NRC Mengeluarkan Rekomendasi untuk Jaringan yang Lebih Baik, Keamanan Perangkat Lunak

Grafik Ketahanan Jaringan koalisi mengeluarkan rekomendasi yang dimaksudkan untuk meningkatkan infrastruktur keamanan jaringan dengan mengurangi kerentanan yang disebabkan oleh perangkat lunak dan perangkat keras yang ketinggalan jaman dan tidak dikonfigurasi dengan benar. Para anggota NRC, bersama dengan para pemimpin keamanan siber pemerintah AS, menguraikan rekomendasi tersebut pada sebuah acara di Washington, DC.

Didirikan pada Juli 2023 oleh Pusat Kebijakan dan Hukum Keamanan Siber, NRC berupaya menyelaraskan operator jaringan dan vendor TI untuk meningkatkan ketahanan siber produk mereka. NRC whitepaper mencakup rekomendasi untuk mengatasi pengembangan perangkat lunak yang aman dan manajemen siklus hidup, serta mencakup pengembangan produk yang dirancang secara aman dan standar untuk meningkatkan keamanan rantai pasokan perangkat lunak.

Anggota NRC termasuk AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon, dan VMware.

Kelompok ini menyerukan semua vendor TI untuk memperhatikan peringatan pemerintah bahwa pelaku ancaman negara telah meningkatkan upaya mereka untuk menyerang infrastruktur penting dengan mengeksploitasi kerentanan perangkat keras dan perangkat lunak yang tidak diamankan, ditambal, atau dipelihara secara memadai.

Rekomendasi mereka konsisten dengan rekomendasi Pemerintahan Biden Executive Order 14208, menyerukan standar keamanan siber yang dimodernisasi, termasuk peningkatan keamanan rantai pasokan perangkat lunak. Mereka juga memetakan ke Badan Keamanan Siber dan Infrastruktur (CISA) Keamanan berdasarkan Desain dan Default pedoman dan Undang-Undang Keamanan Siber pemerintah yang dikeluarkan tahun lalu. 

Asisten direktur eksekutif CISA untuk keamanan siber Eric Goldstein menggambarkan pembentukan kelompok tersebut dan peluncuran whitepaper enam bulan kemudian sebagai perkembangan yang mengejutkan namun disambut baik. “Sejujurnya, gagasan beberapa tahun yang lalu tentang penyedia jaringan, penyedia teknologi, [dan] produsen perangkat bersatu dan mengatakan kita perlu melakukan lebih banyak tindakan kolektif untuk memajukan keamanan siber pada ekosistem produk adalah konsep yang asing,” kata Goldstein. selama acara NRC. “Itu akan menjadi kutukan.”

Merangkul SSDF NIST dan OASIS Open EoX

NRC menyerukan vendor untuk memetakan metodologi pengembangan perangkat lunak mereka dengan NIST Kerangka Pengembangan Perangkat Lunak Aman (SSDF), sambil merinci berapa lama mereka akan mendukung dan merilis patch. Selain itu, vendor harus merilis patch keamanan secara terpisah daripada menggabungkannya dengan pembaruan fitur. Pada saat yang sama, pelanggan harus memberikan perhatian kepada vendor yang telah berkomitmen untuk menerbitkan patch penting secara terpisah dan mematuhi SSDF.

Lebih lanjut, NRC merekomendasikan agar vendor memberikan dukungan BukaEoX, sebuah upaya yang diluncurkan pada bulan September 2023 oleh OASIS untuk menstandardisasi cara penyedia mengidentifikasi risiko dan mengomunikasikan detail akhir masa pakainya dalam format yang dapat dibaca mesin untuk setiap produk yang mereka rilis.

Pemerintah di seluruh dunia sedang mencoba mencari cara untuk menjadikan perekonomian mereka secara keseluruhan lebih stabil, tangguh, dan aman, kata chief trust officer Cisco, Matt Fussa. “Semua perusahaan, menurut saya, bermitra erat dengan CISA dan pemerintah AS secara keseluruhan untuk mendorong praktik terbaik seperti pembuatan tagihan dan materi perangkat lunak, terlibat dalam dan menerapkan praktik pengembangan perangkat lunak yang aman,” kata Fussa dalam acara pers NRC minggu ini.

Inisiatif untuk meningkatkan transparansi dalam perangkat lunak, membangun lingkungan pembangunan yang lebih aman, dan memperkuat proses pengembangan perangkat lunak akan menghasilkan peningkatan keamanan lebih dari sekadar infrastruktur penting, tambah Fussa. “Akan ada efek limpahan (spillover effect) ke luar pemerintah karena hal-hal tersebut sudah menjadi norma di industri,” tuturnya. 

Selama sesi tanya jawab media yang diadakan segera setelah pengarahan, Fussa dari Cisco mengakui bahwa vendor lambat dalam mematuhi perintah eksekutif untuk menerbitkan SBOM atau pengesahan mandiri atas komponen sumber terbuka dan pihak ketiga dalam penawaran mereka. “Salah satu hal yang membuat kami terkejut adalah ketika kami siap memproduksinya – jumlah jangkriknya tidak terlalu banyak, namun volumenya lebih rendah dari yang kami perkirakan,” katanya. “Saya pikir seiring berjalannya waktu, ketika orang-orang merasa nyaman dengan cara menggunakannya, kita akan melihat peningkatan tersebut dan pada akhirnya menjadi hal yang umum.”

Tindakan Segera Direkomendasikan

Fussa mendesak para pemangku kepentingan untuk segera mulai mengadopsi praktik-praktik yang diuraikan dalam laporan baru ini. “Saya mendorong Anda semua untuk berpikir untuk melakukan hal ini dengan urgensi, menerapkan SSDF dengan urgensi, membangun dan membuat SBOM pelanggan Anda memiliki urgensi, dan terus terang mendorong keamanan dengan urgensi, karena pelaku ancaman tidak menunggu, dan mereka secara aktif mencari peluang baru untuk mengeksploitasi semua jaringan kami.”

Sebagai sebuah konsorsium industri, NRC hanya dapat memberikan insentif kepada anggotanya untuk mengikuti rekomendasinya. Namun karena whitepaper tersebut selaras dengan Perintah Eksekutif dan Strategi Keamanan Siber Nasional yang dirilis oleh Gedung Putih tahun lalu, Fussa yakin dengan mematuhinya akan mempersiapkan vendor untuk menghadapi hal yang tak terelakkan. “Saya akan membuat prediksi bahwa banyak saran yang Anda lihat dalam makalah ini akan menjadi persyaratan berdasarkan hukum, baik di Eropa maupun di Amerika,” tambahnya.

Jordan LaRose, direktur praktik global untuk keamanan infrastruktur di NCC Group, mengatakan bahwa ONCD dan CISA mendukung upaya konsorsium ini merupakan dukungan yang patut dicatat. Namun setelah membaca koran tersebut, dia tidak percaya bahwa koran tersebut memberikan informasi yang belum tersedia. 

“Buku putih ini tidak terlalu detail,” kata LaRose. “Itu tidak menguraikan keseluruhan kerangka kerja. Ini memang merujuk pada NIST SSDF tetapi saya rasa pertanyaan yang akan diajukan kebanyakan orang adalah, apakah mereka perlu membaca whitepaper ini ketika mereka bisa langsung membaca NIST SSDF.”

Namun demikian, LaRose mencatat bahwa hal ini menggarisbawahi perlunya para pemangku kepentingan untuk memahami potensi persyaratan dan kewajiban yang mereka hadapi jika mereka tidak mengembangkan proses yang dirancang secara aman dan menerapkan model akhir masa pakai yang direkomendasikan.

Carl Windsor, VP senior teknologi dan solusi produk di Fortinet, mengatakan segala upaya untuk membangun keamanan pada produk sejak hari pertama sangatlah penting. Windsor mengatakan dia sangat terdorong karena laporan tersebut mencakup SSDF dan pekerjaan lain yang dilakukan oleh NIST dan CISA. “Jika kami membangun produk kami sejak hari pertama, dengan menyelaraskan dengan standar NIST, kami sudah mencapai 90 hingga 95% dari seluruh standar lain yang ada di seluruh dunia,” katanya.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security