Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

NRC đưa ra khuyến nghị để mạng tốt hơn, bảo mật phần mềm

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 154

Sản phẩm Khả năng phục hồi mạng sự liên minh đã đưa ra các khuyến nghị nhằm cải thiện cơ sở hạ tầng bảo mật mạng bằng cách giảm các lỗ hổng được tạo ra bởi phần mềm và phần cứng lỗi thời và được cấu hình không đúng cách. Các thành viên NRC, cùng với các nhà lãnh đạo an ninh mạng hàng đầu của chính phủ Hoa Kỳ, đã đưa ra các khuyến nghị tại một sự kiện ở Washington, DC.

Được thành lập vào tháng 2023 năm XNUMX bởi Trung tâm Luật và Chính sách An ninh mạng, NRC tìm cách liên kết các nhà khai thác mạng và nhà cung cấp CNTT để cải thiện khả năng phục hồi mạng của các sản phẩm của họ. của NRC whitepaper bao gồm các đề xuất để giải quyết vấn đề phát triển phần mềm an toàn và quản lý vòng đời, đồng thời bao gồm việc phát triển sản phẩm mặc định và bảo mật theo thiết kế để cải thiện tính bảo mật của chuỗi cung ứng phần mềm.

Các thành viên của NRC bao gồm AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon và VMware.

Nhóm đang kêu gọi tất cả các nhà cung cấp CNTT chú ý đến cảnh báo của chính phủ rằng các tác nhân đe dọa cấp quốc gia đã tăng cường nỗ lực tấn công cơ sở hạ tầng quan trọng bằng cách khai thác các lỗ hổng phần cứng và phần mềm không được bảo mật, vá hoặc bảo trì đầy đủ.

Khuyến nghị của họ phù hợp với quan điểm của Chính quyền Biden Đơn hàng 14208, kêu gọi các tiêu chuẩn an ninh mạng hiện đại hóa, bao gồm cải thiện bảo mật chuỗi cung ứng phần mềm. Họ cũng lập bản đồ tới Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) Bảo mật theo thiết kế và mặc định hướng dẫn và Đạo luật An ninh mạng của chính quyền ban hành năm ngoái. 

Trợ lý giám đốc điều hành CISA về an ninh mạng Eric Goldstein mô tả việc thành lập nhóm và phát hành sách trắng sáu tháng sau đó là một bước phát triển đáng ngạc nhiên nhưng đáng hoan nghênh. Goldstein nói: “Thành thật mà nói, ý tưởng cách đây vài năm về việc các nhà cung cấp mạng, nhà cung cấp công nghệ, [và] nhà sản xuất thiết bị hợp tác với nhau và nói rằng chúng ta cần phải làm nhiều việc chung hơn để nâng cao an ninh mạng của hệ sinh thái sản phẩm sẽ là một khái niệm xa lạ”. trong sự kiện NRC. “Nó sẽ là lời nguyền rủa.”

Sử dụng SSDF và OASIS Open EoX của NIST

NRC đang kêu gọi các nhà cung cấp lập bản đồ các phương pháp phát triển phần mềm của họ với NIST Khung phát triển phần mềm an toàn (SSDF), đồng thời nêu chi tiết thời gian họ sẽ hỗ trợ và phát hành các bản vá. Ngoài ra, các nhà cung cấp nên phát hành các bản vá bảo mật riêng biệt thay vì gộp chúng cùng với các bản cập nhật tính năng. Đồng thời, khách hàng nên chú trọng đến các nhà cung cấp đã cam kết phát hành các bản vá quan trọng riêng biệt và tuân thủ SSDF.

Hơn nữa, NRC khuyến nghị các nhà cung cấp hỗ trợ OpenEoX, một nỗ lực được OASIS triển khai vào tháng 2023 năm XNUMX nhằm chuẩn hóa cách các nhà cung cấp xác định rủi ro và truyền đạt thông tin chi tiết về thời hạn sử dụng ở định dạng mà máy có thể đọc được cho mọi sản phẩm mà họ phát hành.

Giám đốc ủy thác của Cisco, Matt Fussa cho biết, các chính phủ trên toàn thế giới đang cố gắng xác định cách làm cho nền kinh tế tổng thể của họ ổn định, linh hoạt và an toàn hơn. Fussa cho biết trong sự kiện báo chí NRC tuần này: “Tôi nghĩ rằng tất cả các công ty đều hợp tác chặt chẽ với CISA và chính phủ Hoa Kỳ để thúc đẩy các phương pháp hay nhất như sản xuất hóa đơn và tài liệu phần mềm, tham gia và triển khai các phương pháp phát triển phần mềm an toàn”.

Fussa cho biết thêm, các sáng kiến ​​nhằm tăng cường tính minh bạch trong phần mềm, thiết lập môi trường xây dựng an toàn hơn và củng cố các quy trình phát triển phần mềm sẽ giúp cải thiện tính bảo mật ngoài cơ sở hạ tầng quan trọng. Ông nói: “Sẽ có tác động lan tỏa ra bên ngoài chính phủ khi những điều đó trở thành chuẩn mực trong ngành”. 

Trong phiên hỏi đáp truyền thông được tổ chức ngay sau cuộc họp, Fussa của Cisco thừa nhận rằng các nhà cung cấp đã chậm tuân thủ các lệnh điều hành về phát hành SBOM hoặc tự chứng thực các thành phần nguồn mở và bên thứ ba trong các dịch vụ của họ. “Một trong những điều chúng tôi ngạc nhiên là khi chúng tôi sẵn sàng sản xuất – chúng không hẳn là dế, nhưng khối lượng thấp hơn những gì chúng tôi mong đợi,” ông nói. “Tôi nghĩ theo thời gian, khi mọi người cảm thấy thoải mái với cách sử dụng chúng, chúng ta sẽ thấy điều đó phát triển và cuối cùng trở nên phổ biến.”

Khuyến nghị hành động ngay lập tức

Fussa đang kêu gọi các bên liên quan bắt đầu áp dụng các phương pháp được nêu trong báo cáo mới ngay lập tức. “Tôi khuyến khích tất cả các bạn suy nghĩ về việc thực hiện việc này một cách khẩn cấp, triển khai SSDF một cách khẩn cấp, xây dựng và mang lại cho khách hàng của bạn SBOM với cảm giác cấp bách và thẳng thắn thúc đẩy bảo mật với cảm giác cấp bách, bởi vì các tác nhân đe dọa không chờ đợi, và họ đang tích cực tìm kiếm những cơ hội mới để khai thác trên tất cả các mạng của chúng tôi.”

Với tư cách là một tập đoàn công nghiệp, NRC chỉ có thể khuyến khích các thành viên tuân theo các khuyến nghị của mình. Nhưng vì sách trắng phù hợp với Sắc lệnh hành pháp và Chiến lược An ninh mạng Quốc gia được Nhà Trắng ban hành năm ngoái, Fussa tin rằng việc tuân thủ nó sẽ chuẩn bị cho các nhà cung cấp những điều không thể tránh khỏi. Ông nói thêm: “Tôi sẽ đưa ra dự đoán rằng rất nhiều đề xuất mà bạn thấy trong bài viết này sẽ là yêu cầu của luật pháp, cả ở Châu Âu và Hoa Kỳ”.

Jordan LaRose, giám đốc thực hành toàn cầu về an ninh cơ sở hạ tầng tại NCC Group, cho biết việc có ONCD và CISA đằng sau nỗ lực của tập đoàn là một sự chứng thực đáng chú ý. Nhưng sau khi đọc bài báo, anh ấy không tin rằng nó cung cấp những thông tin chưa có sẵn. 

LaRose nói: “Sách trắng này không quá chi tiết. “Nó không phác thảo toàn bộ khuôn khổ. Nó có tham chiếu đến NIST SSDF nhưng tôi đoán câu hỏi mà hầu hết mọi người sẽ đặt ra là liệu họ có cần đọc báo cáo chính thức này khi họ có thể chỉ cần đọc NIST SSDF hay không.”

Tuy nhiên, LaRose lưu ý rằng nó nhấn mạnh rằng các bên liên quan cần phải chấp nhận các yêu cầu và trách nhiệm pháp lý tiềm ẩn mà họ phải đối mặt nếu họ không phát triển các quy trình an toàn theo thiết kế và triển khai các mô hình cuối vòng đời được đề xuất.

Carl Windsor, Phó chủ tịch cấp cao về công nghệ và giải pháp sản phẩm tại Fortinet, cho biết mọi nỗ lực nhằm xây dựng tính bảo mật cho sản phẩm ngay từ ngày đầu đều rất quan trọng. Windsor cho biết ông đặc biệt khuyến khích báo cáo bao gồm SSDF và các công việc khác của NIST và CISA. Ông nói: “Nếu chúng tôi xây dựng các sản phẩm của mình ngay từ ngày đầu tiên, phù hợp với các tiêu chuẩn của NIST, thì chúng tôi đã hoàn thành được 90 đến 95% chặng đường với tất cả các tiêu chuẩn khác đang được áp dụng trên khắp thế giới”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.