Smakämnen Nätverksresiliens koalition utfärdade rekommendationer avsedda att förbättra nätverkssäkerhetsinfrastrukturen genom att minska sårbarheter som skapats av föråldrad och felaktigt konfigurerad mjukvara och hårdvara. NRC-medlemmar, tillsammans med USA:s högsta ledare för cybersäkerhet, redogjorde för rekommendationerna vid ett evenemang i Washington, DC.

NRC, som grundades i juli 2023 av Center for Cybersecurity Policy and Law, försöker anpassa nätverksoperatörer och IT-leverantörer för att förbättra cyberresiliensen hos deras produkter. NRC:s vitt papper inkluderar rekommendationer för att ta itu med säker mjukvaruutveckling och livscykelhantering, och omfattar säker-by-design och standardproduktutveckling för att förbättra säkerheten i mjukvaruförsörjningskedjan.

NRC:s medlemmar inkluderar AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon och VMware.

Gruppen uppmanar alla IT-leverantörer att följa regeringens varningar om att hotaktörer från nationalstater har intensifierat sina ansträngningar att attackera kritisk infrastruktur genom att utnyttja hård- och mjukvaruproblem som inte är tillräckligt säkrade, korrigerade eller underhållna.

Deras rekommendationer överensstämmer med Biden-administrationens Executive Order 14208, efterlyser moderniserade cybersäkerhetsstandarder, inklusive förbättrad säkerhet för mjukvaruförsörjningskedjan. De mappar också till Cybersecurity and Infrastructure Security Agency (CISA) Security-by-Design och Default vägledning och till förvaltningens cybersäkerhetslag som utfärdades förra året. 

CISAs verkställande biträdande chef för cybersäkerhet Eric Goldstein beskrev bildandet av gruppen och släppet av whitepaper sex månader senare som en överraskande men välkommen utveckling. "Ärligt talat, idén om att nätverksleverantörer, teknikleverantörer, [och] enhetstillverkare skulle gå samman och säga att vi måste göra mer kollektivt för att främja cybersäkerheten i produktens ekosystem skulle ha varit ett främmande koncept," sa Goldstein under NRC-evenemanget. "Det skulle ha varit förbannat."

Omfamnar NIST:s SSDF och OASIS Open EoX

NRC uppmanar leverantörer att kartlägga sina metoder för mjukvaruutveckling med NIST:s Secure Software Development Framework (SSDF), samtidigt som de beskriver hur länge de kommer att stödja och släppa patchar. Dessutom bör leverantörer släppa säkerhetskorrigeringar separat istället för att kombinera dem med funktionsuppdateringar. Samtidigt bör kunder ge vikt åt leverantörer som har förbundit sig att utfärda kritiska patchar separat och överensstämma med SSDF.

Vidare rekommenderar NRC att leverantörer stödjer OpenEoX, en satsning som lanserades i september 2023 av OASIS för att standardisera hur leverantörer identifierar risker och kommunicerar information om slutdatum i ett maskinläsbart format för varje produkt de släpper.

Regeringar över hela världen försöker avgöra hur de ska göra deras totala ekonomier mer stabila, motståndskraftiga och säkra, säger Ciscos chief trust officer Matt Fussa. "Alla företag tror jag är nära samarbetade med CISA och den amerikanska regeringen som helhet för att driva bästa praxis som att producera mjukvarufakturor och material, engagera sig i och distribuera säkra metoder för mjukvaruutveckling", sa Fussa under veckans NRC pressevenemang.

Initiativ för att öka transparensen i mjukvara, etablera säkrare byggmiljöer och stödja processer för mjukvaruutveckling kommer att resultera i förbättrad säkerhet utöver bara kritisk infrastruktur, tillade Fussa. "Det kommer att finnas en spridningseffekt utanför regeringen när dessa saker blir normer i branschen," sa han. 

Under en media Q&A som hölls omedelbart efter genomgången, erkände Ciscos Fussa att leverantörer har varit långsamma med att följa de verkställande orderna för utfärdande av SBOM eller självbekräftelse av öppen källkod och tredjepartskomponenter i deras erbjudanden. "En av de saker vi blev förvånade över var att när vi väl var redo att producera dem - det var inte riktigt syrsor, men det var lägre volym än vi kanske hade förväntat oss," sa han. "Jag tror att med tiden, eftersom folk var bekväma med hur man använder dem, kommer vi att se att det tar fart och så småningom blir vanligt."

Omedelbar åtgärd rekommenderas

Fussa uppmanar intressenter att börja anta praxis som beskrivs i den nya rapporten omedelbart. "Jag skulle uppmuntra er alla att fundera på att göra det här med brådska, implementera SSDF med brådska, bygga och få dina kunders SBOMs med en känsla av brådska och ärligt talat driva säkerheten med en känsla av brådska, eftersom hotaktörer inte väntar, och de söker aktivt nya möjligheter att utnyttja mot alla våra nätverk.”

Som ett industrikonsortium kan NRC bara gå så långt som att uppmuntra sina medlemmar att följa dess rekommendationer. Men eftersom vitboken överensstämmer med verkställandeordningen och Nationell cybersäkerhetsstrategi släppt av Vita huset förra året, tror Fussa att hålla sig till det kommer att förbereda leverantörer för det oundvikliga. "Jag kommer att göra en förutsägelse att många av förslagen som du ser i detta dokument kommer att vara krav enligt lagen, både i Europa och i USA," tillade han.

Jordan LaRose, global praktikchef för infrastruktursäkerhet på NCC Group, säger att det är ett anmärkningsvärt stöd att ha ONCD och CISA bakom konsortiets insatser. Men efter att ha läst tidningen trodde han inte att den gav information som inte redan är tillgänglig. 

"Denna whitepaper är inte superdetaljerad," säger LaRose. "Det skisserar inte en hel ram. Det refererar till NIST SSDF men jag antar att frågan som de flesta människor kommer att ställa sig själva är, behöver de läsa detta whitepaper när de bara kunde gå och läsa NIST SSDF."

Ändå noterar LaRose att det understryker behovet för intressenter att komma överens med potentiella krav och skyldigheter som de står inför om de inte utvecklar säkra processer och implementerar de rekommenderade end-of-life-modellerna.

Carl Windsor, senior VP för produktteknologi och lösningar på Fortinet, sa att alla ansträngningar att bygga in säkerhet i produkterna från dag ett är avgörande. Windsor sa att han är särskilt uppmuntrad över att rapporten omfattar SSDF och annat arbete av NIST och CISA. "Om vi ​​bygger våra produkter från dag ett, anpassade till NIST-standarderna, är vi 90 till 95% av vägen med alla andra standarder som kommer ut runt om i världen," sa han.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security