NRC উন্নত নেটওয়ার্ক, সফ্টওয়্যার নিরাপত্তার জন্য সুপারিশ জারি করে

সার্জারির  নেটওয়ার্ক স্থিতিস্থাপকতা জোট পুরানো এবং ভুলভাবে কনফিগার করা সফ্টওয়্যার এবং হার্ডওয়্যার দ্বারা সৃষ্ট দুর্বলতাগুলি হ্রাস করে নেটওয়ার্ক সুরক্ষা পরিকাঠামো উন্নত করার উদ্দেশ্যে জারি করা সুপারিশগুলি। এনআরসি সদস্যরা, মার্কিন সরকারের সাইবার নিরাপত্তার শীর্ষ নেতাদের সাথে যোগ দিয়ে ওয়াশিংটন, ডিসিতে একটি ইভেন্টে সুপারিশের রূপরেখা তুলে ধরেন।

জুলাই 2023 সালে সেন্টার ফর সাইবারসিকিউরিটি পলিসি অ্যান্ড ল দ্বারা প্রতিষ্ঠিত, NRC নেটওয়ার্ক অপারেটর এবং আইটি বিক্রেতাদের তাদের পণ্যগুলির সাইবার স্থিতিস্থাপকতা উন্নত করতে সারিবদ্ধ করার চেষ্টা করে। এনআরসি-এর সাদা কাগজ সুরক্ষিত সফ্টওয়্যার বিকাশ এবং জীবনচক্র পরিচালনার জন্য সুপারিশগুলি অন্তর্ভুক্ত করে এবং সফ্টওয়্যার সরবরাহ চেইন সুরক্ষার উন্নতির জন্য সুরক্ষিত-বাই-ডিজাইন এবং ডিফল্ট পণ্য বিকাশকে আলিঙ্গন করে।

NRC এর সদস্যদের মধ্যে AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon, এবং VMware অন্তর্ভুক্ত।

গোষ্ঠীটি সমস্ত আইটি বিক্রেতাদেরকে সরকারের সতর্কবার্তায় মনোযোগ দেওয়ার জন্য আহ্বান জানিয়েছে যে জাতি-রাষ্ট্রের হুমকি অভিনেতারা পর্যাপ্তভাবে সুরক্ষিত, প্যাচ করা বা রক্ষণাবেক্ষণ না করা হার্ডওয়্যার এবং সফ্টওয়্যার দুর্বলতাগুলিকে কাজে লাগিয়ে সমালোচনামূলক অবকাঠামোতে আক্রমণ করার জন্য তাদের প্রচেষ্টা বাড়িয়েছে।

তাদের সুপারিশ বিডেন প্রশাসনের সাথে সামঞ্জস্যপূর্ণ এক্সিকিউটিভ অর্ডার 14208, উন্নত সফ্টওয়্যার সাপ্লাই চেইন নিরাপত্তা সহ আধুনিক সাইবার নিরাপত্তা মানগুলির জন্য আহ্বান জানানো হচ্ছে৷ তারা সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সির (সিআইএসএ) ম্যাপও করে সিকিউরিটি-বাই-ডিজাইন এবং ডিফল্ট নির্দেশিকা এবং প্রশাসনের সাইবার নিরাপত্তা আইন গত বছর জারি করা হয়েছে। 

সাইবার সিকিউরিটির জন্য সিআইএসএ-এর নির্বাহী সহকারী পরিচালক এরিক গোল্ডস্টেইন গ্রুপের গঠন এবং ছয় মাস পরে শ্বেতপত্র প্রকাশকে একটি আশ্চর্যজনক কিন্তু স্বাগত উন্নয়ন হিসাবে বর্ণনা করেছেন। "সত্যি বলতে, কয়েক বছর আগে নেটওয়ার্কিং প্রদানকারী, প্রযুক্তি প্রদানকারী, [এবং] ডিভাইস নির্মাতারা একত্রিত হয়ে বলেছিল যে পণ্য ইকোসিস্টেমের সাইবার নিরাপত্তাকে এগিয়ে নিতে আমাদের আরও সম্মিলিতভাবে কাজ করতে হবে তা একটি বিদেশী ধারণা হত," গোল্ডস্টেইন বলেছিলেন। এনআরসি অনুষ্ঠানের সময়। "এটা অ্যাথেমা হত।"

NIST এর SSDF এবং OASIS Open EoX আলিঙ্গন করা

এনআরসি বিক্রেতাদেরকে তাদের সফ্টওয়্যার বিকাশের পদ্ধতিগুলিকে NIST-এর সাথে ম্যাপ করার জন্য আহ্বান জানাচ্ছে৷ সিকিউর সফটওয়্যার ডেভেলপমেন্ট ফ্রেমওয়ার্ক (SSDF), তারা কতক্ষণ সমর্থন করবে এবং প্যাচ প্রকাশ করবে তার বিশদ বিবরণ। এছাড়াও, বিক্রেতাদের নিরাপত্তা প্যাচগুলিকে বৈশিষ্ট্য আপডেটের সাথে বান্ডিল করার পরিবর্তে আলাদাভাবে প্রকাশ করা উচিত। একই সময়ে, গ্রাহকদের উচিত বিক্রেতাদের ওজন দেওয়া উচিত যারা আলাদাভাবে সমালোচনামূলক প্যাচ জারি করতে প্রতিশ্রুতিবদ্ধ এবং SSDF-এর সাথে সামঞ্জস্যপূর্ণ।

আরও, এনআরসি সুপারিশ করে যে বিক্রেতাদের সমর্থন OpenEoX, OASIS দ্বারা 2023 সালের সেপ্টেম্বরে একটি প্রয়াস চালু করা হয়েছে যাতে প্রোভাইডাররা কীভাবে ঝুঁকি শনাক্ত করে এবং তাদের রিলিজ করা প্রতিটি পণ্যের জন্য একটি মেশিন-পাঠযোগ্য বিন্যাসে জীবনের শেষের বিবরণ যোগাযোগ করে।

সিসকোর চিফ ট্রাস্ট অফিসার ম্যাট ফুসা বলেছেন, বিশ্বব্যাপী সরকারগুলি তাদের সামগ্রিক অর্থনীতিকে কীভাবে আরও স্থিতিশীল, স্থিতিস্থাপক এবং সুরক্ষিত করা যায় তা নির্ধারণ করার চেষ্টা করছে। "আমার মনে হয়, সফ্টওয়্যার বিল এবং উপকরণ তৈরি করা, নিরাপদ সফ্টওয়্যার ডেভেলপমেন্ট অনুশীলনে নিযুক্ত হওয়া এবং স্থাপন করার মতো সর্বোত্তম অনুশীলনগুলি চালানোর জন্য সমস্ত সংস্থাগুলি CISA এবং সামগ্রিকভাবে মার্কিন সরকারের সাথে ঘনিষ্ঠভাবে অংশীদারিত্ব করছে," Fussa এই সপ্তাহের NRC প্রেস ইভেন্টে বলেছিলেন৷

সফ্টওয়্যারে স্বচ্ছতা বাড়ানো, আরও সুরক্ষিত বিল্ড এনভায়রনমেন্ট স্থাপন এবং সফ্টওয়্যার ডেভেলপমেন্ট প্রসেসগুলিকে তীরে তোলার উদ্যোগের ফলে কেবলমাত্র গুরুত্বপূর্ণ অবকাঠামোর বাইরেও উন্নত নিরাপত্তা হবে, ফুসা যোগ করেছেন। "সরকারের বাইরে একটি স্পিলওভার প্রভাব থাকবে কারণ এই জিনিসগুলি শিল্পে নিয়ম হয়ে গেছে," তিনি বলেছিলেন। 

ব্রিফিংয়ের পরপরই অনুষ্ঠিত একটি মিডিয়া প্রশ্নোত্তর চলাকালীন, সিসকোর ফুসা স্বীকার করেছেন যে বিক্রেতারা SBOM ইস্যু করার জন্য বা তাদের অফারগুলিতে ওপেন-সোর্স এবং তৃতীয়-পক্ষের উপাদানগুলির স্ব-প্রত্যয়নের জন্য নির্বাহী আদেশগুলি মেনে চলতে ধীর হয়েছে। তিনি বলেন, "একটি জিনিস যা দেখে আমরা অবাক হয়েছিলাম যে একবার আমরা তাদের তৈরি করতে প্রস্তুত হয়েছিলাম - এটি পুরোপুরি ক্রিকেট ছিল না, তবে এটি আমাদের প্রত্যাশার চেয়ে কম ভলিউম ছিল," তিনি বলেছিলেন। "আমি মনে করি সময়ের সাথে সাথে, লোকেরা কীভাবে সেগুলি ব্যবহার করতে স্বাচ্ছন্দ্য বোধ করেছিল, আমরা দেখতে পাব যে এটি বাছাই এবং অবশেষে সাধারণ হবে।"

অবিলম্বে পদক্ষেপ প্রস্তাবিত

ফুসা স্টেকহোল্ডারদের অবিলম্বে নতুন প্রতিবেদনে বর্ণিত অনুশীলনগুলি গ্রহণ শুরু করার আহ্বান জানাচ্ছে। “আমি আপনাদের সকলকে জরুরীতার সাথে এটি করার বিষয়ে ভাবতে উৎসাহিত করব, জরুরীতার সাথে SSDF মোতায়েন করা, আপনার গ্রাহকদের SBOM তৈরি করা এবং জরুরীতার বোধ নিয়ে এবং খোলাখুলিভাবে ড্রাইভিং নিরাপত্তা জরুরিতার ধারনা নিয়ে, কারণ হুমকি অভিনেতারা অপেক্ষা করছে না, এবং তারা সক্রিয়ভাবে আমাদের সমস্ত নেটওয়ার্কের বিরুদ্ধে শোষণের নতুন সুযোগ খুঁজছে।"

একটি শিল্প কনসোর্টিয়াম হিসাবে, এনআরসি কেবলমাত্র তার সুপারিশগুলি অনুসরণ করতে তার সদস্যদের উত্সাহিত করতে পারে। কিন্তু সাদা কাগজ নির্বাহী আদেশ এবং সঙ্গে সারিবদ্ধ কারণ জাতীয় সাইবার নিরাপত্তা কৌশল গত বছর হোয়াইট হাউস দ্বারা প্রকাশিত, ফুসা বিশ্বাস করে যে এটি মেনে চলা বিক্রেতাদের অনিবার্যতার জন্য প্রস্তুত করবে। "আমি একটি ভবিষ্যদ্বাণী করব যে আপনি এই কাগজে যে পরামর্শগুলি দেখছেন তার অনেকগুলি ইউরোপ এবং মার্কিন যুক্তরাষ্ট্রে আইনের অধীনে প্রয়োজনীয়তা হবে," তিনি যোগ করেছেন।

এনসিসি গ্রুপের অবকাঠামো সুরক্ষার জন্য বিশ্বব্যাপী অনুশীলন পরিচালক জর্ডান লরোজ বলেছেন, কনসোর্টিয়ামের প্রচেষ্টার পিছনে ONCD এবং CISA থাকা একটি উল্লেখযোগ্য অনুমোদন। কিন্তু কাগজটি পড়ার পরে, তিনি বিশ্বাস করেননি যে এটি এমন তথ্য দিয়েছে যা ইতিমধ্যে উপলব্ধ নয়। 

"এই শ্বেতপত্রটি খুব বিস্তারিত নয়," ল্যারোজ বলেছেন। “এটি একটি সম্পূর্ণ কাঠামোর রূপরেখা দেয় না। এটি NIST SSDF এর উল্লেখ করে কিন্তু আমি অনুমান করি যে বেশিরভাগ লোকেরা নিজেরাই যে প্রশ্নটি উত্থাপন করবে তা হল, যখন তারা কেবল গিয়ে NIST SSDF পড়তে পারে তখন তাদের কি এই শ্বেতপত্রটি পড়তে হবে।"

তা সত্ত্বেও, LaRose নোট করে যে এটি স্টেকহোল্ডারদের সম্ভাব্য প্রয়োজনীয়তা এবং দায়বদ্ধতার সাথে শর্তে আসার প্রয়োজনীয়তার উপর জোর দেয় যে তারা যদি নিরাপদ-বাই-ডিজাইন প্রক্রিয়াগুলি বিকাশ না করে এবং প্রস্তাবিত জীবনের শেষের মডেলগুলি বাস্তবায়ন না করে।

কার্ল উইন্ডসর, ফোর্টিনেটের প্রোডাক্ট টেকনোলজি এবং সলিউশনের সিনিয়র ভিপি বলেছেন, প্রথম দিন থেকে পণ্যগুলিতে সুরক্ষা তৈরি করার যে কোনও প্রচেষ্টা গুরুত্বপূর্ণ। উইন্ডসর বলেছেন যে তিনি বিশেষভাবে উত্সাহিত হয়েছেন যে প্রতিবেদনটি এসএসডিএফ এবং এনআইএসটি এবং সিআইএসএর অন্যান্য কাজকে আলিঙ্গন করে। "যদি আমরা প্রথম দিন থেকে আমাদের পণ্য তৈরি করি, NIST স্ট্যান্ডার্ডের সাথে সারিবদ্ধভাবে, আমরা 90 থেকে 95% অন্য সমস্ত মানগুলির সাথে যা সারা বিশ্বে আসছে," তিনি বলেছিলেন।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security