NRC izdaja priporočila za boljšo varnost omrežja in programske opreme

O Odpornost omrežja koalicija izdal priporočila za izboljšanje varnostne infrastrukture omrežja z zmanjšanjem ranljivosti, ki jih ustvarja zastarela in nepravilno konfigurirana programska in strojna oprema. Člani NRC, ki so se jim pridružili najvišji voditelji ameriške vlade za kibernetsko varnost, so predstavili priporočila na dogodku v Washingtonu, DC.

NRC, ki ga je julija 2023 ustanovil Center za politiko in pravo kibernetske varnosti, si prizadeva uskladiti omrežne operaterje in prodajalce IT, da bi izboljšali kibernetsko odpornost njihovih izdelkov. NRC-ji whitepaper vključuje priporočila za obravnavo varnega razvoja programske opreme in upravljanja življenjskega cikla ter vključuje varno načrtovanje in privzeti razvoj izdelkov za izboljšanje varnosti dobavne verige programske opreme.

Člani NRC so AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon in VMware.

Skupina poziva vse prodajalce IT, naj upoštevajo opozorila vlade, da so akterji groženj iz nacionalnih držav okrepili svoja prizadevanja za napad na kritično infrastrukturo z izkoriščanjem ranljivosti strojne in programske opreme, ki niso ustrezno zavarovane, popravljene ali vzdrževane.

Njihova priporočila so skladna z Bidnovo administracijo Odredba 14208, ki poziva k posodobljenim standardom kibernetske varnosti, vključno z izboljšano varnostjo dobavne verige programske opreme. Preslikajo se tudi na Agencijo za kibernetsko varnost in varnost infrastrukture (CISA). Varnost po zasnovi in ​​privzeto smernicam in lani izdanemu zakonu o kibernetski varnosti uprave. 

Izvršni pomočnik direktorja CISA za kibernetsko varnost Eric Goldstein je ustanovitev skupine in objavo bele knjige šest mesecev pozneje opisal kot presenetljiv, a dobrodošel razvoj. »Iskreno povedano, zamisel, da bi se ponudniki omrežij, ponudniki tehnologije [in] proizvajalci naprav združili in rekli, da moramo skupaj storiti več za napredek kibernetske varnosti ekosistema izdelkov, bi bila tuj koncept,« je dejal Goldstein. med dogodkom NRC. "To bi bila anatema."

Sprejema NIST-ov SSDF in OASIS Open EoX

NRC poziva prodajalce, naj preslikajo svoje metodologije razvoja programske opreme z NIST Varno ogrodje za razvoj programske opreme (SSDF), hkrati pa podrobno opisuje, kako dolgo bodo podpirali in izdajali popravke. Poleg tega bi morali prodajalci izdati varnostne popravke ločeno, namesto da bi jih združili s posodobitvami funkcij. Hkrati bi morali kupci dati težo prodajalcem, ki so se zavezali, da bodo kritične popravke izdajali ločeno in v skladu s SSDF.

Poleg tega NRC priporoča podporo prodajalcem OpenEoX, prizadevanje, ki ga je septembra 2023 začel OASIS, da bi standardiziral, kako ponudniki prepoznajo tveganje in sporočajo podrobnosti o koncu življenjske dobe v strojno berljivi obliki za vsak izdelek, ki ga izdajo.

Vlade po vsem svetu poskušajo ugotoviti, kako narediti svoja splošna gospodarstva bolj stabilna, odporna in varna, je povedal Matt Fussa, glavni skrbniški uradnik Cisca. »Mislim, da so vsa podjetja v tesnem partnerstvu s CISA in vlado ZDA kot celoto, da spodbujajo najboljše prakse, kot je izdelava računov in materialov za programsko opremo, vključevanje in uvajanje varnih praks razvoja programske opreme,« je dejal Fussa med tiskovnim dogodkom tega tedna NRC.

Pobude za povečanje preglednosti programske opreme, vzpostavitev varnejših gradbenih okolij in krepitev procesov razvoja programske opreme bodo povzročile izboljšano varnost, ki presega le kritično infrastrukturo, je dodal Fussa. "Prišlo bo do učinka prelivanja zunaj vlade, ko bodo te stvari postale norme v industriji," je dejal. 

Med vprašanji in odgovori za medije, ki so potekala takoj po sestanku, je Ciscov Fussa priznal, da prodajalci počasi izpolnjujejo izvršne odredbe za izdajo SBOM ali samopotrditve odprtokodnih komponent in komponent tretjih oseb v svojih ponudbah. "Ena od stvari, ki nas je presenetila, je bila, da ko smo bili pripravljeni, da jih proizvedemo - to niso bili ravno črički, ampak manjša količina, kot smo morda pričakovali," je dejal. "Mislim, da se bo sčasoma, ko so ljudje razumeli, kako jih uporabljati, videli, da se bo to pobralo in sčasoma postalo običajno."

Priporočeno takojšnje ukrepanje

Fussa poziva zainteresirane strani, naj takoj začnejo sprejemati prakse, opisane v novem poročilu. »Vse bi vas spodbujal, da razmislite o tem, da bi to storili nujno, uvedli SSDF z nujnostjo, zgradili in dobili vaše stranke SBOM z občutkom nujnosti in odkrito spodbujali varnost z občutkom nujnosti, ker akterji groženj ne čakajo, in aktivno iščejo nove priložnosti za izkoriščanje proti vsem našim omrežjem.«

Kot industrijski konzorcij lahko gre NRC le tako daleč, da svoje člane spodbuja k upoštevanju njegovih priporočil. Ker pa je bela knjiga usklajena z izvršnim ukazom in Nacionalna strategija kibernetske varnosti ki ga je Bela hiša izdala lani, Fussa verjame, da bo njegovo upoštevanje prodajalce pripravilo na neizogibno. "Napovedal bom, da bo veliko predlogov, ki jih vidite v tem dokumentu, zakonodaja zahtevala tako v Evropi kot v ZDA," je dodal.

Jordan LaRose, direktor globalne prakse za varnost infrastrukture pri skupini NCC, pravi, da je omembe vredna potrditev, da za prizadevanjem konzorcija stojita ONCD in CISA. Toda ko je prebral časopis, ni verjel, da ponuja informacije, ki še niso na voljo. 

"Ta bela knjiga ni zelo podrobna," pravi LaRose. »Ne opisuje celotnega okvira. Resda se sklicuje na NIST SSDF, vendar mislim, da si bo večina ljudi zastavila vprašanje, ali morajo prebrati to belo knjigo, ko bi lahko preprosto prebrali NIST SSDF.«

Kljub temu LaRose ugotavlja, da poudarja potrebo, da se zainteresirane strani sprijaznijo s potencialnimi zahtevami in obveznostmi, s katerimi se bodo soočili, če ne bodo razvili varnih procesov po zasnovi in ​​implementirali priporočenih modelov ob koncu življenjske dobe.

Carl Windsor, višji podpredsednik tehnologije izdelkov in rešitev pri Fortinetu, je dejal, da je vsako prizadevanje za vgradnjo varnosti v izdelke od prvega dne ključnega pomena. Windsor je dejal, da ga še posebej spodbuja, da poročilo vključuje SSDF in drugo delo NIST in CISA. »Če gradimo svoje izdelke od prvega dne in se prilagajamo standardom NIST, smo 90 do 95 % na poti z vsemi drugimi standardi, ki prihajajo po vsem svetu,« je dejal.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security