ネットワークの復元力 連立 時代遅れで不適切に構成されたソフトウェアやハードウェアによって生じる脆弱性を軽減することで、ネットワーク セキュリティ インフラストラクチャを改善することを目的とした推奨事項を発行しました。 NRCメンバーは、米国政府のサイバーセキュリティ指導者らとともに、ワシントンDCでのイベントで推奨事項の概要を説明した。
サイバーセキュリティ政策法センターによって 2023 年 XNUMX 月に設立された NRC は、ネットワーク オペレーターと IT ベンダーが連携して製品のサイバー回復力を向上させることを目指しています。 NRCの ホワイトペーパー これには、安全なソフトウェア開発とライフサイクル管理に取り組むための推奨事項が含まれており、ソフトウェア サプライ チェーンのセキュリティを向上させるためのセキュア バイ デザインおよびデフォルトの製品開発が含まれています。
NRC のメンバーには、AT&T、Broadcom、BT Group、Cisco、Fortinet、Intel、Juniper Networks、Lumen Technologies、Palo Alto Networks、Verizon、VMware が含まれます。
同団体は、すべてのITベンダーに対し、国家の脅威アクターが適切に保護、パッチ適用、保守がされていないハードウェアやソフトウェアの脆弱性を悪用して重要インフラへの攻撃を強化しているという政府の警告に留意するよう呼び掛けている。
彼らの勧告はバイデン政権の方針と一致している。 令14208、ソフトウェアサプライチェーンのセキュリティの向上を含む、最新のサイバーセキュリティ標準を求めています。これらはサイバーセキュリティ・インフラストラクチャ・セキュリティ局 (CISA) にもマップされます。 セキュリティバイデザインとデフォルト ガイダンスと昨年発行された政府のサイバーセキュリティ法に準拠しています。
CISA サイバーセキュリティ担当エグゼクティブアシスタントディレクターのエリック・ゴールドスタイン氏は、グループの結成とその 6 か月後の白書の発表について、驚くべきだが歓迎すべき展開であると述べた。 「率直に言って、ネットワーキングプロバイダー、テクノロジープロバイダー、およびデバイスメーカーが団結して、製品エコシステムのサイバーセキュリティを向上させるために共同でさらに多くのことを行う必要があるという考えは、数年前であっても異質な概念だったでしょう」とゴールドスタイン氏は述べた。 NRCイベント中。 「それは忌まわしいことだっただろう。」
NIST の SSDF および OASIS Open EoX の採用
NRC はベンダーに対し、自社のソフトウェア開発手法を NIST の手法とマッピングするよう呼びかけています。 セキュアなソフトウェア開発フレームワーク (SSDF)、サポート期間とパッチのリリース期間について詳しく説明します。また、ベンダーはセキュリティ パッチを機能アップデートにバンドルするのではなく、個別にリリースする必要があります。同時に、顧客は重要なパッチを個別に発行し、SSDF に準拠することに取り組んでいるベンダーを重視する必要があります。
さらに、NRC はベンダーがサポートすることを推奨しています。 OpenEoXは、プロバイダーがリスクを特定し、リリースするすべての製品について機械可読形式でサポート終了の詳細を伝達する方法を標準化するために、2023 年 XNUMX 月に OASIS によって開始された取り組みです。
シスコの最高トラスト責任者マット・フッサ氏は、世界中の政府は経済全体をより安定、回復力、安全なものにする方法を模索していると述べた。 「すべての企業は、CISAや米国政府全体と緊密に連携して、ソフトウェアの請求書や資料の作成、安全なソフトウェア開発慣行への取り組みと展開などのベストプラクティスを推進していると思います」と福生氏は今週のNRCプレスイベントで述べた。
ソフトウェアの透明性を高め、より安全なビルド環境を確立し、ソフトウェア開発プロセスを強化する取り組みは、重要なインフラストラクチャを超えたセキュリティの向上につながると福生氏は付け加えた。 「こうしたことが業界で標準になるにつれ、政府の外にも波及効果が生じるだろう」と同氏は語った。
説明会の直後に行われたメディア向けのQ&Aで、シスコの福生氏は、ベンダーが自社製品に含まれるオープンソースおよびサードパーティコンポーネントのSBOMや自己認証の発行に関する大統領令の順守が遅れていることを認めた。 「私たちが驚いたことの 1 つは、生産の準備が整うと、完全にコオロギではありませんでしたが、予想よりも生産量が少なかったことです」と彼は言いました。 「時間が経つにつれて、人々がその使用方法に慣れてきたので、それが普及し、最終的には一般的になるのではないかと思います。」
早急な対応が推奨される
福生市は利害関係者に対し、新たな報告書で概説された慣行の採用を直ちに開始するよう促している。 「皆さんには、これを緊急に実行すること、緊急に SSDF を展開すること、緊急に SBOM を構築して顧客に提供すること、そして率直に言って、緊急を持ってセキュリティを推進することについて考えることをお勧めします。なぜなら、脅威アクターは待っているわけではないからです。そして彼らは、私たちのすべてのネットワークを悪用する新たな機会を積極的に探しています。」
業界コンソーシアムとして、NRC ができることは、メンバーにその勧告に従うよう奨励することくらいしかできません。しかし、白書は大統領令と一致しているため、 国家サイバーセキュリティ戦略 ホワイトハウスが昨年発表したこの指針を遵守することで、ベンダーは避けられない事態に備えることができると福生氏は信じている。同氏はさらに、「この文書に記載されている提案の多くは、欧州でも米国でも法律に基づく要件となるだろう」と付け加えた。
NCC グループのインフラストラクチャ セキュリティのグローバル プラクティス ディレクターであるジョーダン ラローズ氏は、コンソーシアムの取り組みに ONCD と CISA が支援していることは注目に値すると述べています。しかし、この論文を読んだ彼は、それがまだ入手できない情報を提供しているとは信じていませんでした。
「このホワイトペーパーはそれほど詳細なものではありません」とラローズ氏は言います。 「それは枠組み全体の概要を示すものではありません。 NIST SSDF については言及していますが、ほとんどの人が抱く疑問は、NIST SSDF を読みに行けるのにこのホワイトペーパーを読む必要があるのかということだと思います。」
それにも関わらず、これは利害関係者が安全性を重視した設計プロセスを開発し、推奨される耐用年数終了モデルを実装しない場合に直面する潜在的な要件と責任を受け入れる必要性を強調している、とラローズ氏は指摘する。
フォーティネットの製品テクノロジーおよびソリューション担当上級副社長、カール ウィンザー氏は、製品にセキュリティを最初から組み込むあらゆる取り組みが重要であると述べました。ウィンザー氏は、この報告書が SSDF や NIST と CISA による他の研究を取り入れていることに特に勇気づけられると述べた。 「最初から NIST 標準に合わせて製品を構築すれば、世界中で発売されている他のすべての標準に 90 ~ 95% 準拠することになります。」と彼は言いました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security
- :は
- :not
- $UP
- 2023
- 90
- 視聴者の38%が
- a
- 私たちについて
- 認め
- 行為
- Action
- 積極的に
- 俳優
- 追加されました
- アドレッシング
- 十分に
- 付着
- 採用
- 進める
- に対して
- 前
- 整列する
- 整列
- 整列
- すべて
- 既に
- また
- an
- 嫌気
- および
- とインフラ
- どれか
- です
- 周りに
- AS
- アシスタント
- At
- AT&T
- 攻撃
- 利用できます
- BE
- なぜなら
- になる
- き
- 背後に
- 信じる
- と考えています
- BEST
- ベストプラクティス
- より良いです
- 越えて
- 二人
- 札
- ブースト
- 両言語で
- ブリーフィング
- ブロードコム
- BT
- ビルド
- 建物
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼び出し
- 缶
- センター
- チェーン
- チーフ
- CISA
- Cisco
- 密接に
- 集合的に
- 来ます
- 快適
- 到来
- コミットした
- コマンドと
- 伝える
- 企業
- 従う
- コンポーネント
- コンセプト
- 設定された
- 整合性のある
- コンソーシアム
- 可能性
- 作成した
- 重大な
- 重要インフラ
- Customers
- サイバー
- サイバーセキュリティ
- サイバーセキュリティ
- 中
- dc
- デフォルト
- 展開する
- 記載された
- 詳細な
- ディテール
- 細部
- 決定する
- 開発する
- 開発
- デバイス
- 取締役
- do
- ありません
- doesnの
- すること
- ドント
- ドライブ
- 運転
- 間に
- 経済
- エコシステム
- 効果
- 努力
- 努力
- 抱擁
- 奨励する
- 奨励
- 承認..
- 魅力的
- 全体
- 環境
- エリック
- 特に
- 確立する
- ヨーロッパ
- さらに
- イベント
- 最終的に
- あらゆる
- エグゼクティブ
- 行政命令
- 予想される
- 悪用する
- 顔
- 遠く
- 特徴
- 少数の
- フォロー中
- 外国の
- 形式でアーカイブしたプロジェクトを保存します.
- 形成
- フォーティネット
- フレームワーク
- から
- 受け
- 与える
- グローバル
- Go
- 政府・公共機関
- グループ
- ガイダンス
- Hardware
- 持ってる
- 持って
- he
- ヒーロー
- お家の掃除
- 認定条件
- How To
- HTTPS
- i
- アイデア
- 識別する
- if
- 直ちに
- 実装する
- 改善します
- 改善されました
- 改善
- in
- インセンティブ
- include
- 含ま
- 含めて
- 産業を変えます
- 避けられない
- 情報
- インフラ関連事業
- インテル
- 意図された
- に
- 発行済み
- 問題
- 発行
- IT
- ITS
- 参加した
- JPG
- 7月
- ただ
- 姓
- 昨年
- 後で
- 打ち上げ
- 法律
- リーダー
- 負債
- wifecycwe
- ような
- ll
- 長い
- たくさん
- 下側
- ルーメン
- make
- 管理
- メーカー
- 地図
- 材料
- マット
- メディア
- メンバー
- 方法論
- かもしれない
- モデル
- ヶ月
- 他には?
- 最も
- 必要
- ネットワーク
- ネットワークセキュリティー
- ネットワーキング
- ネットワーク
- 新作
- ニスト
- 規範
- ノート
- 注目に値する
- オアシス
- of
- 提供
- オファリング
- 役員
- on
- かつて
- ONE
- の
- 開いた
- オープンソース
- 演算子
- 機会
- or
- 注文
- 受注
- その他
- 私たちの
- でる
- アウトライン
- 概説
- 外側
- が
- 全体
- パロアルト
- 紙素材
- 提携
- パッチ
- のワークプ
- 選ぶ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 方針
- 潜在的な
- 練習
- プラクティス
- 予測
- 準備
- ラボレーション
- 作り出す
- 作成
- プロダクト
- 製品開発
- 製品
- プロバイダ
- 質問と回答
- 質問
- 非常に
- むしろ
- 読む
- 準備
- 提言
- 推奨される
- お勧めする
- 縮小
- 参照
- リリース
- リリース
- レポート
- 要件
- 回復力
- 弾力性のあります
- 結果
- リスク
- 前記
- 同じ
- 格言
- 言う
- 安全に
- セキュア
- セキュリティ
- を求める
- 求める
- シニア
- センス
- スピード感
- 9月
- すべき
- SIX
- 半年
- 遅く
- So
- これまでのところ
- ソフトウェア
- ソフトウェア開発
- ソフトウェアセキュリティ
- ソフトウェアサプライチェーン
- ソリューション
- 安定した
- ステークホルダー
- スタンド
- 規格
- start
- スーパー
- 供給
- サプライチェーン
- サポート
- 驚きました
- 驚くべき
- T
- テクノロジー
- テクノロジー
- 条件
- より
- それ
- 法律
- 世界
- アプリ環境に合わせて
- それら
- 自分自身
- そこ。
- 彼ら
- 物事
- 考える
- サードパーティ
- この
- それらの
- 脅威
- 脅威アクター
- 時間
- 〜へ
- 一緒に
- top
- 透明性
- 信頼
- しよう
- 下
- アンダースコア
- 更新版
- 緊急
- 促します
- us
- 私たち政府
- つかいます
- ベンダー
- ベライゾン
- ヴイエムウェア
- ボリューム
- vp
- 脆弱性
- 待っています
- ました
- ワシントン
- だった
- 仕方..
- we
- 重量
- 歓迎
- した
- いつ
- while
- 白
- ホワイトハウス
- ホワイトペーパー
- 全体
- 意志
- ウィンザー
- 仕事
- 世界
- でしょう
- 年
- 年
- 貴社
- あなたの
- ゼファーネット