NRC توصیه هایی را برای شبکه بهتر، امنیت نرم افزار ارائه می کند

NRC توصیه هایی را برای شبکه بهتر، امنیت نرم افزار ارائه می کند

تمبر زمان: 26 ژانویه 2024، ساعت 7:30 بعد از ظهر
گره منبع: 3085180

La انعطاف پذیری شبکه ائتلاف توصیه هایی برای بهبود زیرساخت امنیت شبکه با کاهش آسیب پذیری های ایجاد شده توسط نرم افزارها و سخت افزارهای قدیمی و پیکربندی نادرست صادر کرد. اعضای NRC، به همراه رهبران ارشد امنیت سایبری دولت ایالات متحده، این توصیه ها را در رویدادی در واشنگتن دی سی بیان کردند.

NRC که در ژوئیه 2023 توسط مرکز سیاست و قانون امنیت سایبری تأسیس شد، به دنبال همسویی اپراتورهای شبکه و فروشندگان فناوری اطلاعات برای بهبود انعطاف پذیری سایبری محصولات خود است. NRC whitepaper شامل توصیه‌هایی برای پرداختن به توسعه نرم‌افزار ایمن و مدیریت چرخه حیات، و توسعه محصول پیش‌فرض و ایمن برای بهبود زنجیره تامین نرم‌افزار را در بر می‌گیرد.

اعضای NRC عبارتند از AT&T، Broadcom، BT Group، Cisco، Fortinet، Intel، Juniper Networks، Lumen Technologies، Palo Alto Networks، Verizon و VMware.

این گروه از همه فروشندگان فناوری اطلاعات می‌خواهد که به هشدارهای دولت توجه کنند مبنی بر اینکه بازیگران تهدیدکننده دولت-ملت تلاش‌های خود را برای حمله به زیرساخت‌های حیاتی با بهره‌برداری از آسیب‌پذیری‌های سخت‌افزاری و نرم‌افزاری که به‌اندازه کافی ایمن، وصله یا نگهداری نشده‌اند، افزایش داده‌اند.

توصیه های آنها با دولت بایدن مطابقت دارد فرمان اجرایی 14208، خواستار استانداردهای مدرن امنیت سایبری، از جمله بهبود امنیت زنجیره تامین نرم افزار است. آنها همچنین به آژانس امنیت سایبری و امنیت زیرساخت (CISA) نقشه برداری می کنند. امنیت بر اساس طراحی و پیش فرض دستورالعمل و به قانون امنیت سایبری دولت صادر شده در سال گذشته. 

اریک گلدشتاین، دستیار مدیر اجرایی امنیت سایبری CISA، تشکیل این گروه و انتشار وایت پیپر را شش ماه بعد به عنوان یک پیشرفت شگفت‌انگیز اما خوش‌آمد توصیف کرد. گلدشتاین گفت: «صادقانه بگویم، حتی چند سال پیش ایده ارائه‌دهندگان شبکه، ارائه‌دهندگان فناوری، و تولیدکنندگان دستگاه‌ها گرد هم می‌آیند و می‌گویند که ما باید به طور جمعی برای پیشبرد امنیت سایبری اکوسیستم محصول تلاش بیشتری انجام دهیم، یک مفهوم خارجی بود. در جریان رویداد NRC "این ممکن بود کینه توز باشد."

با استقبال از SSDF NIST و OASIS Open EoX

NRC از فروشندگان می خواهد تا روش های توسعه نرم افزار خود را با NIST ترسیم کنند چارچوب توسعه نرم افزار امن (SSDF)، در حالی که جزئیات مدت زمان پشتیبانی و انتشار وصله ها را مشخص می کند. همچنین، فروشندگان باید وصله‌های امنیتی را جداگانه منتشر کنند نه اینکه آنها را با به‌روزرسانی‌های ویژگی همراه کنند. در عین حال، مشتریان باید به فروشندگانی که متعهد به انتشار وصله های حیاتی جداگانه و مطابقت با SSDF هستند، اهمیت دهند.

علاوه بر این، NRC توصیه می کند که فروشندگان پشتیبانی کنند OpenEoX، تلاشی که در سپتامبر 2023 توسط OASIS برای استاندارد کردن نحوه شناسایی خطرات توسط ارائه دهندگان و برقراری ارتباط جزئیات پایان عمر در قالبی قابل خواندن توسط ماشین برای هر محصولی که عرضه می کنند، راه اندازی شد.

مت فوسا، مدیر ارشد اعتماد سیسکو، گفت که دولت‌ها در سراسر جهان در تلاش هستند تا تعیین کنند چگونه اقتصاد کلی خود را باثبات‌تر، انعطاف‌پذیرتر و ایمن‌تر کنند. فوسا در جریان رویداد مطبوعاتی این هفته NRC گفت: «فکر می‌کنم همه شرکت‌ها با CISA و دولت ایالات متحده به‌عنوان یک کل همکاری نزدیک دارند تا بهترین شیوه‌ها مانند تولید صورت‌حساب‌ها و مواد نرم‌افزاری، مشارکت و استقرار شیوه‌های توسعه نرم‌افزار امن را انجام دهند».

فوسا افزود، ابتکارات برای افزایش شفافیت در نرم افزار، ایجاد محیط های ساخت امن تر، و تقویت فرآیندهای توسعه نرم افزار منجر به بهبود امنیت فراتر از زیرساخت های حیاتی می شود. او گفت: «با تبدیل شدن آن چیزها به هنجارها در صنعت، یک اثر سرریز در خارج از دولت وجود خواهد داشت. 

در طی یک پرسش و پاسخ رسانه ای که بلافاصله پس از جلسه توجیهی برگزار شد، Fussa از Cisco اذعان کرد که فروشندگان در پیروی از دستورات اجرایی برای صدور SBOM یا تأیید خود مؤلفه های منبع باز و شخص ثالث در پیشنهادات خود کند بوده اند. او گفت: "یکی از چیزهایی که ما از آن متعجب شدیم این بود که وقتی برای تولید آنها آماده شدیم - جیرجیرک کاملاً جیرجیرک نبود، اما حجم آن کمتر از آن چیزی بود که ما انتظار داشتیم." من فکر می کنم با گذشت زمان، از آنجایی که مردم با نحوه استفاده از آنها راحت بودند، ما شاهد این خواهیم بود که افزایش یابد و در نهایت رایج شود.

اقدام فوری توصیه می شود

فوسا از ذینفعان می خواهد که فوراً رویه های ذکر شده در گزارش جدید را اتخاذ کنند. من همه شما را تشویق می‌کنم که در مورد انجام این کار با فوریت فکر کنید، SSDF را با فوریت بکار ببرید، SBOM‌های مشتریان خود را با احساس فوری بسازید و به دست آورید، و صادقانه بگویم که امنیت را با احساس فوریت هدایت کنید، زیرا عوامل تهدید منتظر نیستند. و آنها فعالانه به دنبال فرصت‌های جدید برای سوء استفاده علیه تمام شبکه‌های ما هستند.»

به عنوان یک کنسرسیوم صنعتی، NRC تنها می تواند تا آنجا پیش برود که اعضای خود را برای پیروی از توصیه های خود تشویق کند. اما از آنجا که کاغذ سفید با دستور اجرایی و استراتژی ملی امنیت سایبری فوسا معتقد است که سال گذشته توسط کاخ سفید منتشر شد، پایبندی به آن فروشندگان را برای امر اجتناب ناپذیر آماده می کند. او افزود: «من پیش‌بینی می‌کنم که بسیاری از پیشنهاداتی که در این مقاله می‌بینید، الزامات قانون خواهند بود، هم در اروپا و هم در ایالات متحده.

جردن لارز، مدیر عملی جهانی امنیت زیرساخت در NCC Group، می‌گوید که داشتن ONCD و CISA در پشت تلاش این کنسرسیوم تأیید قابل توجهی است. اما پس از خواندن مقاله، او باور نداشت که اطلاعاتی را ارائه می دهد که قبلاً در دسترس نیست. 

LaRose می‌گوید: «این وایت پیپر بسیار دقیق نیست. "این یک چارچوب کامل را ترسیم نمی کند. این به NIST SSDF اشاره می کند، اما من حدس می زنم سوالی که بیشتر مردم از خود می پرسند این است که آیا آنها نیاز به خواندن این وایت پیپر دارند در حالی که می توانند بروند و NIST SSDF را بخوانند.

با این وجود، LaRose اشاره می‌کند که بر نیاز ذینفعان برای کنار آمدن با الزامات و تعهدات بالقوه‌ای که در صورت عدم توسعه فرآیندهای طراحی ایمن و اجرای مدل‌های پایان عمر توصیه‌شده، با آن‌ها روبرو هستند، تأکید می‌کند.

کارل ویندزور، معاون ارشد فناوری و راه‌حل‌های محصولات در Fortinet، گفت که هرگونه تلاشی برای ایجاد امنیت در محصولات از روز اول حیاتی است. ویندزور گفت که او به ویژه تشویق می شود که این گزارش SSDF و سایر کارهای NIST و CISA را در بر می گیرد. او گفت: «اگر ما محصولات خود را از روز اول، مطابق با استانداردهای NIST بسازیم، 90 تا 95 درصد با سایر استانداردهایی که در سراسر جهان عرضه می شوند، پیش می رویم.

تمبر زمان:

بیشتر از تاریک خواندن