Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

NRC doet aanbevelingen voor betere netwerk- en softwarebeveiliging

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 153

De Netwerkveerkracht coalitie aanbevelingen gedaan om de netwerkbeveiligingsinfrastructuur te verbeteren door kwetsbaarheden te verminderen die worden veroorzaakt door verouderde en onjuist geconfigureerde software en hardware. NRC-leden, vergezeld door topleiders op het gebied van cyberbeveiliging van de Amerikaanse overheid, schetsten de aanbevelingen tijdens een evenement in Washington, DC.

De NRC, opgericht in juli 2023 door het Center for Cybersecurity Policy and Law, streeft ernaar netwerkexploitanten en IT-leveranciers op één lijn te brengen om de cyberveerkracht van hun producten te verbeteren. De NRC's whitepaper omvat aanbevelingen voor het aanpakken van veilige softwareontwikkeling en levenscyclusbeheer, en omvat secure-by-design en standaard productontwikkeling voor het verbeteren van de beveiliging van de softwaretoeleveringsketen.

Tot de leden van NRC behoren AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon en VMware.

De groep roept alle IT-leveranciers op om gehoor te geven aan waarschuwingen van de overheid dat dreigingsactoren van nationale staten hun inspanningen hebben opgevoerd om kritieke infrastructuur aan te vallen door misbruik te maken van hardware- en softwarekwetsbaarheden die niet voldoende zijn beveiligd, gepatcht of onderhouden.

Hun aanbevelingen komen overeen met die van de regering-Biden Executive Order 14208, waarin wordt opgeroepen tot gemoderniseerde cyberbeveiligingsnormen, waaronder verbeterde beveiliging van de toeleveringsketen van software. Ze verwijzen ook naar de Cybersecurity and Infrastructure Security Agency (CISA) Beveiliging door ontwerp en standaard richtlijnen en de vorig jaar uitgevaardigde Cyber ​​Security Act van de regering. 

Eric Goldstein, uitvoerend assistent-directeur van CISA voor cybersecurity, beschreef de oprichting van de groep en de publicatie van de whitepaper zes maanden later als een verrassende maar welkome ontwikkeling. “Eerlijk gezegd zou het idee zelfs een paar jaar geleden dat netwerkaanbieders, technologieaanbieders en apparaatfabrikanten samenkwamen en zeiden dat we gezamenlijk meer moeten doen om de cyberveiligheid van het productecosysteem te bevorderen, een vreemd concept zijn geweest,” zei Goldstein. tijdens het NRC-evenement. “Het zou een gruwel zijn geweest.”

Het omarmen van NIST's SSDF en OASIS Open EoX

De NRC roept leveranciers op om hun softwareontwikkelingsmethodieken in kaart te brengen met die van NIST Beveiligd softwareontwikkelingskader (SSDF), terwijl wordt aangegeven hoe lang ze patches zullen ondersteunen en vrijgeven. Bovendien moeten leveranciers beveiligingspatches afzonderlijk uitbrengen in plaats van deze te bundelen met functie-updates. Tegelijkertijd moeten klanten nadruk leggen op leveranciers die zich ertoe hebben verbonden kritieke patches afzonderlijk uit te brengen en zich te conformeren aan de SSDF.

Verder beveelt de NRC leveranciers aan om dit te ondersteunen OpenEoX, een poging die in september 2023 door OASIS werd gelanceerd om te standaardiseren hoe providers risico's identificeren en details over het einde van de levensduur communiceren in een machinaal leesbaar formaat voor elk product dat ze uitbrengen.

Regeringen over de hele wereld proberen te bepalen hoe ze hun economieën als geheel stabieler, veerkrachtiger en veiliger kunnen maken, aldus Matt Fussa, Chief Trust Officer van Cisco. "Alle bedrijven werken, denk ik, nauw samen met CISA en de Amerikaanse overheid als geheel om best practices te stimuleren, zoals het produceren van softwarefacturen en -materialen, het aangaan en implementeren van veilige softwareontwikkelingspraktijken", zei Fussa tijdens het NRC-persevenement van deze week.

Initiatieven om de transparantie in software te vergroten, veiligere bouwomgevingen te creëren en softwareontwikkelingsprocessen te ondersteunen, zullen resulteren in verbeterde beveiliging die verder gaat dan alleen kritieke infrastructuur, voegde Fussa eraan toe. “Er zal een overloopeffect zijn buiten de overheid als deze zaken de norm worden in de sector”, zei hij. 

Tijdens een media-vraag en antwoord dat onmiddellijk na de briefing werd gehouden, erkende Cisco's Fussa dat leveranciers traag zijn in het naleven van de uitvoeringsorders voor het uitgeven van SBOM's of zelfattesten van de open-sourcecomponenten en componenten van derden in hun aanbod. "Een van de dingen waar we door verrast waren, was dat toen we klaar waren om ze te produceren, het niet echt krekels waren, maar het volume was lager dan we hadden verwacht," zei hij. "Ik denk dat we na verloop van tijd, als mensen zich op hun gemak voelen met het gebruik ervan, zullen zien dat dit zal toenemen en uiteindelijk gemeengoed zal worden."

Onmiddellijke actie aanbevolen

Fussa dringt er bij belanghebbenden op aan om de praktijken die in het nieuwe rapport worden beschreven onmiddellijk over te nemen. “Ik zou jullie allemaal willen aanmoedigen om erover na te denken om dit met urgentie te doen, SSDF met urgentie in te zetten, SBOM’s voor je klanten op te bouwen en te krijgen met een gevoel van urgentie, en eerlijk gezegd de beveiliging met een gevoel van urgentie te stimuleren, omdat bedreigingsactoren niet wachten. en ze zijn actief op zoek naar nieuwe mogelijkheden om te exploiteren tegen al onze netwerken.”

Als brancheconsortium kan de NRC niet verder gaan dan het stimuleren van haar leden om de aanbevelingen op te volgen. Maar omdat het whitepaper aansluit bij de Executive Order en de Nationale Cybersecurity Strategie Fussa is vorig jaar vrijgegeven door het Witte Huis en gelooft dat het naleven ervan verkopers zal voorbereiden op het onvermijdelijke. “Ik zal een voorspelling doen dat veel van de suggesties die u in dit artikel ziet, wettelijke vereisten zullen zijn, zowel in Europa als in de VS,” voegde hij eraan toe.

Jordan LaRose, Global Practice Director voor infrastructuurbeveiliging bij NCC Group, zegt dat het een opmerkelijke steunbetuiging is dat ONCD en CISA achter de inspanningen van het consortium staan. Maar nadat hij de krant had gelezen, geloofde hij niet dat er informatie in stond die nog niet beschikbaar was. 

“Deze whitepaper is niet super gedetailleerd”, zegt LaRose. “Het schetst niet een heel raamwerk. Het verwijst wel naar NIST SSDF, maar ik denk dat de vraag die de meeste mensen zich zullen stellen is: moeten ze dit witboek lezen als ze gewoon de NIST SSDF zouden kunnen gaan lezen.”

Niettemin merkt LaRose op dat het de noodzaak voor belanghebbenden onderstreept om in het reine te komen met de potentiële vereisten en aansprakelijkheden waarmee zij te maken krijgen als zij geen 'secure-by-design'-processen ontwikkelen en de aanbevolen end-of-life-modellen niet implementeren.

Carl Windsor, senior VP producttechnologie en oplossingen bij Fortinet, zegt dat elke poging om vanaf dag één beveiliging in de producten in te bouwen van cruciaal belang is. Windsor zei dat hij vooral bemoedigd is dat het rapport SSDF en ander werk van NIST en CISA omvat. “Als we onze producten vanaf de eerste dag bouwen en afstemmen op de NIST-standaarden, zijn we voor 90 tot 95% op de hoogte van alle andere standaarden die over de hele wereld op de markt komen”, zei hij.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.