A Resiliência de rede aliança emitiu recomendações destinadas a melhorar a infraestrutura de segurança de rede, reduzindo vulnerabilidades criadas por software e hardware desatualizados e configurados incorretamente. Os membros do NRC, acompanhados pelos principais líderes de segurança cibernética do governo dos EUA, delinearam as recomendações num evento em Washington, DC.
Estabelecido em julho de 2023 pelo Centro de Políticas e Legislação de Segurança Cibernética, o NRC procura alinhar operadores de rede e fornecedores de TI para melhorar a resiliência cibernética dos seus produtos. O NRC whitepaper inclui recomendações para abordar o desenvolvimento seguro de software e o gerenciamento do ciclo de vida, e abrange o desenvolvimento de produtos seguros por design e padrão para melhorar a segurança da cadeia de fornecimento de software.
Os membros do NRC incluem AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon e VMware.
O grupo apela a todos os fornecedores de TI para que prestem atenção aos avisos do governo de que os agentes de ameaças estatais intensificaram os seus esforços para atacar infra-estruturas críticas, explorando vulnerabilidades de hardware e software que não são adequadamente protegidas, corrigidas ou mantidas.
As suas recomendações são consistentes com as recomendações da administração Biden Executive Order 14208, apelando à modernização dos padrões de segurança cibernética, incluindo a melhoria da segurança da cadeia de fornecimento de software. Eles também mapeiam para a Agência de Segurança Cibernética e de Infraestrutura (CISA) Segurança por design e padrão orientação e à Lei de Segurança Cibernética da administração emitida no ano passado.
O diretor executivo assistente de segurança cibernética da CISA, Eric Goldstein, descreveu a formação do grupo e o lançamento do white paper seis meses depois como um desenvolvimento surpreendente, mas bem-vindo. “Francamente, a ideia, há alguns anos, de fornecedores de redes, fornecedores de tecnologia e fabricantes de dispositivos se unirem e dizerem que precisamos fazer mais coletivamente para promover a segurança cibernética do ecossistema de produtos teria sido um conceito estranho”, disse Goldstein. durante o evento do NRC. “Teria sido um anátema.”
Adotando SSDF e OASIS Open EoX do NIST
O NRC está convidando os fornecedores a mapearem suas metodologias de desenvolvimento de software com as do NIST Estrutura de desenvolvimento de software seguro (SSDF), enquanto detalha por quanto tempo eles suportarão e lançarão patches. Além disso, os fornecedores devem lançar patches de segurança separadamente, em vez de agrupá-los com atualizações de recursos. Ao mesmo tempo, os clientes devem dar importância aos fornecedores que se comprometeram a emitir patches críticos separadamente e em conformidade com o SSDF.
Além disso, o NRC recomenda que os fornecedores apoiem OpenEoX, um esforço lançado em setembro de 2023 pela OASIS para padronizar como os fornecedores identificam riscos e comunicam detalhes de fim de vida em um formato legível por máquina para cada produto que lançam.
Os governos de todo o mundo estão a tentar determinar como tornar as suas economias globais mais estáveis, resilientes e seguras, disse Matt Fussa, diretor de confiança da Cisco. “Acho que todas as empresas estão em estreita parceria com a CISA e o governo dos EUA como um todo para promover melhores práticas, como a produção de contas e materiais de software, envolvimento e implantação de práticas seguras de desenvolvimento de software”, disse Fussa durante o evento de imprensa da NRC desta semana.
Iniciativas para aumentar a transparência no software, estabelecer ambientes de construção mais seguros e reforçar os processos de desenvolvimento de software resultarão em maior segurança além da infraestrutura crítica, acrescentou Fussa. “Haverá um efeito de repercussão fora do governo à medida que essas coisas se tornarem normas na indústria”, disse ele.
Durante uma sessão de perguntas e respostas com a mídia realizada imediatamente após o briefing, Fussa da Cisco reconheceu que os fornecedores têm sido lentos em cumprir as ordens executivas para emissão de SBOMs ou auto-atestação de componentes de código aberto e de terceiros em suas ofertas. “Uma das coisas que nos surpreendeu foi que, quando estávamos prontos para produzi-los, não eram exatamente grilos, mas o volume era menor do que esperávamos”, disse ele. “Acho que com o tempo, à medida que as pessoas se sentirem confortáveis em usá-los, veremos isso se intensificar e, eventualmente, se tornar comum.”
Ação imediata recomendada
Fussa insta as partes interessadas a começarem a adotar imediatamente as práticas descritas no novo relatório. “Eu encorajaria todos vocês a pensar em fazer isso com urgência, implantar SSDF com urgência, construir e obter SBOMs de seus clientes com um senso de urgência e, francamente, impulsionar a segurança com um senso de urgência, porque os agentes de ameaças não estão esperando, e eles estão buscando ativamente novas oportunidades para explorar todas as nossas redes.”
Como consórcio industrial, o NRC só pode ir ao ponto de incentivar os seus membros a seguirem as suas recomendações. Mas como o white paper está alinhado com a Ordem Executiva e o Estratégia Nacional de Cibersegurança divulgado pela Casa Branca no ano passado, Fussa acredita que aderir a ele preparará os fornecedores para o inevitável. “Farei uma previsão de que muitas das sugestões que você vê neste documento serão requisitos legais, tanto na Europa como nos EUA”, acrescentou.
Jordan LaRose, diretor de práticas globais de segurança de infraestrutura do Grupo NCC, diz que ter a ONCD e a CISA por trás do esforço do consórcio é um endosso digno de nota. Mas depois de ler o jornal, ele não acreditou que ele oferecesse informações que ainda não estivessem disponíveis.
“Este whitepaper não é muito detalhado”, diz LaRose. “Ele não descreve uma estrutura completa. Ele faz referência ao SSDF do NIST, mas acho que a pergunta que a maioria das pessoas se fará é: elas precisam ler este whitepaper quando poderiam simplesmente ler o SSDF do NIST.”
No entanto, LaRose observa que sublinha a necessidade de as partes interessadas aceitarem os potenciais requisitos e responsabilidades que enfrentarão se não desenvolverem processos seguros desde a concepção e implementarem os modelos de fim de vida recomendados.
Carl Windsor, vice-presidente sênior de tecnologia e soluções de produtos da Fortinet, disse que qualquer esforço para incorporar segurança aos produtos desde o primeiro dia é fundamental. Windsor disse que está especialmente encorajado pelo fato de o relatório abranger o SSDF e outros trabalhos do NIST e CISA. “Se construirmos nossos produtos desde o primeiro dia, alinhados aos padrões NIST, estaremos de 90 a 95% do caminho com todos os outros padrões que estão surgindo ao redor do mundo”, disse ele.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security
