พื้นที่ ความยืดหยุ่นของเครือข่าย รัฐบาลผสม ออกคำแนะนำที่มีจุดประสงค์เพื่อปรับปรุงโครงสร้างพื้นฐานความปลอดภัยเครือข่ายโดยการลดความเสี่ยงที่สร้างขึ้นโดยซอฟต์แวร์และฮาร์ดแวร์ที่ล้าสมัยและกำหนดค่าไม่ถูกต้อง สมาชิก NRC พร้อมด้วยผู้นำด้านความปลอดภัยทางไซเบอร์ระดับสูงของรัฐบาลสหรัฐฯ ได้สรุปคำแนะนำที่งานในกรุงวอชิงตัน ดี.ซี.
NRC ก่อตั้งขึ้นในเดือนกรกฎาคม พ.ศ. 2023 โดยศูนย์นโยบายและกฎหมายความปลอดภัยทางไซเบอร์ โดยมีวัตถุประสงค์เพื่อประสานผู้ให้บริการเครือข่ายและผู้จำหน่ายไอทีเพื่อปรับปรุงความสามารถในการฟื้นตัวทางไซเบอร์ของผลิตภัณฑ์ของตน กสทช whitepaper รวมถึงคำแนะนำสำหรับการจัดการการพัฒนาซอฟต์แวร์ที่ปลอดภัยและการจัดการวงจรการใช้งาน และยอมรับการออกแบบที่ปลอดภัยและการพัฒนาผลิตภัณฑ์เริ่มต้นเพื่อปรับปรุงความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์
สมาชิกของ NRC ได้แก่ AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon และ VMware
ทางกลุ่มเรียกร้องให้ผู้จำหน่ายไอทีทุกรายปฏิบัติตามคำเตือนของรัฐบาลว่าผู้ก่อภัยคุกคามระดับรัฐได้เพิ่มความพยายามในการโจมตีโครงสร้างพื้นฐานที่สำคัญโดยการใช้ประโยชน์จากช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์ที่ไม่ได้รับการรักษาความปลอดภัย แพตช์ หรือบำรุงรักษาอย่างเพียงพอ
คำแนะนำของพวกเขาสอดคล้องกับฝ่ายบริหารของ Biden สั่งซื้อ 14208 บริหารเรียกร้องให้มีมาตรฐานความปลอดภัยทางไซเบอร์ที่ทันสมัย รวมถึงการปรับปรุงความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ พวกเขายังเชื่อมโยงกับ Cybersecurity และ Infrastructure Security Agency (CISA) ความปลอดภัยโดยการออกแบบและค่าเริ่มต้น คำแนะนำและพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ของฝ่ายบริหารที่ออกเมื่อปีที่แล้ว
Eric Goldstein ผู้ช่วยผู้อำนวยการบริหารฝ่ายความปลอดภัยทางไซเบอร์ของ CISA กล่าวถึงการก่อตั้งกลุ่มและการเปิดตัว whitepaper ในอีกหกเดือนต่อมาว่าเป็นการพัฒนาที่น่าประหลาดใจแต่ก็น่ายินดี “จริงๆ แล้ว ความคิดเมื่อไม่กี่ปีก่อนของผู้ให้บริการเครือข่าย ผู้ให้บริการเทคโนโลยี [และ] ผู้ผลิตอุปกรณ์มารวมตัวกันและบอกว่าเราจำเป็นต้องร่วมมือกันมากขึ้นเพื่อพัฒนาความปลอดภัยทางไซเบอร์ของระบบนิเวศของผลิตภัณฑ์ จะเป็นแนวคิดที่ต่างประเทศ” Goldstein กล่าว ในระหว่างงาน กสท. “มันคงเป็นคำสาปแช่ง”
รองรับ SSDF และ OASIS Open EoX ของ NIST
NRC เรียกร้องให้ผู้จำหน่ายจัดทำแผนที่วิธีการพัฒนาซอฟต์แวร์ของตนกับ NIST กรอบการพัฒนาซอฟต์แวร์ที่ปลอดภัย (SSDF)พร้อมให้รายละเอียดว่าพวกเขาจะสนับสนุนและปล่อยแพตช์นานแค่ไหน นอกจากนี้ ผู้จำหน่ายควรเผยแพร่แพตช์รักษาความปลอดภัยแยกต่างหาก แทนที่จะรวมเข้ากับการอัปเดตฟีเจอร์ ในเวลาเดียวกัน ลูกค้าควรให้น้ำหนักกับผู้จำหน่ายที่มุ่งมั่นที่จะออกแพตช์สำคัญแยกต่างหากและปฏิบัติตาม SSDF
นอกจากนี้ NRC แนะนำให้ผู้ขายสนับสนุน OpenEoXซึ่งเป็นความพยายามที่เปิดตัวในเดือนกันยายน 2023 โดย OASIS เพื่อสร้างมาตรฐานให้กับวิธีที่ผู้ให้บริการระบุความเสี่ยงและสื่อสารรายละเอียดการสิ้นสุดอายุการใช้งานในรูปแบบที่เครื่องอ่านได้สำหรับทุกผลิตภัณฑ์ที่พวกเขาเปิดตัว
รัฐบาลทั่วโลกกำลังพยายามหาวิธีทำให้เศรษฐกิจโดยรวมของตนมีเสถียรภาพ ฟื้นตัวได้และปลอดภัยมากขึ้น Matt Fussa ประธานเจ้าหน้าที่ฝ่ายความไว้วางใจของ Cisco กล่าว “ผมคิดว่าบริษัททั้งหมดร่วมมือกันอย่างใกล้ชิดกับ CISA และรัฐบาลสหรัฐฯ โดยรวมเพื่อขับเคลื่อนแนวปฏิบัติที่ดีที่สุด เช่น การผลิตบิลและวัสดุซอฟต์แวร์ มีส่วนร่วมและปรับใช้แนวปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัย” Fussa กล่าวระหว่างงานแถลงข่าวของ NRC ในสัปดาห์นี้
ความคิดริเริ่มเพื่อเพิ่มความโปร่งใสในซอฟต์แวร์ สร้างสภาพแวดล้อมการสร้างที่ปลอดภัยยิ่งขึ้น และสนับสนุนกระบวนการพัฒนาซอฟต์แวร์จะส่งผลให้มีความปลอดภัยที่ดีขึ้น นอกเหนือจากโครงสร้างพื้นฐานที่สำคัญ Fussa กล่าวเสริม “จะมีผลกระทบล้นออกมานอกรัฐบาล เนื่องจากสิ่งเหล่านั้นกลายเป็นบรรทัดฐานในอุตสาหกรรม” เขากล่าว
ในระหว่างการถามตอบสื่อที่จัดขึ้นทันทีหลังจากการบรรยายสรุป Fussa ของ Cisco ยอมรับว่าผู้ขายดำเนินการช้าในการปฏิบัติตามคำสั่งของผู้บริหารในการออก SBOM หรือการรับรองตนเองของส่วนประกอบโอเพ่นซอร์สและบุคคลที่สามในข้อเสนอของพวกเขา “สิ่งหนึ่งที่เราประหลาดใจคือเมื่อเราพร้อมที่จะผลิตพวกมันแล้ว มันอาจไม่ใช่จิ้งหรีด แต่มีปริมาณน้อยกว่าที่เราคาดไว้” เขากล่าว “ฉันคิดว่าเมื่อเวลาผ่านไป เนื่องจากผู้คนคุ้นเคยกับวิธีใช้แล้ว เราก็จะเห็นสิ่งนั้นเพิ่มขึ้นและกลายเป็นเรื่องธรรมดาในที่สุด”
แนะนำให้ดำเนินการทันที
Fussa เรียกร้องให้ผู้มีส่วนได้ส่วนเสียเริ่มนำแนวทางปฏิบัติที่ระบุไว้ในรายงานฉบับใหม่มาใช้ทันที “ฉันขอแนะนำให้คุณทุกคนคิดเกี่ยวกับการดำเนินการนี้ด้วยความเร่งด่วน ปรับใช้ SSDF อย่างเร่งด่วน สร้างและรับ SBOM ของลูกค้าของคุณด้วยความรู้สึกเร่งด่วน และขับเคลื่อนการรักษาความปลอดภัยอย่างตรงไปตรงมาด้วยความรู้สึกถึงความเร่งด่วน เนื่องจากผู้แสดงภัยคุกคามไม่ได้รออยู่ และพวกเขากำลังแสวงหาโอกาสใหม่ ๆ เพื่อใช้ประโยชน์จากเครือข่ายทั้งหมดของเรา”
ในฐานะสมาคมอุตสาหกรรม NRC ทำได้เพียงสร้างแรงจูงใจให้สมาชิกปฏิบัติตามคำแนะนำเท่านั้น แต่เนื่องจากสมุดปกขาวสอดคล้องกับคำสั่งผู้บริหารและ ยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งเผยแพร่โดยทำเนียบขาวเมื่อปีที่แล้ว Fussa เชื่อว่าการปฏิบัติตามข้อกำหนดดังกล่าวจะเตรียมผู้ขายให้พร้อมสำหรับสิ่งที่หลีกเลี่ยงไม่ได้ “ผมจะคาดการณ์ว่าข้อเสนอแนะจำนวนมากที่คุณเห็นในเอกสารฉบับนี้จะเป็นข้อกำหนดภายใต้กฎหมาย ทั้งในยุโรปและสหรัฐอเมริกา” เขากล่าวเสริม
Jordan LaRose ผู้อำนวยการฝ่ายปฏิบัติการระดับโลกด้านความปลอดภัยโครงสร้างพื้นฐานของ NCC Group กล่าวว่าการมี ONCD และ CISA อยู่เบื้องหลังความพยายามของกลุ่มนี้ถือเป็นการรับรองที่สำคัญ แต่เมื่ออ่านบทความนี้แล้ว เขาไม่เชื่อว่าบทความนี้จะให้ข้อมูลที่ยังไม่มีให้
“เอกสารไวท์เปเปอร์นี้ไม่มีรายละเอียดมากนัก” LaRose กล่าว “มันไม่ได้สรุปกรอบการทำงานทั้งหมด มันอ้างอิงถึง NIST SSDF แต่ฉันเดาว่าคำถามที่คนส่วนใหญ่จะตั้งคำถามคือ พวกเขาจำเป็นต้องอ่านเอกสารไวท์เปเปอร์นี้หรือไม่ ในเมื่อพวกเขาสามารถไปอ่าน NIST SSDF ได้”
อย่างไรก็ตาม LaRose ตั้งข้อสังเกตว่า บริษัทเน้นย้ำถึงความจำเป็นของผู้มีส่วนได้ส่วนเสียที่จะต้องตกลงกับข้อกำหนดและความรับผิดที่อาจเกิดขึ้นซึ่งพวกเขาเผชิญ หากพวกเขาไม่พัฒนากระบวนการที่ปลอดภัยโดยการออกแบบ และใช้โมเดลการสิ้นสุดอายุการใช้งานที่แนะนำ
คาร์ล วินด์เซอร์ รองประธานอาวุโสฝ่ายเทคโนโลยีผลิตภัณฑ์และโซลูชั่นของ Fortinet กล่าวว่าความพยายามใดๆ ที่จะสร้างความปลอดภัยให้กับผลิตภัณฑ์ตั้งแต่วันแรกนั้นเป็นสิ่งสำคัญ วินด์เซอร์กล่าวว่าเขาได้รับการสนับสนุนเป็นพิเศษที่รายงานนี้ครอบคลุม SSDF และงานอื่นๆ ของ NIST และ CISA “หากเราสร้างผลิตภัณฑ์ของเราตั้งแต่วันแรก โดยสอดคล้องกับมาตรฐานของ NIST เราจะได้ 90 ถึง 95% ของมาตรฐานอื่นๆ ทั้งหมดที่ออกมาทั่วโลก” เขากล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security
- :เป็น
- :ไม่
- $ ขึ้น
- 2023
- 90
- 95%
- a
- เกี่ยวกับเรา
- ที่ยอมรับ
- กระทำ
- การกระทำ
- อย่างกระตือรือร้น
- นักแสดง
- ที่เพิ่ม
- ที่อยู่
- อย่างเพียงพอ
- ยึดมั่น
- การนำ
- ความก้าวหน้า
- กับ
- มาแล้ว
- จัดแนว
- สอดคล้อง
- จัดแนว
- ทั้งหมด
- แล้ว
- ด้วย
- an
- คำสาปแช่ง
- และ
- และโครงสร้างพื้นฐาน
- ใด
- เป็น
- รอบ
- AS
- ผู้ช่วย
- At
- AT & T
- โจมตี
- ใช้ได้
- BE
- เพราะ
- กลายเป็น
- รับ
- หลัง
- เชื่อ
- เชื่อ
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- ดีกว่า
- เกิน
- ไบเดน
- ธนบัตร
- เพิ่ม
- ทั้งสอง
- การบรรยายสรุป
- Broadcom
- BT
- สร้าง
- การก่อสร้าง
- แต่
- by
- โทร
- CAN
- ศูนย์
- โซ่
- หัวหน้า
- ซีไอเอสเอ
- ซิสโก้
- อย่างใกล้ชิด
- รวม
- อย่างไร
- สบาย
- มา
- มุ่งมั่น
- ร่วมกัน
- สื่อสาร
- บริษัท
- ปฏิบัติตาม
- ส่วนประกอบ
- แนวคิด
- การกำหนดค่า
- คงเส้นคงวา
- สมาคม
- ได้
- ที่สร้างขึ้น
- วิกฤติ
- โครงสร้างพื้นฐานที่สำคัญ
- ลูกค้า
- ไซเบอร์
- การรักษาความปลอดภัยในโลกไซเบอร์
- cybersecurity
- วัน
- dc
- ค่าเริ่มต้น
- ปรับใช้
- อธิบาย
- รายละเอียด
- รายละเอียด
- รายละเอียด
- กำหนด
- พัฒนา
- พัฒนาการ
- เครื่อง
- ผู้อำนวยการ
- do
- ทำ
- doesn
- การทำ
- Dont
- ขับรถ
- การขับขี่
- ในระหว่าง
- เศรษฐกิจ
- ระบบนิเวศ
- ผล
- ความพยายาม
- ความพยายาม
- อ้อมกอด
- ส่งเสริม
- สนับสนุนให้
- รับรอง..
- น่าสนใจ
- ทั้งหมด
- สภาพแวดล้อม
- เอริค
- โดยเฉพาะอย่างยิ่ง
- สร้าง
- ยุโรป
- แม้
- เหตุการณ์
- ในที่สุด
- ทุกๆ
- ผู้บริหารงาน
- คำสั่งของผู้บริหาร
- ที่คาดหวัง
- เอาเปรียบ
- ใบหน้า
- ไกล
- ลักษณะ
- สองสาม
- ปฏิบัติตาม
- ดังต่อไปนี้
- สำหรับ
- ต่างประเทศ
- รูป
- การสร้าง
- Fortinet
- กรอบ
- ราคาเริ่มต้นที่
- ได้รับ
- ให้
- เหตุการณ์ที่
- Go
- รัฐบาล
- บัญชีกลุ่ม
- คำแนะนำ
- ฮาร์ดแวร์
- มี
- มี
- he
- จัดขึ้น
- บ้าน
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- i
- ความคิด
- แยกแยะ
- if
- ทันที
- การดำเนินการ
- ปรับปรุง
- การปรับปรุง
- การปรับปรุง
- in
- จูงใจ
- ประกอบด้วย
- รวมถึง
- รวมทั้ง
- อุตสาหกรรม
- หลีกเลี่ยงไม่ได้
- ข้อมูล
- โครงสร้างพื้นฐาน
- อินเทล
- ตั้งใจว่า
- เข้าไป
- ทุนที่ออก
- ปัญหา
- การออก
- IT
- ITS
- เข้าร่วม
- jpg
- กรกฎาคม
- เพียงแค่
- ชื่อสกุล
- ปีที่แล้ว
- ต่อมา
- เปิดตัว
- กฏหมาย
- ผู้นำ
- หนี้สิน
- วงจรชีวิต
- กดไลก์
- ll
- นาน
- Lot
- ลด
- ลูเมน
- ทำ
- การจัดการ
- ผู้ผลิตยา
- แผนที่
- วัสดุ
- ด้าน
- ภาพบรรยากาศ
- สมาชิก
- วิธีการ
- อาจ
- โมเดล
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- จำเป็นต้อง
- เครือข่าย
- การรักษาความปลอดภัยเครือข่าย
- เครือข่าย
- เครือข่าย
- ใหม่
- NIST
- บรรทัดฐาน
- หมายเหตุ / รายละเอียดเพิ่มเติม
- น่าสังเกต
- โอเอซิส
- of
- เสนอ
- การเสนอขาย
- เจ้าหน้าที่
- on
- ครั้งเดียว
- ONE
- เพียง
- เปิด
- โอเพนซอร์ส
- ผู้ประกอบการ
- โอกาส
- or
- ใบสั่ง
- คำสั่งซื้อ
- อื่นๆ
- ของเรา
- ออก
- เค้าโครง
- ที่ระบุไว้
- ด้านนอก
- เกิน
- ทั้งหมด
- พาโลอัลโต
- กระดาษ
- ร่วมมือ
- แพทช์
- รูปแบบไฟล์ PDF
- คน
- เลือก
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นโยบาย
- ที่มีศักยภาพ
- การปฏิบัติ
- การปฏิบัติ
- คำทำนาย
- เตรียมการ
- กด
- กระบวนการ
- ก่อ
- การผลิต
- ผลิตภัณฑ์
- การพัฒนาผลิตภัณฑ์
- ผลิตภัณฑ์
- ผู้ให้บริการ
- Q & A
- คำถาม
- ทีเดียว
- ค่อนข้าง
- อ่าน
- พร้อม
- แนะนำ
- แนะนำ
- แนะนำ
- ลด
- การอ้างอิง
- ปล่อย
- การเผยแพร่
- รายงาน
- ความต้องการ
- ความยืดหยุ่น
- ยืดหยุ่น
- ผล
- ความเสี่ยง
- กล่าวว่า
- เดียวกัน
- คำพูด
- พูดว่า
- ปลอดภัย
- ปลอดภัย
- ความปลอดภัย
- เห็น
- ที่กำลังมองหา
- แสวงหา
- ระดับอาวุโส
- ความรู้สึก
- ความรู้สึกเร่งด่วน
- กันยายน
- น่า
- หก
- หกเดือน
- ช้า
- So
- จนถึงตอนนี้
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- ความปลอดภัยของซอฟต์แวร์
- ห่วงโซ่อุปทานซอฟต์แวร์
- โซลูชัน
- มั่นคง
- ผู้มีส่วนได้เสีย
- ยืน
- มาตรฐาน
- เริ่มต้น
- ยิ่งใหญ่
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- สนับสนุน
- ประหลาดใจ
- น่าแปลกใจ
- T
- เทคโนโลยี
- เทคโนโลยี
- เงื่อนไขการใช้บริการ
- กว่า
- ที่
- พื้นที่
- กฏหมาย
- โลก
- ของพวกเขา
- พวกเขา
- ตัวเอง
- ที่นั่น
- พวกเขา
- สิ่ง
- คิด
- ของบุคคลที่สาม
- นี้
- เหล่านั้น
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- เวลา
- ไปยัง
- ร่วมกัน
- ด้านบน
- ความโปร่งใส
- วางใจ
- พยายาม
- ภายใต้
- ขีด
- การปรับปรุง
- การเร่งรีบ
- การแนะนำ
- us
- รัฐบาลเรา
- ใช้
- ผู้ขาย
- Verizon
- VMware
- ปริมาณ
- vp
- ช่องโหว่
- ที่รอ
- คือ
- วอชิงตัน
- เคยเป็น
- ทาง..
- we
- น้ำหนัก
- ยินดีต้อนรับ
- คือ
- เมื่อ
- ในขณะที่
- ขาว
- ทำเนียบขาว
- Whitepaper
- ทั้งหมด
- จะ
- วินด์เซอร์
- กับ
- งาน
- โลก
- ทั่วโลก
- จะ
- ปี
- ปี
- เธอ
- ของคุณ
- ลมทะเล