Az NRC ajánlásokat tesz közzé a jobb hálózat- és szoftverbiztonság érdekében

A Hálózati rugalmasság koalíció ajánlásokat adott ki a hálózati biztonsági infrastruktúra javítására az elavult és nem megfelelően konfigurált szoftverek és hardverek által okozott sebezhetőségek csökkentésével. Az NRC tagjai, akikhez az Egyesült Államok kormányának kiberbiztonsági vezetői is csatlakoztak, egy washingtoni rendezvényen ismertették az ajánlásokat.

A Kiberbiztonsági Politikai és Jogi Központ által 2023 júliusában létrehozott NRC célja a hálózatüzemeltetők és az IT-szállítók összehangolása termékeik kiberellenállóságának javítása érdekében. Az NRC-k whitepaper ajánlásokat tartalmaz a biztonságos szoftverfejlesztéssel és életciklus-kezeléssel kapcsolatban, és magában foglalja a biztonságos tervezést és az alapértelmezett termékfejlesztést a szoftverellátási lánc biztonságának javítása érdekében.

Az NRC tagjai közé tartozik az AT&T, a Broadcom, a BT Group, a Cisco, a Fortinet, az Intel, a Juniper Networks, a Lumen Technologies, a Palo Alto Networks, a Verizon és a VMware.

A csoport arra kéri az IT-szállítókat, hogy vegyék figyelembe a kormány figyelmeztetéseit, miszerint a nemzetállami fenyegetés szereplői fokozták erőfeszítéseiket a kritikus infrastruktúrák megtámadására, kihasználva a nem megfelelően biztosított, javított vagy karbantartott hardver- és szoftversérülékenységeket.

Javaslataik összhangban vannak a Biden-adminisztráció ajánlásaival Executive Order 14208, amely modernizált kiberbiztonsági szabványokat követel, beleértve a szoftver-ellátási lánc biztonságának javítását. A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökséghez (CISA) is hozzátartoznak. Tervezett biztonság és alapértelmezés útmutatást és a közigazgatás tavaly kiadott kiberbiztonsági törvényét. 

A CISA kiberbiztonsági ügyvezető igazgató-helyettese, Eric Goldstein meglepő, de örvendetes fejleménynek nevezte a csoport megalakulását és a tanulmány hat hónappal későbbi kiadását. "Őszintén szólva, még néhány évvel ezelőtt is idegen ötlet lett volna, hogy a hálózati szolgáltatók, technológiai szolgáltatók [és] eszközgyártók összefogtak, és azt mondták, hogy közösen kell tennünk a termékökoszisztéma kiberbiztonságának előmozdítása érdekében" – mondta Goldstein. az NRC rendezvény alatt. – Anthema lett volna.

A NIST SSDF és OASIS Open EoX átvétele

Az NRC arra kéri a gyártókat, hogy szoftverfejlesztési módszereiket térképezzék fel a NIST-ekkel Biztonságos szoftverfejlesztési keretrendszer (SSDF), miközben részletezi, hogy meddig támogatják és adják ki a javításokat. Ezenkívül a szállítóknak külön kell kiadniuk a biztonsági javításokat, ahelyett, hogy szolgáltatásfrissítésekkel csomagolnák őket. Ugyanakkor az ügyfeleknek súlyt kell adniuk azoknak a szállítóknak, amelyek elkötelezték magukat a kritikus javítások külön kiadása mellett, és meg kell felelniük az SSDF-nek.

Ezenkívül az NRC javasolja a szállítók támogatását OpenEoX, az OASIS 2023 szeptemberében elindított erőfeszítése annak szabványosítására, hogy a szolgáltatók hogyan azonosítják a kockázatokat, és géppel olvasható formátumban közöljék az életciklus végének részleteit minden általuk kiadott termék esetében.

A kormányok világszerte megpróbálják meghatározni, hogyan tegyék általánosabb gazdaságukat stabilabbá, rugalmasabbá és biztonságosabbá – mondta Matt Fussa, a Cisco bizalmi igazgatója. "Úgy gondolom, hogy minden vállalat szorosan együttműködik a CISA-val és az Egyesült Államok kormányának egészével annak érdekében, hogy olyan bevált gyakorlatokat vezessenek be, mint a szoftverszámlák és -anyagok előállítása, a biztonságos szoftverfejlesztési gyakorlatok alkalmazása és alkalmazása" - mondta Fussa az NRC e heti sajtóeseményén.

A szoftverek átláthatóságának növelésére, a biztonságosabb építési környezetek kialakítására és a szoftverfejlesztési folyamatok megerősítésére irányuló kezdeményezések a kritikus infrastruktúrán túlmenően a biztonság javulását eredményezik – tette hozzá Fussa. „A kormányon kívül is lesz tovagyűrűző hatás, ahogy ezek a dolgok normákká válnak az iparágban” – mondta. 

Közvetlenül az eligazítást követően a média kérdés-feleleteiben a Cisco Fussa elismerte, hogy a szállítók lassan teljesítették az SBOM-ok kiadására vagy a kínálatukban szereplő nyílt forráskódú és harmadik féltől származó összetevők önigazolására vonatkozó végrehajtási utasításokat. „Az egyik dolog, amin meglepődtünk, az volt, hogy miután készen álltunk a gyártásra – nem egészen tücskökről volt szó, de kisebb volt, mint amire számítottunk” – mondta. „Úgy gondolom, hogy idővel, ahogy az emberek kényelmesek voltak a használatukban, látni fogjuk, hogy ez felerősödik, és végül általánossá válik.”

Azonnali intézkedés javasolt

A Fussa sürgeti az érdekelt feleket, hogy azonnal kezdjék el az új jelentésben felvázolt gyakorlatok átvételét. „Arra buzdítalak mindenkit, hogy gondolja át ezt sürgősen, az SSDF sürgős telepítését, az SBOM-ok sürgős felépítését és az ügyfelek megszerzését, és őszintén szólva, hogy sürgősen növelje a biztonságot, mert a fenyegetés szereplői nem várnak. és aktívan keresik az új lehetőségeket, amelyeket minden hálózatunkkal szemben kihasználhatnak.”

Iparági konzorciumként az NRC csak addig mehet el, hogy ösztönözze tagjait az ajánlások követésére. Hanem mert a fehér könyv igazodik a végrehajtási rendelethez és a Nemzeti Kiberbiztonsági Stratégia A Fehér Ház által tavaly kiadott, Fussa úgy véli, hogy ennek betartása felkészíti az eladókat az elkerülhetetlenre. „Azt jósolom, hogy az ebben a dokumentumban szereplő javaslatok többsége törvényi követelmény lesz, mind Európában, mind az Egyesült Államokban” – tette hozzá.

Jordan LaRose, az NCC Group infrastruktúra-biztonsági globális gyakorlati igazgatója szerint figyelemre méltó elismerés, hogy a konzorcium erőfeszítései mögött az ONCD és a CISA áll. De miután elolvasta a lapot, nem hitte el, hogy olyan információkat kínál, amelyek még nem állnak rendelkezésre. 

„Ez a tanulmány nem túl részletes” – mondja LaRose. „Nem vázol fel egy teljes keretet. Hivatkozik a NIST SSDF-re, de azt hiszem, a legtöbb ember felteszi magának a kérdést, hogy el kell-e olvasniuk ezt a tanulmányt, amikor el tudnák olvasni a NIST SSDF-et.”

Mindazonáltal LaRose megjegyzi, hogy hangsúlyozza annak szükségességét, hogy az érdekelt feleknek meg kell birkózniuk azokkal a lehetséges követelményekkel és kötelezettségekkel, amelyekkel szembe kell nézniük, ha nem dolgoznak ki biztonságosan tervezett folyamatokat, és nem hajtják végre az ajánlott élettartam-végi modelleket.

Carl Windsor, a Fortinet terméktechnológiáért és megoldásokért felelős vezető alelnöke szerint kritikus fontosságú minden olyan erőfeszítés, amely az első naptól kezdve biztonságot épít a termékekbe. Windsor azt mondta, hogy különösen bátorítja, hogy a jelentés felöleli az SSDF-et, valamint a NIST és a CISA egyéb munkáját. "Ha termékeinket az első naptól kezdve a NIST szabványokhoz igazodva építjük, 90-95%-ban megfelelünk a világ minden táján megjelenő többi szabványnak" - mondta.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security