Το NRC εκδίδει συστάσεις για καλύτερο δίκτυο, ασφάλεια λογισμικού

Η Ανθεκτικότητα Δικτύου συνασπισμός εξέδωσε συστάσεις που αποσκοπούν στη βελτίωση της υποδομής ασφάλειας δικτύου μειώνοντας τα τρωτά σημεία που δημιουργούνται από απαρχαιωμένο και ακατάλληλα διαμορφωμένο λογισμικό και υλικό. Τα μέλη του NRC, μαζί με κορυφαίους ηγέτες κυβερνοασφάλειας των ΗΠΑ, περιέγραψαν τις συστάσεις σε εκδήλωση στην Ουάσιγκτον, DC.

Ιδρύθηκε τον Ιούλιο του 2023 από το Κέντρο Πολιτικής και Νόμου για την Κυβερνοασφάλεια, το NRC επιδιώκει να ευθυγραμμίσει τους φορείς εκμετάλλευσης δικτύων και τους προμηθευτές IT για να βελτιώσουν την ανθεκτικότητα των προϊόντων τους στον κυβερνοχώρο. Το NRC whitepaper περιλαμβάνει συστάσεις για την αντιμετώπιση της ασφαλούς ανάπτυξης λογισμικού και διαχείρισης του κύκλου ζωής, και περιλαμβάνει την ασφαλή κατά σχεδιασμό και την προεπιλεγμένη ανάπτυξη προϊόντων για τη βελτίωση της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού.

Τα μέλη του NRC περιλαμβάνουν AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon και VMware.

Η ομάδα καλεί όλους τους προμηθευτές IT να λάβουν υπόψη τις προειδοποιήσεις της κυβέρνησης ότι οι φορείς απειλών εθνικών κρατών έχουν εντείνει τις προσπάθειές τους να επιτεθούν σε κρίσιμες υποδομές εκμεταλλευόμενοι ευπάθειες υλικού και λογισμικού που δεν είναι επαρκώς ασφαλισμένες, διορθωμένες ή συντηρημένες.

Οι συστάσεις τους είναι συνεπείς με αυτές της κυβέρνησης Μπάιντεν Εκτελεστική εντολή 14208, ζητώντας εκσυγχρονισμένα πρότυπα κυβερνοασφάλειας, συμπεριλαμβανομένης της βελτιωμένης ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού. Επίσης χαρτογραφούνται στην Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) Ασφάλεια ανά σχεδιασμό και προεπιλογή καθοδήγηση και στον νόμο της διοίκησης για την ασφάλεια στον κυβερνοχώρο που εκδόθηκε πέρυσι. 

Ο εκτελεστικός βοηθός διευθυντής της CISA για την ασφάλεια στον κυβερνοχώρο, Eric Goldstein, περιέγραψε τη σύσταση της ομάδας και την κυκλοφορία της λευκής βίβλου έξι μήνες αργότερα ως μια εκπληκτική αλλά ευπρόσδεκτη εξέλιξη. «Ειλικρινά, η ιδέα ακόμη και πριν από μερικά χρόνια να συναντηθούν οι πάροχοι δικτύων, οι πάροχοι τεχνολογίας και οι κατασκευαστές συσκευών και να λένε ότι πρέπει να κάνουμε περισσότερα συλλογικά για να προωθήσουμε την ασφάλεια στον κυβερνοχώρο του οικοσυστήματος προϊόντων θα ήταν μια ξένη ιδέα», είπε ο Goldstein. κατά τη διάρκεια της εκδήλωσης NRC. «Θα ήταν ανάθεμα».

Αγκαλιάζοντας το SSDF και το OASIS Open EoX της NIST

Το NRC καλεί τους προμηθευτές να χαρτογραφήσουν τις μεθοδολογίες ανάπτυξης λογισμικού τους με NIST Ασφαλές Πλαίσιο Ανάπτυξης Λογισμικού (SSDF), ενώ διευκρινίζει πόσο καιρό θα υποστηρίζουν και θα κυκλοφορούν patches. Επίσης, οι προμηθευτές θα πρέπει να εκδίδουν ενημερωμένες εκδόσεις κώδικα ασφαλείας ξεχωριστά αντί να τις ομαδοποιούν με ενημερώσεις λειτουργιών. Ταυτόχρονα, οι πελάτες θα πρέπει να δίνουν βάρος στους προμηθευτές που έχουν δεσμευτεί να εκδίδουν κρίσιμες ενημερώσεις κώδικα ξεχωριστά και να συμμορφώνονται με το SSDF.

Επιπλέον, το NRC συνιστά οι προμηθευτές να υποστηρίζουν OpenEoX, μια προσπάθεια που ξεκίνησε τον Σεπτέμβριο του 2023 από την OASIS για να τυποποιήσει τον τρόπο με τον οποίο οι πάροχοι εντοπίζουν τους κινδύνους και επικοινωνούν λεπτομέρειες σχετικά με το τέλος του κύκλου ζωής τους σε μορφή αναγνώσιμη από μηχανήματα για κάθε προϊόν που κυκλοφορούν.

Οι κυβερνήσεις σε όλο τον κόσμο προσπαθούν να καθορίσουν πώς να κάνουν τις συνολικές οικονομίες τους πιο σταθερές, ανθεκτικές και ασφαλείς, δήλωσε ο επικεφαλής της Cisco, Matt Fussa. «Όλες οι εταιρείες, νομίζω, συνεργάζονται στενά με την CISA και την κυβέρνηση των ΗΠΑ στο σύνολό της για να οδηγήσουν βέλτιστες πρακτικές όπως η παραγωγή λογαριασμών και υλικών λογισμικού, η συμμετοχή και η ανάπτυξη ασφαλών πρακτικών ανάπτυξης λογισμικού», δήλωσε ο Fussa κατά τη διάρκεια της εκδήλωσης τύπου NRC αυτής της εβδομάδας.

Οι πρωτοβουλίες για την ενίσχυση της διαφάνειας στο λογισμικό, τη δημιουργία πιο ασφαλών περιβαλλόντων κατασκευής και την ενίσχυση των διαδικασιών ανάπτυξης λογισμικού θα οδηγήσουν σε βελτιωμένη ασφάλεια πέρα ​​από την απλή υποδομή ζωτικής σημασίας, πρόσθεσε ο Fussa. «Θα υπάρξει μια δευτερογενής επίδραση έξω από την κυβέρνηση καθώς αυτά τα πράγματα γίνονται κανόνες στον κλάδο», είπε. 

Κατά τη διάρκεια μιας Q&A των μέσων ενημέρωσης που πραγματοποιήθηκε αμέσως μετά την ενημέρωση, ο Fussa της Cisco αναγνώρισε ότι οι πωλητές άργησαν να συμμορφωθούν με τις εκτελεστικές εντολές για την έκδοση SBOM ή την αυτοβεβαίωση των στοιχείων ανοιχτού κώδικα και τρίτων στις προσφορές τους. "Ένα από τα πράγματα που μας εξέπληξε ήταν ότι μόλις ήμασταν έτοιμοι να τα παράγουμε - δεν ήταν αρκετά γρύλοι, αλλά ήταν μικρότερος από ό,τι θα περιμέναμε", είπε. «Νομίζω ότι με την πάροδο του χρόνου, καθώς οι άνθρωποι ήταν άνετοι με το πώς να τα χρησιμοποιήσουν, θα δούμε ότι αυτό θα συνεχίσει και τελικά θα είναι συνηθισμένο».

Συνιστάται Άμεση Δράση

Ο Fussa προτρέπει τα ενδιαφερόμενα μέρη να αρχίσουν να υιοθετούν αμέσως τις πρακτικές που περιγράφονται στη νέα έκθεση. «Θα σας παροτρύνω όλους να σκεφτείτε να το κάνετε αυτό επειγόντως, να αναπτύξετε επειγόντως SSDF, να δημιουργήσετε και να αποκτήσετε τους πελάτες σας SBOM με την αίσθηση του επείγοντος, και ειλικρινά να οδηγήσετε την ασφάλεια με την αίσθηση του επείγοντος, επειδή οι φορείς απειλών δεν περιμένουν. και αναζητούν ενεργά νέες ευκαιρίες για εκμετάλλευση σε όλα τα δίκτυά μας».

Ως βιομηχανική κοινοπραξία, το NRC μπορεί να φτάσει μόνο στο σημείο να δώσει κίνητρα στα μέλη του να ακολουθήσουν τις συστάσεις του. Επειδή όμως η λευκή βίβλος ευθυγραμμίζεται με το Εκτελεστικό Διάταγμα και το Εθνική Στρατηγική Κυβερνοασφάλειας που κυκλοφόρησε από τον Λευκό Οίκο πέρυσι, ο Fussa πιστεύει ότι η τήρησή του θα προετοιμάσει τους πωλητές για το αναπόφευκτο. «Θα κάνω μια πρόβλεψη ότι πολλές από τις προτάσεις που βλέπετε σε αυτό το έγγραφο θα είναι απαιτήσεις βάσει του νόμου, τόσο στην Ευρώπη όσο και στις ΗΠΑ», πρόσθεσε.

Ο Jordan LaRose, διευθυντής παγκόσμιας πρακτικής για την ασφάλεια υποδομών στο NCC Group, λέει ότι το να υπάρχει ONCD και CISA πίσω από την προσπάθεια της κοινοπραξίας είναι μια αξιοσημείωτη επιδοκιμασία. Όμως, έχοντας διαβάσει την εφημερίδα, δεν πίστευε ότι προσέφερε πληροφορίες που δεν είναι ήδη διαθέσιμες. 

«Αυτή η λευκή βίβλος δεν είναι εξαιρετικά λεπτομερής», λέει η LaRose. «Δεν περιγράφει ένα ολόκληρο πλαίσιο. Αναφέρεται στο NIST SSDF, αλλά υποθέτω ότι το ερώτημα που θα θέτουν οι περισσότεροι άνθρωποι είναι, χρειάζεται να διαβάσουν αυτή τη λευκή βίβλο όταν θα μπορούσαν απλώς να πάνε και να διαβάσουν το NIST SSDF».

Ωστόσο, η LaRose σημειώνει ότι υπογραμμίζει την ανάγκη συμβιβασμού των ενδιαφερομένων με πιθανές απαιτήσεις και υποχρεώσεις που αντιμετωπίζουν, εάν δεν αναπτύξουν διαδικασίες ασφαλούς σχεδίασης και δεν εφαρμόσουν τα προτεινόμενα μοντέλα στο τέλος του κύκλου ζωής τους.

Ο Carl Windsor, ανώτερος αντιπρόεδρος τεχνολογίας προϊόντων και λύσεων στη Fortinet, δήλωσε ότι κάθε προσπάθεια για την οικοδόμηση ασφάλειας στα προϊόντα από την πρώτη μέρα είναι κρίσιμη. Ο Windsor είπε ότι είναι ιδιαίτερα ενθαρρυμένος που η έκθεση περιλαμβάνει το SSDF και άλλες εργασίες του NIST και της CISA. «Εάν κατασκευάσουμε τα προϊόντα μας από την πρώτη μέρα, ευθυγραμμισμένα με τα πρότυπα NIST, θα έχουμε το 90 έως 95% του δρόμου με όλα τα άλλα πρότυπα που κυκλοφορούν εκεί σε όλο τον κόσμο», είπε.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security