NRC pubblica raccomandazioni per una migliore rete e sicurezza del software

Il Resilienza della rete coalizione ha emesso raccomandazioni intese a migliorare l'infrastruttura di sicurezza della rete riducendo le vulnerabilità create da software e hardware obsoleti e configurati in modo errato. I membri dell’NRC, insieme ai massimi leader della sicurezza informatica del governo statunitense, hanno delineato le raccomandazioni in un evento a Washington, DC.

Istituito nel luglio 2023 dal Center for Cybersecurity Policy and Law, l’NRC cerca di allineare gli operatori di rete e i fornitori IT per migliorare la resilienza informatica dei loro prodotti. Quelli dell'NRC whitepaper include raccomandazioni per affrontare lo sviluppo sicuro del software e la gestione del ciclo di vita e abbraccia lo sviluppo di prodotti sicuri fin dalla progettazione e predefiniti per migliorare la sicurezza della catena di fornitura del software.

I membri di NRC includono AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon e VMware.

Il gruppo invita tutti i fornitori IT a prestare ascolto agli avvertimenti del governo secondo cui gli autori delle minacce a livello nazionale hanno intensificato i loro sforzi per attaccare le infrastrutture critiche sfruttando le vulnerabilità hardware e software non adeguatamente protette, riparate o mantenute.

Le loro raccomandazioni sono coerenti con quelle dell'amministrazione Biden Ordine Esecutivo 14208, che chiede standard di cibersicurezza modernizzati, compresa una migliore sicurezza della catena di fornitura del software. Si associano anche ai dati della Cybersecurity and Infrastructure Security Agency (CISA) Sicurezza fin dalla progettazione e impostazione predefinita guida e alla legge sulla sicurezza informatica dell'amministrazione emanata lo scorso anno. 

Eric Goldstein, vicedirettore esecutivo della CISA per la sicurezza informatica, ha descritto la formazione del gruppo e la pubblicazione del whitepaper sei mesi dopo come uno sviluppo sorprendente ma gradito. "Francamente, anche solo qualche anno fa l'idea che fornitori di rete, fornitori di tecnologia e produttori di dispositivi si unissero e dicessero che dobbiamo fare di più collettivamente per far avanzare la sicurezza informatica dell'ecosistema dei prodotti sarebbe stata un concetto estraneo", ha affermato Goldstein durante l'evento NRC. "Sarebbe stato un anatema."

Abbracciare SSDF e OASIS Open EoX del NIST

L'NRC invita i fornitori a mappare le loro metodologie di sviluppo software con quelle del NIST Quadro di sviluppo software sicuro (SSDF), specificando per quanto tempo supporteranno e rilasceranno le patch. Inoltre, i fornitori dovrebbero rilasciare le patch di sicurezza separatamente anziché raggrupparle con aggiornamenti delle funzionalità. Allo stesso tempo, i clienti dovrebbero dare peso ai fornitori che si sono impegnati a rilasciare patch critiche separatamente e a conformarsi alla SSDF.

Inoltre, l'NRC raccomanda il supporto dei fornitori OpenEoX, uno sforzo lanciato nel settembre 2023 da OASIS per standardizzare il modo in cui i fornitori identificano i rischi e comunicano i dettagli di fine vita in un formato leggibile dalla macchina per ogni prodotto che rilasciano.

I governi di tutto il mondo stanno cercando di determinare come rendere le loro economie complessive più stabili, resilienti e sicure, ha affermato Matt Fussa, Chief Trust Officer di Cisco. "Tutte le aziende, credo, collaborano strettamente con CISA e con il governo degli Stati Uniti nel suo insieme per promuovere le migliori pratiche come la produzione di fatture e materiali software, l'impegno e l'implementazione di pratiche di sviluppo software sicure", ha affermato Fussa durante l'evento stampa NRC di questa settimana.

Le iniziative per aumentare la trasparenza del software, creare ambienti di costruzione più sicuri e sostenere i processi di sviluppo del software si tradurranno in una maggiore sicurezza che va oltre la semplice infrastruttura critica, ha aggiunto Fussa. “Ci sarà un effetto di ricaduta al di fuori del governo poiché queste cose diventeranno norme nel settore”, ha affermato. 

Durante una sessione di domande e risposte con i media tenutasi immediatamente dopo il briefing, Fussa di Cisco ha riconosciuto che i fornitori sono stati lenti nel rispettare gli ordini esecutivi per l'emissione di SBOM o l'autocertificazione dei componenti open source e di terze parti nelle loro offerte. "Una delle cose che ci ha sorpreso è stata che una volta che eravamo pronti a produrli, non si trattava proprio di grilli, ma si trattava di un volume inferiore a quanto ci saremmo aspettati", ha detto. "Penso che col tempo, man mano che le persone si sentiranno a proprio agio su come usarli, vedremo che aumenterà e alla fine diventerà comune."

Si consiglia un'azione immediata

Fussa esorta le parti interessate ad iniziare immediatamente ad adottare le pratiche delineate nel nuovo rapporto. "Incoraggio tutti voi a pensare a farlo con urgenza, a implementare SSDF con urgenza, a creare e fornire ai vostri clienti SBOM con un senso di urgenza e, francamente, a promuovere la sicurezza con un senso di urgenza, perché gli autori delle minacce non stanno aspettando, e stanno cercando attivamente nuove opportunità da sfruttare contro tutte le nostre reti."

In quanto consorzio industriale, l’NRC può solo incentivare i suoi membri a seguire le sue raccomandazioni. Ma poiché il Libro Bianco è in linea con l’Ordine Esecutivo e il Strategia nazionale per la sicurezza informatica pubblicato dalla Casa Bianca lo scorso anno, Fussa ritiene che aderirvi preparerà i venditori all’inevitabile. "Farò una previsione che molti dei suggerimenti che vedete in questo documento saranno requisiti previsti dalla legge, sia in Europa che negli Stati Uniti", ha aggiunto.

Jordan LaRose, direttore delle pratiche globali per la sicurezza delle infrastrutture presso NCC Group, afferma che avere ONCD e CISA dietro l'impegno del consorzio è un sostegno degno di nota. Ma dopo aver letto il documento, non credeva che offrisse informazioni che non fossero già disponibili. 

"Questo white paper non è molto dettagliato", afferma LaRose. “Non delinea un intero quadro. Fa riferimento al NIST SSDF, ma immagino che la domanda che la maggior parte delle persone si porrà sia: hanno bisogno di leggere questo whitepaper quando potrebbero semplicemente andare a leggere il NIST SSDF.

Tuttavia, LaRose sottolinea che ciò sottolinea la necessità che le parti interessate facciano i conti con i potenziali requisiti e le responsabilità che devono affrontare se non sviluppano processi sicuri fin dalla progettazione e non implementano i modelli di fine vita raccomandati.

Carl Windsor, vicepresidente senior della tecnologia e delle soluzioni di prodotto di Fortinet, ha affermato che qualsiasi sforzo volto a integrare la sicurezza nei prodotti fin dal primo giorno è fondamentale. Windsor ha affermato di essere particolarmente incoraggiato dal fatto che il rapporto includa SSDF e altri lavori del NIST e del CISA. "Se costruiamo i nostri prodotti fin dal primo giorno, allineandoli agli standard NIST, saremo al 90-95% del percorso rispetto a tutti gli altri standard che stanno emergendo in tutto il mondo", ha affermato.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security