, directeur mondial des pratiques de sécurité des infrastructures chez NCC Group, affirme que le soutien de l'ONCD et de la CISA aux efforts du consortium est une approbation remarquable. Mais après avoir lu le journal, il ne pensait pas qu'il offrait des informations qui ne sont pas déjà disponibles. 

"Ce livre blanc n'est pas très détaillé", déclare LaRose. « Il ne décrit pas un cadre complet. Il fait référence au NIST SSDF, mais je suppose que la question que la plupart des gens se poseront est la suivante : ont-ils besoin de lire ce livre blanc alors qu'ils pourraient simplement aller lire le NIST SSDF.

Néanmoins, LaRose note que cela souligne la nécessité pour les parties prenantes d'accepter les exigences et les responsabilités potentielles auxquelles elles seront confrontées si elles ne développent pas de processus sécurisés dès la conception et ne mettent pas en œuvre les modèles de fin de vie recommandés.

Carl Windsor, vice-président senior de la technologie et des solutions produits chez Fortinet, a déclaré que tout effort visant à intégrer la sécurité dans les produits dès le premier jour est essentiel. Windsor s'est dit particulièrement encouragé par le fait que le rapport embrasse le SSDF et d'autres travaux du NIST et du CISA. « Si nous construisons nos produits dès le premier jour, en les alignant sur les normes du NIST, nous avons parcouru 90 à 95 % du chemin parcouru par rapport à toutes les autres normes en vigueur dans le monde », a-t-il déclaré.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.