NRC ออกคำแนะนำเพื่อเครือข่ายที่ดีขึ้น ความปลอดภัยของซอฟต์แวร์

พื้นที่ ความยืดหยุ่นของเครือข่าย รัฐบาลผสม ออกคำแนะนำที่มีจุดประสงค์เพื่อปรับปรุงโครงสร้างพื้นฐานความปลอดภัยเครือข่ายโดยการลดความเสี่ยงที่สร้างขึ้นโดยซอฟต์แวร์และฮาร์ดแวร์ที่ล้าสมัยและกำหนดค่าไม่ถูกต้อง สมาชิก NRC พร้อมด้วยผู้นำด้านความปลอดภัยทางไซเบอร์ระดับสูงของรัฐบาลสหรัฐฯ ได้สรุปคำแนะนำที่งานในกรุงวอชิงตัน ดี.ซี.

NRC ก่อตั้งขึ้นในเดือนกรกฎาคม พ.ศ. 2023 โดยศูนย์นโยบายและกฎหมายความปลอดภัยทางไซเบอร์ โดยมีวัตถุประสงค์เพื่อประสานผู้ให้บริการเครือข่ายและผู้จำหน่ายไอทีเพื่อปรับปรุงความสามารถในการฟื้นตัวทางไซเบอร์ของผลิตภัณฑ์ของตน กสทช whitepaper รวมถึงคำแนะนำสำหรับการจัดการการพัฒนาซอฟต์แวร์ที่ปลอดภัยและการจัดการวงจรการใช้งาน และยอมรับการออกแบบที่ปลอดภัยและการพัฒนาผลิตภัณฑ์เริ่มต้นเพื่อปรับปรุงความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

สมาชิกของ NRC ได้แก่ AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon และ VMware

ทางกลุ่มเรียกร้องให้ผู้จำหน่ายไอทีทุกรายปฏิบัติตามคำเตือนของรัฐบาลว่าผู้ก่อภัยคุกคามระดับรัฐได้เพิ่มความพยายามในการโจมตีโครงสร้างพื้นฐานที่สำคัญโดยการใช้ประโยชน์จากช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์ที่ไม่ได้รับการรักษาความปลอดภัย แพตช์ หรือบำรุงรักษาอย่างเพียงพอ

คำแนะนำของพวกเขาสอดคล้องกับฝ่ายบริหารของ Biden สั่งซื้อ 14208 บริหารเรียกร้องให้มีมาตรฐานความปลอดภัยทางไซเบอร์ที่ทันสมัย ​​รวมถึงการปรับปรุงความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ พวกเขายังเชื่อมโยงกับ Cybersecurity และ Infrastructure Security Agency (CISA) ความปลอดภัยโดยการออกแบบและค่าเริ่มต้น คำแนะนำและพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ของฝ่ายบริหารที่ออกเมื่อปีที่แล้ว 

Eric Goldstein ผู้ช่วยผู้อำนวยการบริหารฝ่ายความปลอดภัยทางไซเบอร์ของ CISA กล่าวถึงการก่อตั้งกลุ่มและการเปิดตัว whitepaper ในอีกหกเดือนต่อมาว่าเป็นการพัฒนาที่น่าประหลาดใจแต่ก็น่ายินดี “จริงๆ แล้ว ความคิดเมื่อไม่กี่ปีก่อนของผู้ให้บริการเครือข่าย ผู้ให้บริการเทคโนโลยี [และ] ผู้ผลิตอุปกรณ์มารวมตัวกันและบอกว่าเราจำเป็นต้องร่วมมือกันมากขึ้นเพื่อพัฒนาความปลอดภัยทางไซเบอร์ของระบบนิเวศของผลิตภัณฑ์ จะเป็นแนวคิดที่ต่างประเทศ” Goldstein กล่าว ในระหว่างงาน กสท. “มันคงเป็นคำสาปแช่ง”

รองรับ SSDF และ OASIS Open EoX ของ NIST

NRC เรียกร้องให้ผู้จำหน่ายจัดทำแผนที่วิธีการพัฒนาซอฟต์แวร์ของตนกับ NIST กรอบการพัฒนาซอฟต์แวร์ที่ปลอดภัย (SSDF)พร้อมให้รายละเอียดว่าพวกเขาจะสนับสนุนและปล่อยแพตช์นานแค่ไหน นอกจากนี้ ผู้จำหน่ายควรเผยแพร่แพตช์รักษาความปลอดภัยแยกต่างหาก แทนที่จะรวมเข้ากับการอัปเดตฟีเจอร์ ในเวลาเดียวกัน ลูกค้าควรให้น้ำหนักกับผู้จำหน่ายที่มุ่งมั่นที่จะออกแพตช์สำคัญแยกต่างหากและปฏิบัติตาม SSDF

นอกจากนี้ NRC แนะนำให้ผู้ขายสนับสนุน OpenEoXซึ่งเป็นความพยายามที่เปิดตัวในเดือนกันยายน 2023 โดย OASIS เพื่อสร้างมาตรฐานให้กับวิธีที่ผู้ให้บริการระบุความเสี่ยงและสื่อสารรายละเอียดการสิ้นสุดอายุการใช้งานในรูปแบบที่เครื่องอ่านได้สำหรับทุกผลิตภัณฑ์ที่พวกเขาเปิดตัว

รัฐบาลทั่วโลกกำลังพยายามหาวิธีทำให้เศรษฐกิจโดยรวมของตนมีเสถียรภาพ ฟื้นตัวได้และปลอดภัยมากขึ้น Matt Fussa ประธานเจ้าหน้าที่ฝ่ายความไว้วางใจของ Cisco กล่าว “ผมคิดว่าบริษัททั้งหมดร่วมมือกันอย่างใกล้ชิดกับ CISA และรัฐบาลสหรัฐฯ โดยรวมเพื่อขับเคลื่อนแนวปฏิบัติที่ดีที่สุด เช่น การผลิตบิลและวัสดุซอฟต์แวร์ มีส่วนร่วมและปรับใช้แนวปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัย” Fussa กล่าวระหว่างงานแถลงข่าวของ NRC ในสัปดาห์นี้

ความคิดริเริ่มเพื่อเพิ่มความโปร่งใสในซอฟต์แวร์ สร้างสภาพแวดล้อมการสร้างที่ปลอดภัยยิ่งขึ้น และสนับสนุนกระบวนการพัฒนาซอฟต์แวร์จะส่งผลให้มีความปลอดภัยที่ดีขึ้น นอกเหนือจากโครงสร้างพื้นฐานที่สำคัญ Fussa กล่าวเสริม “จะมีผลกระทบล้นออกมานอกรัฐบาล เนื่องจากสิ่งเหล่านั้นกลายเป็นบรรทัดฐานในอุตสาหกรรม” เขากล่าว 

ในระหว่างการถามตอบสื่อที่จัดขึ้นทันทีหลังจากการบรรยายสรุป Fussa ของ Cisco ยอมรับว่าผู้ขายดำเนินการช้าในการปฏิบัติตามคำสั่งของผู้บริหารในการออก SBOM หรือการรับรองตนเองของส่วนประกอบโอเพ่นซอร์สและบุคคลที่สามในข้อเสนอของพวกเขา “สิ่งหนึ่งที่เราประหลาดใจคือเมื่อเราพร้อมที่จะผลิตพวกมันแล้ว มันอาจไม่ใช่จิ้งหรีด แต่มีปริมาณน้อยกว่าที่เราคาดไว้” เขากล่าว “ฉันคิดว่าเมื่อเวลาผ่านไป เนื่องจากผู้คนคุ้นเคยกับวิธีใช้แล้ว เราก็จะเห็นสิ่งนั้นเพิ่มขึ้นและกลายเป็นเรื่องธรรมดาในที่สุด”

แนะนำให้ดำเนินการทันที

Fussa เรียกร้องให้ผู้มีส่วนได้ส่วนเสียเริ่มนำแนวทางปฏิบัติที่ระบุไว้ในรายงานฉบับใหม่มาใช้ทันที “ฉันขอแนะนำให้คุณทุกคนคิดเกี่ยวกับการดำเนินการนี้ด้วยความเร่งด่วน ปรับใช้ SSDF อย่างเร่งด่วน สร้างและรับ SBOM ของลูกค้าของคุณด้วยความรู้สึกเร่งด่วน และขับเคลื่อนการรักษาความปลอดภัยอย่างตรงไปตรงมาด้วยความรู้สึกถึงความเร่งด่วน เนื่องจากผู้แสดงภัยคุกคามไม่ได้รออยู่ และพวกเขากำลังแสวงหาโอกาสใหม่ ๆ เพื่อใช้ประโยชน์จากเครือข่ายทั้งหมดของเรา”

ในฐานะสมาคมอุตสาหกรรม NRC ทำได้เพียงสร้างแรงจูงใจให้สมาชิกปฏิบัติตามคำแนะนำเท่านั้น แต่เนื่องจากสมุดปกขาวสอดคล้องกับคำสั่งผู้บริหารและ ยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งเผยแพร่โดยทำเนียบขาวเมื่อปีที่แล้ว Fussa เชื่อว่าการปฏิบัติตามข้อกำหนดดังกล่าวจะเตรียมผู้ขายให้พร้อมสำหรับสิ่งที่หลีกเลี่ยงไม่ได้ “ผมจะคาดการณ์ว่าข้อเสนอแนะจำนวนมากที่คุณเห็นในเอกสารฉบับนี้จะเป็นข้อกำหนดภายใต้กฎหมาย ทั้งในยุโรปและสหรัฐอเมริกา” เขากล่าวเสริม

Jordan LaRose ผู้อำนวยการฝ่ายปฏิบัติการระดับโลกด้านความปลอดภัยโครงสร้างพื้นฐานของ NCC Group กล่าวว่าการมี ONCD และ CISA อยู่เบื้องหลังความพยายามของกลุ่มนี้ถือเป็นการรับรองที่สำคัญ แต่เมื่ออ่านบทความนี้แล้ว เขาไม่เชื่อว่าบทความนี้จะให้ข้อมูลที่ยังไม่มีให้ 

“เอกสารไวท์เปเปอร์นี้ไม่มีรายละเอียดมากนัก” LaRose กล่าว “มันไม่ได้สรุปกรอบการทำงานทั้งหมด มันอ้างอิงถึง NIST SSDF แต่ฉันเดาว่าคำถามที่คนส่วนใหญ่จะตั้งคำถามคือ พวกเขาจำเป็นต้องอ่านเอกสารไวท์เปเปอร์นี้หรือไม่ ในเมื่อพวกเขาสามารถไปอ่าน NIST SSDF ได้”

อย่างไรก็ตาม LaRose ตั้งข้อสังเกตว่า บริษัทเน้นย้ำถึงความจำเป็นของผู้มีส่วนได้ส่วนเสียที่จะต้องตกลงกับข้อกำหนดและความรับผิดที่อาจเกิดขึ้นซึ่งพวกเขาเผชิญ หากพวกเขาไม่พัฒนากระบวนการที่ปลอดภัยโดยการออกแบบ และใช้โมเดลการสิ้นสุดอายุการใช้งานที่แนะนำ

คาร์ล วินด์เซอร์ รองประธานอาวุโสฝ่ายเทคโนโลยีผลิตภัณฑ์และโซลูชั่นของ Fortinet กล่าวว่าความพยายามใดๆ ที่จะสร้างความปลอดภัยให้กับผลิตภัณฑ์ตั้งแต่วันแรกนั้นเป็นสิ่งสำคัญ วินด์เซอร์กล่าวว่าเขาได้รับการสนับสนุนเป็นพิเศษที่รายงานนี้ครอบคลุม SSDF และงานอื่นๆ ของ NIST และ CISA “หากเราสร้างผลิตภัณฑ์ของเราตั้งแต่วันแรก โดยสอดคล้องกับมาตรฐานของ NIST เราจะได้ 90 ถึง 95% ของมาตรฐานอื่นๆ ทั้งหมดที่ออกมาทั่วโลก” เขากล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security