Η Ανθεκτικότητα Δικτύου συνασπισμός εξέδωσε συστάσεις που αποσκοπούν στη βελτίωση της υποδομής ασφάλειας δικτύου μειώνοντας τα τρωτά σημεία που δημιουργούνται από απαρχαιωμένο και ακατάλληλα διαμορφωμένο λογισμικό και υλικό. Τα μέλη του NRC, μαζί με κορυφαίους ηγέτες κυβερνοασφάλειας των ΗΠΑ, περιέγραψαν τις συστάσεις σε εκδήλωση στην Ουάσιγκτον, DC.
Ιδρύθηκε τον Ιούλιο του 2023 από το Κέντρο Πολιτικής και Νόμου για την Κυβερνοασφάλεια, το NRC επιδιώκει να ευθυγραμμίσει τους φορείς εκμετάλλευσης δικτύων και τους προμηθευτές IT για να βελτιώσουν την ανθεκτικότητα των προϊόντων τους στον κυβερνοχώρο. Το NRC whitepaper περιλαμβάνει συστάσεις για την αντιμετώπιση της ασφαλούς ανάπτυξης λογισμικού και διαχείρισης του κύκλου ζωής, και περιλαμβάνει την ασφαλή κατά σχεδιασμό και την προεπιλεγμένη ανάπτυξη προϊόντων για τη βελτίωση της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού.
Τα μέλη του NRC περιλαμβάνουν AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon και VMware.
Η ομάδα καλεί όλους τους προμηθευτές IT να λάβουν υπόψη τις προειδοποιήσεις της κυβέρνησης ότι οι φορείς απειλών εθνικών κρατών έχουν εντείνει τις προσπάθειές τους να επιτεθούν σε κρίσιμες υποδομές εκμεταλλευόμενοι ευπάθειες υλικού και λογισμικού που δεν είναι επαρκώς ασφαλισμένες, διορθωμένες ή συντηρημένες.
Οι συστάσεις τους είναι συνεπείς με αυτές της κυβέρνησης Μπάιντεν Εκτελεστική εντολή 14208, ζητώντας εκσυγχρονισμένα πρότυπα κυβερνοασφάλειας, συμπεριλαμβανομένης της βελτιωμένης ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού. Επίσης χαρτογραφούνται στην Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) Ασφάλεια ανά σχεδιασμό και προεπιλογή καθοδήγηση και στον νόμο της διοίκησης για την ασφάλεια στον κυβερνοχώρο που εκδόθηκε πέρυσι.
Ο εκτελεστικός βοηθός διευθυντής της CISA για την ασφάλεια στον κυβερνοχώρο, Eric Goldstein, περιέγραψε τη σύσταση της ομάδας και την κυκλοφορία της λευκής βίβλου έξι μήνες αργότερα ως μια εκπληκτική αλλά ευπρόσδεκτη εξέλιξη. «Ειλικρινά, η ιδέα ακόμη και πριν από μερικά χρόνια να συναντηθούν οι πάροχοι δικτύων, οι πάροχοι τεχνολογίας και οι κατασκευαστές συσκευών και να λένε ότι πρέπει να κάνουμε περισσότερα συλλογικά για να προωθήσουμε την ασφάλεια στον κυβερνοχώρο του οικοσυστήματος προϊόντων θα ήταν μια ξένη ιδέα», είπε ο Goldstein. κατά τη διάρκεια της εκδήλωσης NRC. «Θα ήταν ανάθεμα».
Αγκαλιάζοντας το SSDF και το OASIS Open EoX της NIST
Το NRC καλεί τους προμηθευτές να χαρτογραφήσουν τις μεθοδολογίες ανάπτυξης λογισμικού τους με NIST Ασφαλές Πλαίσιο Ανάπτυξης Λογισμικού (SSDF), ενώ διευκρινίζει πόσο καιρό θα υποστηρίζουν και θα κυκλοφορούν patches. Επίσης, οι προμηθευτές θα πρέπει να εκδίδουν ενημερωμένες εκδόσεις κώδικα ασφαλείας ξεχωριστά αντί να τις ομαδοποιούν με ενημερώσεις λειτουργιών. Ταυτόχρονα, οι πελάτες θα πρέπει να δίνουν βάρος στους προμηθευτές που έχουν δεσμευτεί να εκδίδουν κρίσιμες ενημερώσεις κώδικα ξεχωριστά και να συμμορφώνονται με το SSDF.
Επιπλέον, το NRC συνιστά οι προμηθευτές να υποστηρίζουν OpenEoX, μια προσπάθεια που ξεκίνησε τον Σεπτέμβριο του 2023 από την OASIS για να τυποποιήσει τον τρόπο με τον οποίο οι πάροχοι εντοπίζουν τους κινδύνους και επικοινωνούν λεπτομέρειες σχετικά με το τέλος του κύκλου ζωής τους σε μορφή αναγνώσιμη από μηχανήματα για κάθε προϊόν που κυκλοφορούν.
Οι κυβερνήσεις σε όλο τον κόσμο προσπαθούν να καθορίσουν πώς να κάνουν τις συνολικές οικονομίες τους πιο σταθερές, ανθεκτικές και ασφαλείς, δήλωσε ο επικεφαλής της Cisco, Matt Fussa. «Όλες οι εταιρείες, νομίζω, συνεργάζονται στενά με την CISA και την κυβέρνηση των ΗΠΑ στο σύνολό της για να οδηγήσουν βέλτιστες πρακτικές όπως η παραγωγή λογαριασμών και υλικών λογισμικού, η συμμετοχή και η ανάπτυξη ασφαλών πρακτικών ανάπτυξης λογισμικού», δήλωσε ο Fussa κατά τη διάρκεια της εκδήλωσης τύπου NRC αυτής της εβδομάδας.
Οι πρωτοβουλίες για την ενίσχυση της διαφάνειας στο λογισμικό, τη δημιουργία πιο ασφαλών περιβαλλόντων κατασκευής και την ενίσχυση των διαδικασιών ανάπτυξης λογισμικού θα οδηγήσουν σε βελτιωμένη ασφάλεια πέρα από την απλή υποδομή ζωτικής σημασίας, πρόσθεσε ο Fussa. «Θα υπάρξει μια δευτερογενής επίδραση έξω από την κυβέρνηση καθώς αυτά τα πράγματα γίνονται κανόνες στον κλάδο», είπε.
Κατά τη διάρκεια μιας Q&A των μέσων ενημέρωσης που πραγματοποιήθηκε αμέσως μετά την ενημέρωση, ο Fussa της Cisco αναγνώρισε ότι οι πωλητές άργησαν να συμμορφωθούν με τις εκτελεστικές εντολές για την έκδοση SBOM ή την αυτοβεβαίωση των στοιχείων ανοιχτού κώδικα και τρίτων στις προσφορές τους. "Ένα από τα πράγματα που μας εξέπληξε ήταν ότι μόλις ήμασταν έτοιμοι να τα παράγουμε - δεν ήταν αρκετά γρύλοι, αλλά ήταν μικρότερος από ό,τι θα περιμέναμε", είπε. «Νομίζω ότι με την πάροδο του χρόνου, καθώς οι άνθρωποι ήταν άνετοι με το πώς να τα χρησιμοποιήσουν, θα δούμε ότι αυτό θα συνεχίσει και τελικά θα είναι συνηθισμένο».
Συνιστάται Άμεση Δράση
Ο Fussa προτρέπει τα ενδιαφερόμενα μέρη να αρχίσουν να υιοθετούν αμέσως τις πρακτικές που περιγράφονται στη νέα έκθεση. «Θα σας παροτρύνω όλους να σκεφτείτε να το κάνετε αυτό επειγόντως, να αναπτύξετε επειγόντως SSDF, να δημιουργήσετε και να αποκτήσετε τους πελάτες σας SBOM με την αίσθηση του επείγοντος, και ειλικρινά να οδηγήσετε την ασφάλεια με την αίσθηση του επείγοντος, επειδή οι φορείς απειλών δεν περιμένουν. και αναζητούν ενεργά νέες ευκαιρίες για εκμετάλλευση σε όλα τα δίκτυά μας».
Ως βιομηχανική κοινοπραξία, το NRC μπορεί να φτάσει μόνο στο σημείο να δώσει κίνητρα στα μέλη του να ακολουθήσουν τις συστάσεις του. Επειδή όμως η λευκή βίβλος ευθυγραμμίζεται με το Εκτελεστικό Διάταγμα και το Εθνική Στρατηγική Κυβερνοασφάλειας που κυκλοφόρησε από τον Λευκό Οίκο πέρυσι, ο Fussa πιστεύει ότι η τήρησή του θα προετοιμάσει τους πωλητές για το αναπόφευκτο. «Θα κάνω μια πρόβλεψη ότι πολλές από τις προτάσεις που βλέπετε σε αυτό το έγγραφο θα είναι απαιτήσεις βάσει του νόμου, τόσο στην Ευρώπη όσο και στις ΗΠΑ», πρόσθεσε.
Ο Jordan LaRose, διευθυντής παγκόσμιας πρακτικής για την ασφάλεια υποδομών στο NCC Group, λέει ότι το να υπάρχει ONCD και CISA πίσω από την προσπάθεια της κοινοπραξίας είναι μια αξιοσημείωτη επιδοκιμασία. Όμως, έχοντας διαβάσει την εφημερίδα, δεν πίστευε ότι προσέφερε πληροφορίες που δεν είναι ήδη διαθέσιμες.
«Αυτή η λευκή βίβλος δεν είναι εξαιρετικά λεπτομερής», λέει η LaRose. «Δεν περιγράφει ένα ολόκληρο πλαίσιο. Αναφέρεται στο NIST SSDF, αλλά υποθέτω ότι το ερώτημα που θα θέτουν οι περισσότεροι άνθρωποι είναι, χρειάζεται να διαβάσουν αυτή τη λευκή βίβλο όταν θα μπορούσαν απλώς να πάνε και να διαβάσουν το NIST SSDF».
Ωστόσο, η LaRose σημειώνει ότι υπογραμμίζει την ανάγκη συμβιβασμού των ενδιαφερομένων με πιθανές απαιτήσεις και υποχρεώσεις που αντιμετωπίζουν, εάν δεν αναπτύξουν διαδικασίες ασφαλούς σχεδίασης και δεν εφαρμόσουν τα προτεινόμενα μοντέλα στο τέλος του κύκλου ζωής τους.
Ο Carl Windsor, ανώτερος αντιπρόεδρος τεχνολογίας προϊόντων και λύσεων στη Fortinet, δήλωσε ότι κάθε προσπάθεια για την οικοδόμηση ασφάλειας στα προϊόντα από την πρώτη μέρα είναι κρίσιμη. Ο Windsor είπε ότι είναι ιδιαίτερα ενθαρρυμένος που η έκθεση περιλαμβάνει το SSDF και άλλες εργασίες του NIST και της CISA. «Εάν κατασκευάσουμε τα προϊόντα μας από την πρώτη μέρα, ευθυγραμμισμένα με τα πρότυπα NIST, θα έχουμε το 90 έως 95% του δρόμου με όλα τα άλλα πρότυπα που κυκλοφορούν εκεί σε όλο τον κόσμο», είπε.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security
- :είναι
- :δεν
- $UP
- 2023
- 90
- 95%
- a
- Σχετικα
- αναγνώρισε
- Πράξη
- Ενέργειες
- δραστήρια
- φορείς
- προστιθέμενη
- διευθυνσιοδότηση
- επαρκώς
- προσκολλώντας
- υιοθετώντας
- εκ των προτέρων
- κατά
- πριν
- ευθυγράμμιση
- ευθυγράμμιση
- Ευθυγραμμίζει
- Όλα
- ήδη
- Επίσης
- an
- ανάθεμα
- και
- και την υποδομή
- κάθε
- ΕΙΝΑΙ
- γύρω
- AS
- Βοηθός
- At
- AT & T
- επίθεση
- διαθέσιμος
- BE
- επειδή
- γίνονται
- ήταν
- πίσω
- Πιστεύω
- πιστεύει
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- Καλύτερα
- Πέρα
- biden
- Γραμμάτια
- ώθηση
- και οι δύο
- Ενημέρωση
- Broadcom
- BT
- χτίζω
- Κτίριο
- αλλά
- by
- κλήση
- CAN
- Κέντρο
- αλυσίδα
- αρχηγός
- έλαμψε
- Cisco
- στενά
- συλλογικά
- Ελάτε
- άνετος
- ερχομός
- δεσμεύεται
- Κοινός
- επικοινωνούν
- Εταιρείες
- συμμορφώνονται
- εξαρτήματα
- έννοια
- έχει ρυθμιστεί
- συνεπής
- κονσόρτσιουμ
- θα μπορούσε να
- δημιουργήθηκε
- κρίσιμης
- Υποδομές κρίσιμης σημασίας
- Πελάτες
- στον κυβερνοχώρο
- κυβερνασφάλεια
- Κυβερνασφάλεια
- ημέρα
- dc
- Προεπιλογή
- ανάπτυξη
- περιγράφεται
- λεπτομερής
- Λεπτομέρεια
- καθέκαστα
- Προσδιορίστε
- ανάπτυξη
- Ανάπτυξη
- συσκευή
- Διευθυντής
- do
- κάνει
- doesn
- πράξη
- Μην
- αυτοκίνητο
- οδήγηση
- κατά την διάρκεια
- οικονομίες
- οικοσύστημα
- αποτέλεσμα
- προσπάθεια
- προσπάθειες
- Αγκαλιές
- ενθαρρύνει
- ενθαρρύνονται
- Οπισθογράφηση..
- ελκυστικός
- Ολόκληρος
- περιβάλλοντα
- eric
- ειδικά
- εγκαθιδρύω
- Ευρώπη
- Even
- Συμβάν
- τελικά
- Κάθε
- εκτελεστικός
- εκτελεστικό διάταγμα
- αναμένεται
- Εκμεταλλεύομαι
- Πρόσωπο
- μακριά
- Χαρακτηριστικό
- λίγοι
- ακολουθήστε
- Εξής
- Για
- ξένος
- μορφή
- σχηματισμός
- Fortinet
- Πλαίσιο
- από
- να πάρει
- Δώστε
- Παγκόσμιο
- Go
- Κυβέρνηση
- Group
- καθοδήγηση
- υλικού
- Έχω
- που έχει
- he
- Ήρωας
- Σπίτι
- Πως
- Πώς να
- HTTPS
- i
- ιδέα
- προσδιορίσει
- if
- αμέσως
- εφαρμογή
- βελτίωση
- βελτιωθεί
- βελτίωση
- in
- κίνητρα
- περιλαμβάνουν
- περιλαμβάνει
- Συμπεριλαμβανομένου
- βιομηχανία
- αναπόφευκτος
- πληροφορίες
- Υποδομή
- Intel
- προορίζονται
- σε
- Εκδόθηκε
- θέματα
- έκδοση
- IT
- ΤΟΥ
- εντάχθηκαν
- jpg
- Ιούλιος
- μόλις
- Επίθετο
- Πέρυσι
- αργότερα
- ξεκίνησε
- Νόμος
- ηγέτες
- υποχρεώσεις
- κύκλος ζωής
- Μου αρέσει
- ll
- Μακριά
- Παρτίδα
- χαμηλότερα
- Lumen
- κάνω
- διαχείριση
- Κατασκευαστές
- χάρτη
- υλικά
- ματ
- Εικόνες / Βίντεο
- Μέλη
- μεθοδολογίες
- ενδέχεται να
- μοντέλα
- μήνες
- περισσότερο
- πλέον
- Ανάγκη
- δίκτυο
- Ασφάλεια Δικτύων
- δικτύωσης
- δίκτυα
- Νέα
- nist
- κανόνες
- Notes
- αξιοσημείωτος
- Όαση
- of
- προσφέρονται
- Offerings
- Αξιωματικός
- on
- μια φορά
- ONE
- αποκλειστικά
- ανοίξτε
- ανοικτού κώδικα
- φορείς
- Ευκαιρίες
- or
- τάξη
- παραγγελιών
- ΑΛΛΑ
- δικός μας
- έξω
- περίγραμμα
- σκιαγραφείται
- εκτός
- επί
- φόρμες
- Palo Alto
- Χαρτί
- συνεργάστηκε
- Patches
- People
- επιλέξτε
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- πολιτική
- δυναμικού
- πρακτική
- πρακτικές
- πρόβλεψη
- Προετοιμάστε
- τύπος
- Διεργασίες
- παράγει
- που παράγουν
- Προϊόν
- ανάπτυξη προϊόντων
- Προϊόντα
- Παρόχους υπηρεσιών
- Ερωτήσεις και απαντήσεις
- ερώτηση
- αρκετά
- μάλλον
- Διάβασε
- έτοιμος
- συστάσεις
- συνιστάται
- συνιστά
- μείωση
- αναφορά
- απελευθερώνουν
- κυκλοφόρησε
- αναφέρουν
- απαιτήσεις
- ανθεκτικότητα
- ελαστικός
- αποτέλεσμα
- Κίνδυνος
- Είπε
- ίδιο
- ρητό
- λέει
- προστατευμένο περιβάλλον
- Ασφαλής
- ασφάλεια
- δείτε
- αναζήτηση
- Επιδιώκει
- αρχαιότερος
- αίσθηση
- Αίσθηση του επείγοντος
- Σεπτέμβριος
- θα πρέπει να
- ΕΞΙ
- Έξι μήνες
- επιβραδύνουν
- So
- μέχρι τώρα
- λογισμικό
- ανάπτυξη λογισμικού
- ασφάλεια του λογισμικού
- αλυσίδα εφοδιασμού λογισμικού
- Λύσεις
- σταθερός
- ενδιαφερόμενα μέρη
- σταθεί
- πρότυπα
- Εκκίνηση
- Σούπερ
- προμήθεια
- αλυσίδας εφοδιασμού
- υποστήριξη
- έκπληκτος
- εκπληκτικός
- T
- Τεχνολογίες
- Τεχνολογία
- όροι
- από
- ότι
- Η
- ο νόμος
- ο κόσμος
- τους
- Τους
- τους
- Εκεί.
- αυτοί
- πράγματα
- νομίζω
- τρίτους
- αυτό
- εκείνοι
- απειλή
- απειλή
- ώρα
- προς την
- μαζι
- κορυφή
- Διαφάνεια
- Εμπιστευθείτε
- προσπαθώντας
- υπό
- υπογράμμισης
- ενημερώσεις
- επείγον
- προτρέποντας
- us
- μας κυβέρνηση
- χρήση
- πωλητές
- Verizon
- vmware
- τόμος
- vp
- Θέματα ευπάθειας
- Αναμονή
- ήταν
- Ουάσιγκτον
- δεν ήταν
- Τρόπος..
- we
- βάρος
- καλωσόρισμα
- ήταν
- πότε
- ενώ
- άσπρο
- Λευκός Οίκος
- Λευκή βίβλος
- ολόκληρο
- θα
- Windsor
- με
- Εργασία
- κόσμος
- παγκόσμιος
- θα
- έτος
- χρόνια
- εσείς
- Σας
- zephyrnet