השמיים חוסן רשת קואליציה פרסמו המלצות שנועדו לשפר את תשתית אבטחת הרשת על ידי הפחתת נקודות תורפה שנוצרו על ידי תוכנה וחומרה מיושנים ולא מוגדרים כהלכה. חברי NRC, אליהם הצטרפו ראשי אבטחת הסייבר של ממשלת ארה"ב, תיארו את ההמלצות באירוע בוושינגטון הבירה.
ה-NRC, שהוקם ביולי 2023 על ידי המרכז למדיניות וחוק אבטחת סייבר, שואף ליישר קו בין מפעילי רשתות וספקי IT כדי לשפר את חוסן הסייבר של המוצרים שלהם. של NRC סקירה טכנית כולל המלצות לטיפול בפיתוח תוכנה מאובטח וניהול מחזור חיים, ומחבק פיתוח מוצר מאובטח לפי עיצוב ופיתוח ברירת מחדל לשיפור אבטחת שרשרת האספקה של תוכנה.
חברי NRC כוללים את AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon ו-VMware.
הקבוצה קוראת לכל ספקי ה-IT להקשיב לאזהרות הממשלה לפיהן גורמי איומים במדינות לאום הגבירו את מאמציהם לתקוף תשתיות קריטיות על ידי ניצול פרצות חומרה ותוכנה שאינן מאובטחות, מעובדות או מתוחזקות כראוי.
ההמלצות שלהם עולות בקנה אחד עם מינהל ביידן הנהלת הצו 14208, הקורא לתקני אבטחת סייבר מודרניים, כולל אבטחת שרשרת אספקת תוכנה משופרת. הם גם ממפים לסוכנות אבטחת סייבר ותשתיות (CISA) אבטחה לפי עיצוב וברירת מחדל הנחיות ולחוק אבטחת הסייבר של הממשל שהוצא בשנה שעברה.
עוזר מנהל אבטחת הסייבר ב-CISA, אריק גולדשטיין, תיאר את הקמת הקבוצה ואת פרסום הספר הלבן שישה חודשים לאחר מכן כהתפתחות מפתיעה אך מבורכת. "למען האמת, הרעיון שאפילו לפני כמה שנים של ספקי רשתות, ספקי טכנולוגיה, [ויצרני מכשירים] מתאחדים ואומרים שעלינו לעשות יותר ביחד כדי לקדם את אבטחת הסייבר של המערכת האקולוגית של המוצר היה מושג זר", אמר גולדשטיין. במהלך אירוע NRC. "זה היה מעורר חרדה."
מחבקת את SSDF ו-OASIS Open EoX של NIST
ה-NRC קורא לספקים למפות את מתודולוגיות פיתוח התוכנה שלהם עם המתודולוגיות של NIST מסגרת פיתוח תוכנה מאובטחת (SSDF), תוך פירוט כמה זמן הם יתמכו וישחררו תיקונים. כמו כן, על הספקים לשחרר תיקוני אבטחה בנפרד במקום לאגד אותם עם עדכוני תכונות. במקביל, לקוחות צריכים לתת משקל לספקים שהתחייבו להנפיק טלאים קריטיים בנפרד ולהתאים ל-SSDF.
יתר על כן, ה-NRC ממליץ לספקים לתמוך OpenEoX, מאמץ שהושק בספטמבר 2023 על ידי OASIS לסטנדרטיזציה של האופן שבו ספקים מזהים סיכונים ומעבירים פרטים על סוף החיים בפורמט קריא במכונה עבור כל מוצר שהם משחררים.
ממשלות ברחבי העולם מנסות לקבוע כיצד להפוך את הכלכלות הכוללות שלהן ליציבות, גמישות ובטוחות יותר, אמר מנהל הנאמנות הראשי של סיסקו, מאט פוסה. "כל החברות, אני חושב, בשיתוף פעולה הדוק עם CISA וממשלת ארה"ב כולה כדי להניע שיטות עבודה מומלצות כמו הפקת חשבונות תוכנה וחומרים, עיסוק ופריסה של שיטות פיתוח תוכנה מאובטחות", אמר פוסה במהלך אירוע העיתונאים של NRC השבוע.
יוזמות להגברת השקיפות בתוכנה, הקמת סביבות בנייה מאובטחות יותר וחיזוק תהליכי פיתוח תוכנה יביאו לשיפור האבטחה מעבר לתשתית קריטית בלבד, הוסיפה Fussa. "תהיה אפקט גלגול מחוץ לממשלה כשהדברים האלה יהפכו לנורמות בתעשייה", אמר.
במהלך שאלות ותשובות תקשורתיות שנערכו מיד לאחר התדריך, הודה Fussa של סיסקו כי הספקים איחרו לציית להוראות הביצוע להנפקת SBOMs או אישור עצמי של רכיבי הקוד הפתוח והצד השלישי בהצעות שלהם. "אחד הדברים שהופתענו מהם היה שברגע שהיינו מוכנים לייצר אותם - זה לא היה ממש צרצרים, אבל זה היה נפח נמוך ממה שציפינו", אמר. "אני חושב שעם הזמן, מכיוון שאנשים היו נוחים עם איך להשתמש בהם, נראה שזה יתגבר ובסופו של דבר יהיה נפוץ."
פעולה מיידית מומלצת
Fussa קורא לבעלי העניין להתחיל לאמץ שיטות המפורטות בדוח החדש באופן מיידי. "אני מעודד את כולכם לחשוב על לעשות זאת בדחיפות, לפרוס SSDF בדחיפות, לבנות ולהשיג SBOMs ללקוחות שלכם בתחושת דחיפות, ולמען האמת להניע את האבטחה בתחושת דחיפות, כי גורמי האיום לא מחכים, והם מחפשים באופן פעיל הזדמנויות חדשות לניצול מול כל הרשתות שלנו."
כקונסורציום תעשייתי, ה-NRC יכול רק להרחיק לכת ולתמרץ את חבריו לפעול לפי המלצותיו. אבל בגלל שהספר הלבן מתיישב עם הצו המבצעי וה- אסטרטגיית אבטחת סייבר לאומית שפורסמה על ידי הבית הלבן בשנה שעברה, פוסה מאמינה שהקפדה על כך תכין את הספקים לבלתי נמנע. "אני אעשה תחזית שהרבה מההצעות שאתה רואה במאמר זה יהיו דרישות על פי החוק, הן באירופה והן בארה"ב", הוסיף.
ג'ורדן לרוז, מנהל תרגול עולמי לאבטחת תשתיות בקבוצת NCC, אומר ש-ONCD ו-CISA עומדים מאחורי המאמץ של הקונסורציום היא תמיכה ראויה לציון. אבל לאחר שקרא את העיתון, הוא לא האמין שהוא מציע מידע שאינו זמין כבר.
"הספר הלבן הזה לא מפורט במיוחד", אומר לרוז. "זה לא מתווה מסגרת שלמה. זה כן מתייחס ל- NIST SSDF, אבל אני מניח שהשאלה שרוב האנשים ישאלו את עצמם היא, האם הם צריכים לקרוא את הספר הלבן הזה כשהם יכולים פשוט ללכת ולקרוא את ה- NIST SSDF."
עם זאת, LaRose מציינת כי היא מדגישה את הצורך של מחזיקי עניין להשלים עם דרישות והתחייבויות פוטנציאליות שעומדות בפניהם אם הם לא מפתחים תהליכים מאובטחים לפי תכנון וליישם את המודלים המומלצים של סוף החיים.
קרל ווינדזור, סמנכ"ל בכיר לטכנולוגיית מוצר ופתרונות בפורטינט, אמר שכל מאמץ לבנות אבטחה במוצרים מהיום הראשון הוא קריטי. וינדזור אמר שהוא מעודד במיוחד מכך שהדו"ח מאמץ את SSDF ועבודות אחרות של NIST ו-CISA. "אם נבנה את המוצרים שלנו מהיום הראשון, תוך התאמה לתקני NIST, אנחנו נמצאים ב-90% עד 95% מהדרך עם כל התקנים האחרים שמגיעים שם ברחבי העולם", אמר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security
- :הוא
- :לֹא
- $ למעלה
- 2023
- 90
- 95%
- a
- אודות
- הודה
- לפעול
- פעולה
- באופן פעיל
- שחקנים
- הוסיף
- פְּנִיָה
- כראוי
- דבקות
- אימוץ
- לקדם
- נגד
- לִפנֵי
- ליישר
- יישור
- מיישר
- תעשיות
- כְּבָר
- גם
- an
- ממתק
- ו
- תשתיות
- כל
- ARE
- סביב
- AS
- עוזר
- At
- AT & T
- לתקוף
- זמין
- BE
- כי
- להיות
- היה
- מאחור
- תאמינו
- מאמין
- הטוב ביותר
- שיטות עבודה מומלצות
- מוטב
- מעבר
- ביידן
- שטרות
- לְהַגבִּיר
- שניהם
- תִדרוּך
- ברודקום
- BT
- לִבנוֹת
- בִּניָן
- אבל
- by
- קוראים
- CAN
- מרכז
- שרשרת
- רֹאשׁ
- CISA
- סיסקו
- מקרוב
- יַחַד
- איך
- נוח
- מגיע
- מְחוּיָב
- Common
- להעביר
- חברות
- להיענות
- רכיבים
- מושג
- מוגדר
- עִקבִי
- קונסורציום
- יכול
- נוצר
- קריטי
- תשתית קריטית
- לקוחות
- סייבר
- אבטחת סייבר
- אבטחת סייבר
- יְוֹם
- dc
- בְּרִירַת מֶחדָל
- פריסה
- מְתוּאָר
- מְפוֹרָט
- טיפוח לרכב
- פרטים
- לקבוע
- לפתח
- צעצועי התפתחות
- מכשיר
- מְנַהֵל
- do
- עושה
- לא איכפת
- עושה
- לא
- נהיגה
- נהיגה
- בְּמַהֲלָך
- כלכלות
- המערכת האקולוגית
- השפעה
- מאמץ
- מַאֲמָצִים
- חיבוקים
- לעודד
- עודד
- הֲסָבָה..
- מרתק
- שלם
- סביבות
- eric
- במיוחד
- להקים
- אירופה
- אֲפִילוּ
- אירוע
- בסופו של דבר
- כל
- מנהלים
- - הזמנה
- צפוי
- לנצל
- פָּנִים
- רחוק
- מאפיין
- מעטים
- לעקוב
- הבא
- בעד
- זר
- פוּרמָט
- התהוות
- פורטינט
- מסגרת
- החל מ-
- מקבל
- לתת
- גלוֹבָּלִי
- Go
- ממשלה
- קְבוּצָה
- הדרכה
- חומרה
- יש
- יש
- he
- הוחזק
- בית
- איך
- איך
- HTTPS
- i
- רעיון
- לזהות
- if
- מיד
- ליישם
- לשפר
- משופר
- שיפור
- in
- תמריץ
- לכלול
- כולל
- כולל
- תעשייה
- בִּלתִי נִמנַע
- מידע
- תשתית
- אינטל
- התכוון
- אל תוך
- הפיקו
- בעיות
- הנפקת
- IT
- שֶׁלָה
- הצטרף
- jpg
- יולי
- רק
- אחרון
- שנה שעברה
- מאוחר יותר
- הושק
- חוק
- מנהיגים
- התחייבויות
- מעגל החיים
- כמו
- ll
- ארוך
- מגרש
- להוריד
- לום
- לעשות
- ניהול
- התעשיינים
- מַפָּה
- חומרים
- מט
- מדיה
- להרשם/להתחבר
- מתודולוגיות
- יכול
- מודלים
- חודשים
- יותר
- רוב
- צורך
- רשת
- אבטחת רשת
- רשתות
- רשתות
- חדש
- ניסט
- נורמות
- הערות
- ראוי לציון
- אואזיס
- of
- מוצע
- הצעות
- קָצִין
- on
- פעם
- ONE
- רק
- לפתוח
- קוד פתוח
- מפעילי
- הזדמנויות
- or
- להזמין
- הזמנות
- אחר
- שלנו
- הַחוּצָה
- מתווה
- המתואר
- בחוץ
- יותר
- מקיף
- פאלו אלטו
- מאמר
- שותף
- טלאים
- אֲנָשִׁים
- לבחור
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- פוטנציאל
- תרגול
- פרקטיקות
- נבואה
- להכין
- ללחוץ
- תהליכים
- לייצר
- הפקת
- המוצר
- פיתוח מוצר
- מוצרים
- ספקים
- שאלות ותשובות
- שאלה
- דַי
- במקום
- חומר עיוני
- מוכן
- המלצות
- מוּמלָץ
- ממליצה
- הפחתה
- הפניה
- לשחרר
- שוחרר
- לדווח
- דרישות
- כושר התאוששות
- מִתאוֹשֵׁשׁ מַהֵר
- תוצאה
- הסיכון
- אמר
- אותו
- אמר
- אומר
- לבטח
- מְאוּבטָח
- אבטחה
- לִרְאוֹת
- מחפשים
- מחפש
- לחצני מצוקה לפנסיונרים
- תחושה
- תחושת דחיפות
- סֶפּטֶמבֶּר
- צריך
- שישה
- שישה חודשים
- להאט
- So
- עד כה
- תוכנה
- פיתוח תוכנה
- אבטחת תוכנה
- שרשרת אספקת תוכנה
- פתרונות
- יציב
- בעלי עניין
- לעמוד
- תקנים
- התחלה
- סוּפֶּר
- לספק
- שרשרת אספקה
- תמיכה
- הופתע
- מפתיע
- T
- טכנולוגיות
- טכנולוגיה
- מונחים
- מֵאֲשֶׁר
- זֶה
- השמיים
- החוק
- העולם
- שֶׁלָהֶם
- אותם
- עצמם
- שם.
- הֵם
- דברים
- לחשוב
- צד שלישי
- זֶה
- אלה
- איום
- איום שחקנים
- זמן
- ל
- יַחַד
- חלק עליון
- שקיפות
- סומך
- מנסה
- תחת
- קו תחתון
- עדכונים
- דְחִיפוּת
- דוחק
- us
- ממשלת ארצות הברית
- להשתמש
- ספקים
- ורייזון
- VMware
- כֶּרֶך
- vp
- פגיעויות
- הַמתָנָה
- היה
- וושינגטון
- לא היה
- דֶרֶך..
- we
- מִשׁקָל
- ברוך הבא
- היו
- מתי
- בזמן
- לבן
- הבית לבן
- סקירה טכנית
- כל
- יצטרך
- וינדזור
- עם
- תיק עבודות
- עוֹלָם
- עולמי
- היה
- שנה
- שנים
- אתה
- זפירנט