NRC מנפיקה המלצות לשיפור רשת, אבטחת תוכנה

השמיים חוסן רשת קואליציה פרסמו המלצות שנועדו לשפר את תשתית אבטחת הרשת על ידי הפחתת נקודות תורפה שנוצרו על ידי תוכנה וחומרה מיושנים ולא מוגדרים כהלכה. חברי NRC, אליהם הצטרפו ראשי אבטחת הסייבר של ממשלת ארה"ב, תיארו את ההמלצות באירוע בוושינגטון הבירה.

ה-NRC, שהוקם ביולי 2023 על ידי המרכז למדיניות וחוק אבטחת סייבר, שואף ליישר קו בין מפעילי רשתות וספקי IT כדי לשפר את חוסן הסייבר של המוצרים שלהם. של NRC סקירה טכנית כולל המלצות לטיפול בפיתוח תוכנה מאובטח וניהול מחזור חיים, ומחבק פיתוח מוצר מאובטח לפי עיצוב ופיתוח ברירת מחדל לשיפור אבטחת שרשרת האספקה ​​של תוכנה.

חברי NRC כוללים את AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon ו-VMware.

הקבוצה קוראת לכל ספקי ה-IT להקשיב לאזהרות הממשלה לפיהן גורמי איומים במדינות לאום הגבירו את מאמציהם לתקוף תשתיות קריטיות על ידי ניצול פרצות חומרה ותוכנה שאינן מאובטחות, מעובדות או מתוחזקות כראוי.

ההמלצות שלהם עולות בקנה אחד עם מינהל ביידן הנהלת הצו 14208, הקורא לתקני אבטחת סייבר מודרניים, כולל אבטחת שרשרת אספקת תוכנה משופרת. הם גם ממפים לסוכנות אבטחת סייבר ותשתיות (CISA) אבטחה לפי עיצוב וברירת מחדל הנחיות ולחוק אבטחת הסייבר של הממשל שהוצא בשנה שעברה. 

עוזר מנהל אבטחת הסייבר ב-CISA, אריק גולדשטיין, תיאר את הקמת הקבוצה ואת פרסום הספר הלבן שישה חודשים לאחר מכן כהתפתחות מפתיעה אך מבורכת. "למען האמת, הרעיון שאפילו לפני כמה שנים של ספקי רשתות, ספקי טכנולוגיה, [ויצרני מכשירים] מתאחדים ואומרים שעלינו לעשות יותר ביחד כדי לקדם את אבטחת הסייבר של המערכת האקולוגית של המוצר היה מושג זר", אמר גולדשטיין. במהלך אירוע NRC. "זה היה מעורר חרדה."

מחבקת את SSDF ו-OASIS Open EoX של NIST

ה-NRC קורא לספקים למפות את מתודולוגיות פיתוח התוכנה שלהם עם המתודולוגיות של NIST מסגרת פיתוח תוכנה מאובטחת (SSDF), תוך פירוט כמה זמן הם יתמכו וישחררו תיקונים. כמו כן, על הספקים לשחרר תיקוני אבטחה בנפרד במקום לאגד אותם עם עדכוני תכונות. במקביל, לקוחות צריכים לתת משקל לספקים שהתחייבו להנפיק טלאים קריטיים בנפרד ולהתאים ל-SSDF.

יתר על כן, ה-NRC ממליץ לספקים לתמוך OpenEoX, מאמץ שהושק בספטמבר 2023 על ידי OASIS לסטנדרטיזציה של האופן שבו ספקים מזהים סיכונים ומעבירים פרטים על סוף החיים בפורמט קריא במכונה עבור כל מוצר שהם משחררים.

ממשלות ברחבי העולם מנסות לקבוע כיצד להפוך את הכלכלות הכוללות שלהן ליציבות, גמישות ובטוחות יותר, אמר מנהל הנאמנות הראשי של סיסקו, מאט פוסה. "כל החברות, אני חושב, בשיתוף פעולה הדוק עם CISA וממשלת ארה"ב כולה כדי להניע שיטות עבודה מומלצות כמו הפקת חשבונות תוכנה וחומרים, עיסוק ופריסה של שיטות פיתוח תוכנה מאובטחות", אמר פוסה במהלך אירוע העיתונאים של NRC השבוע.

יוזמות להגברת השקיפות בתוכנה, הקמת סביבות בנייה מאובטחות יותר וחיזוק תהליכי פיתוח תוכנה יביאו לשיפור האבטחה מעבר לתשתית קריטית בלבד, הוסיפה Fussa. "תהיה אפקט גלגול מחוץ לממשלה כשהדברים האלה יהפכו לנורמות בתעשייה", אמר. 

במהלך שאלות ותשובות תקשורתיות שנערכו מיד לאחר התדריך, הודה Fussa של סיסקו כי הספקים איחרו לציית להוראות הביצוע להנפקת SBOMs או אישור עצמי של רכיבי הקוד הפתוח והצד השלישי בהצעות שלהם. "אחד הדברים שהופתענו מהם היה שברגע שהיינו מוכנים לייצר אותם - זה לא היה ממש צרצרים, אבל זה היה נפח נמוך ממה שציפינו", אמר. "אני חושב שעם הזמן, מכיוון שאנשים היו נוחים עם איך להשתמש בהם, נראה שזה יתגבר ובסופו של דבר יהיה נפוץ."

פעולה מיידית מומלצת

Fussa קורא לבעלי העניין להתחיל לאמץ שיטות המפורטות בדוח החדש באופן מיידי. "אני מעודד את כולכם לחשוב על לעשות זאת בדחיפות, לפרוס SSDF בדחיפות, לבנות ולהשיג SBOMs ללקוחות שלכם בתחושת דחיפות, ולמען האמת להניע את האבטחה בתחושת דחיפות, כי גורמי האיום לא מחכים, והם מחפשים באופן פעיל הזדמנויות חדשות לניצול מול כל הרשתות שלנו."

כקונסורציום תעשייתי, ה-NRC יכול רק להרחיק לכת ולתמרץ את חבריו לפעול לפי המלצותיו. אבל בגלל שהספר הלבן מתיישב עם הצו המבצעי וה- אסטרטגיית אבטחת סייבר לאומית שפורסמה על ידי הבית הלבן בשנה שעברה, פוסה מאמינה שהקפדה על כך תכין את הספקים לבלתי נמנע. "אני אעשה תחזית שהרבה מההצעות שאתה רואה במאמר זה יהיו דרישות על פי החוק, הן באירופה והן בארה"ב", הוסיף.

ג'ורדן לרוז, מנהל תרגול עולמי לאבטחת תשתיות בקבוצת NCC, אומר ש-ONCD ו-CISA עומדים מאחורי המאמץ של הקונסורציום היא תמיכה ראויה לציון. אבל לאחר שקרא את העיתון, הוא לא האמין שהוא מציע מידע שאינו זמין כבר. 

"הספר הלבן הזה לא מפורט במיוחד", אומר לרוז. "זה לא מתווה מסגרת שלמה. זה כן מתייחס ל- NIST SSDF, אבל אני מניח שהשאלה שרוב האנשים ישאלו את עצמם היא, האם הם צריכים לקרוא את הספר הלבן הזה כשהם יכולים פשוט ללכת ולקרוא את ה- NIST SSDF."

עם זאת, LaRose מציינת כי היא מדגישה את הצורך של מחזיקי עניין להשלים עם דרישות והתחייבויות פוטנציאליות שעומדות בפניהם אם הם לא מפתחים תהליכים מאובטחים לפי תכנון וליישם את המודלים המומלצים של סוף החיים.

קרל ווינדזור, סמנכ"ל בכיר לטכנולוגיית מוצר ופתרונות בפורטינט, אמר שכל מאמץ לבנות אבטחה במוצרים מהיום הראשון הוא קריטי. וינדזור אמר שהוא מעודד במיוחד מכך שהדו"ח מאמץ את SSDF ועבודות אחרות של NIST ו-CISA. "אם נבנה את המוצרים שלנו מהיום הראשון, תוך התאמה לתקני NIST, אנחנו נמצאים ב-90% עד 95% מהדרך עם כל התקנים האחרים שמגיעים שם ברחבי העולם", אמר.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security