XNUMXD덴탈의 네트워크 탄력성 연합 오래되고 부적절하게 구성된 소프트웨어 및 하드웨어로 인해 발생하는 취약점을 줄여 네트워크 보안 인프라를 개선하기 위한 권장 사항을 발표했습니다. 미국 정부의 최고 사이버 보안 지도자들이 합류한 NRC 회원들은 워싱턴 DC에서 열린 행사에서 권장 사항을 설명했습니다.
2023년 XNUMX월 사이버보안 정책 및 법률 센터에 의해 설립된 NRC는 네트워크 사업자와 IT 공급업체를 조정하여 제품의 사이버 탄력성을 향상시키려고 합니다. NRC의 백서 보안 소프트웨어 개발 및 수명주기 관리를 위한 권장 사항이 포함되어 있으며, 소프트웨어 공급망 보안 개선을 위한 보안 기반 설계 및 기본 제품 개발을 수용합니다.
NRC 회원으로는 AT&T, Broadcom, BT 그룹, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon 및 VMware가 있습니다.
이 그룹은 국가 위협 행위자가 적절하게 보호, 패치 또는 유지 관리되지 않은 하드웨어 및 소프트웨어 취약성을 악용하여 중요한 인프라를 공격하려는 노력을 강화했다는 정부의 경고에 모든 IT 공급업체에 주의를 기울일 것을 촉구하고 있습니다.
그들의 권고는 바이든 행정부의 권고와 일치한다 대통령령 14208, 향상된 소프트웨어 공급망 보안을 포함하여 현대화된 사이버 보안 표준을 요구합니다. 또한 CISA(사이버보안 및 인프라 보안국)에도 매핑됩니다. 보안 설계 및 기본 지침과 작년에 발표된 행정부의 사이버 보안법에 따릅니다.
CISA의 사이버 보안 담당 부국장인 Eric Goldstein은 그룹의 형성과 6개월 후의 백서 공개가 놀랍지만 환영할 만한 발전이라고 설명했습니다. “솔직히 몇 년 전만 해도 네트워킹 제공업체, 기술 제공업체, [및] 장치 제조업체가 함께 모여 제품 생태계의 사이버 보안을 발전시키기 위해 더 많은 노력을 기울여야 한다고 말하는 것은 낯선 개념이었을 것입니다.”라고 Goldstein은 말했습니다. NRC 행사 중. “그건 혐오감이었을 겁니다.”
NIST의 SSDF 및 OASIS Open EoX 수용
NRC는 벤더들에게 소프트웨어 개발 방법론을 NIST와 매핑할 것을 요구하고 있습니다. 보안 소프트웨어 개발 프레임워크(SSDF), 패치 지원 및 릴리스 기간을 자세히 설명합니다. 또한 공급업체는 보안 패치를 기능 업데이트와 함께 묶는 것이 아니라 별도로 출시해야 합니다. 동시에 고객은 중요한 패치를 별도로 발행하고 SSDF를 준수하기로 약속한 공급업체에 비중을 두어야 합니다.
또한 NRC는 공급업체가 다음을 지원하도록 권장합니다. 오픈EoX, OASIS는 공급업체가 출시하는 모든 제품에 대해 위험을 식별하고 수명 종료 세부 정보를 기계가 읽을 수 있는 형식으로 전달하는 방법을 표준화하기 위해 2023년 XNUMX월에 시작한 노력입니다.
Cisco의 최고 신뢰 책임자인 Matt Fussa는 전 세계 정부가 전반적인 경제를 보다 안정적이고 탄력적이며 안전하게 만드는 방법을 결정하기 위해 노력하고 있다고 말했습니다. Fussa는 이번 주 NRC 언론 행사에서 "내 생각에 모든 회사는 CISA 및 미국 정부 전체와 긴밀히 협력하여 소프트웨어 청구서 및 자료 제작, 보안 소프트웨어 개발 관행 참여 및 배포와 같은 모범 사례를 추진하고 있습니다"라고 말했습니다.
소프트웨어의 투명성을 높이고 보다 안전한 구축 환경을 구축하며 소프트웨어 개발 프로세스를 강화하기 위한 이니셔티브를 통해 중요한 인프라를 넘어 보안이 향상될 것이라고 Fussa는 덧붙였습니다. 그는 “이러한 일이 업계에서 표준이 되면서 정부 외부로 파급효과가 있을 것”이라고 말했다.
브리핑 직후 열린 미디어 Q&A에서 Cisco의 Fussa는 공급업체가 SBOM 발행에 대한 행정 명령이나 자사 제품의 오픈 소스 및 타사 구성 요소에 대한 자체 인증을 느리게 준수하고 있음을 인정했습니다. "우리가 놀랐던 것 중 하나는 일단 생산할 준비가 되었을 때 귀뚜라미 수준은 아니었지만 예상했던 것보다 양이 적었다는 것입니다."라고 그는 말했습니다. “시간이 지나면 사람들이 사용 방법에 익숙해지기 때문에 점점 더 일반화될 것이라고 생각합니다.”
즉각적인 조치 권장
Fussa는 이해관계자들에게 새 보고서에 설명된 관행을 즉시 채택할 것을 촉구하고 있습니다. “긴급하게 이 작업을 수행하고, 긴급하게 SSDF를 배포하고, 긴급하게 고객 SBOM을 구축 및 확보하고, 위협 행위자가 기다리지 않기 때문에 긴급하게 솔직하게 보안을 추진하는 것에 대해 생각해 보시기 바랍니다. 그리고 그들은 우리의 모든 네트워크를 활용할 수 있는 새로운 기회를 적극적으로 찾고 있습니다.”
업계 컨소시엄으로서 NRC는 회원들이 권장 사항을 따르도록 장려하는 정도까지만 진행할 수 있습니다. 하지만 백서는 행정명령과 행정명령에 부합하기 때문에 국가 사이버 보안 전략 Fussa는 작년에 백악관이 발표한 이 규정을 준수하면 공급업체가 피할 수 없는 상황에 대비할 수 있다고 믿습니다. "나는 이 문서에서 볼 수 있는 많은 제안이 유럽과 미국 모두에서 법률에 따른 요구 사항이 될 것이라고 예측합니다."라고 그는 덧붙였습니다.
NCC 그룹의 인프라 보안 글로벌 실무 이사인 Jordan LaRose는 컨소시엄의 노력 뒤에 ONCD와 CISA가 있다는 것은 주목할만한 지지라고 말합니다. 그러나 그 신문을 읽은 그는 그것이 아직 이용 가능하지 않은 정보를 제공한다고 믿지 않았습니다.
LaRose는 "이 백서는 그다지 상세하지 않습니다."라고 말합니다. “전체 프레임워크의 개요를 설명하지는 않습니다. 이는 NIST SSDF를 참조하지만 대부분의 사람들이 스스로 제기할 질문은 NIST SSDF를 읽을 수 있을 때 이 백서를 읽어야 하는가 하는 것입니다."
그럼에도 불구하고 LaRose는 이해관계자가 보안을 고려한 설계 프로세스를 개발하고 권장 수명 종료 모델을 구현하지 않을 경우 직면하게 될 잠재적 요구 사항과 책임을 이해해야 한다는 점을 강조합니다.
Fortinet의 제품 기술 및 솔루션 수석 부사장인 Carl Windsor는 처음부터 제품에 보안을 구축하려는 모든 노력이 중요하다고 말했습니다. Windsor는 보고서에 SSDF와 NIST 및 CISA의 기타 작업이 포함되어 있어 특히 고무적이라고 말했습니다. “처음부터 NIST 표준에 맞춰 제품을 제작한다면 전 세계에서 발표되는 다른 모든 표준과 90~95% 정도 일치하게 됩니다.”라고 그는 말했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security
