NRC видає рекомендації щодо покращення безпеки мережі та програмного забезпечення

Команда Стійкість мережі коаліція видав рекомендації, спрямовані на покращення інфраструктури безпеки мережі шляхом зменшення вразливостей, створених застарілим і неправильно налаштованим програмним і апаратним забезпеченням. Члени NRC разом із вищими керівниками уряду США з кібербезпеки виклали рекомендації на заході у Вашингтоні, округ Колумбія.

Заснована в липні 2023 року Центром політики та права кібербезпеки, NRC прагне об’єднати мережевих операторів та постачальників ІТ для підвищення кіберстійкості їхніх продуктів. NRC офіційний документ включає рекомендації щодо безпечної розробки програмного забезпечення та управління життєвим циклом, а також охоплює безпечну розробку за проектом і розробку продукту за замовчуванням для покращення безпеки ланцюга постачання програмного забезпечення.

Членами NRC є AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon і VMware.

Група закликає всіх постачальників ІТ прислухатися до попереджень уряду про те, що суб’єкти загроз національних держав активізували свої зусилля для атаки на критично важливу інфраструктуру, використовуючи вразливості апаратного та програмного забезпечення, які не були належним чином захищені, виправлені або обслуговувалися.

Їхні рекомендації збігаються з рекомендаціями адміністрації Байдена Розпорядження 14208, закликаючи до модернізованих стандартів кібербезпеки, включаючи покращену безпеку ланцюга постачання програмного забезпечення. Вони також відповідають Агентству з кібербезпеки та безпеки інфраструктури (CISA). Безпека за проектом і за замовчуванням вказівок і Закону про кібербезпеку адміністрації, виданого минулого року. 

Виконавчий помічник директора CISA з кібербезпеки Ерік Голдштейн назвав створення групи та випуск технічної документації через шість місяців несподіванкою, але бажаною подією. «Відверто кажучи, навіть кілька років тому ідея про те, щоб мережеві провайдери, постачальники технологій [і] виробники пристроїв об’єдналися й сказали, що нам потрібно робити більше колективно для просування кібербезпеки екосистеми продуктів, була б чужою концепцією», — сказав Голдштейн. під час заходу NRC. «Це було б анафемою».

Використовуючи SSDF NIST і OASIS Open EoX

NRC закликає постачальників зіставити свої методології розробки програмного забезпечення з NIST Secure Software Development Framework (SSDF), деталізуючи, як довго вони підтримуватимуть і випускатимуть патчі. Крім того, постачальники повинні випускати виправлення безпеки окремо, а не об’єднувати їх із оновленнями функцій. У той же час клієнти повинні приділяти увагу постачальникам, які зобов’язалися випускати критичні виправлення окремо та відповідати вимогам SSDF.

Крім того, NRC рекомендує підтримувати постачальників OpenEoX, ініціатива OASIS, започаткована у вересні 2023 року, спрямована на стандартизацію того, як постачальники визначають ризики та повідомляють деталі про закінчення терміну служби в машиночитаному форматі для кожного продукту, який вони випускають.

Уряди в усьому світі намагаються визначити, як зробити свою загальну економіку більш стабільною, стійкою та безпечною, сказав керівник довірчого управління Cisco Метт Фусса. «Я вважаю, що всі компанії тісно співпрацюють із CISA та урядом США в цілому, щоб використовувати найкращі практики, такі як виготовлення рахунків і матеріалів для програмного забезпечення, залучення та розгортання методів безпечної розробки програмного забезпечення», — сказав Фусса під час прес-конференції NRC цього тижня.

Ініціативи щодо підвищення прозорості програмного забезпечення, створення більш безпечних середовищ збірки та зміцнення процесів розробки програмного забезпечення призведуть до покращення безпеки не лише критичної інфраструктури, додав Фусса. «Буде побічний ефект за межами уряду, оскільки ці речі стануть нормою в галузі», – сказав він. 

Під час запитання та відповіді для ЗМІ, який відбувся відразу після брифінгу, Фусса з Cisco визнав, що постачальники повільно дотримуються розпоряджень щодо видачі SBOM або самоатестації компонентів із відкритим вихідним кодом і сторонніх компонентів у своїх пропозиціях. «Одна з речей, яка нас здивувала, полягає в тому, що як тільки ми були готові виробляти їх — це були не зовсім цвіркуни, але їх обсяг був меншим, ніж ми могли очікувати», — сказав він. «Я думаю, що з часом, коли люди зрозуміють, як ними користуватися, ми побачимо, що це засвоїться і зрештою стане поширеним».

Рекомендовано негайно вжити заходів

Фусса закликає зацікавлені сторони негайно розпочати впровадження практик, викладених у новому звіті. «Я б заохотив вас усіх подумати про те, щоб зробити це якнайшвидше, розгортати SSDF якнайшвидше, створювати та отримувати клієнтам SBOM з відчуттям терміновості та, чесно кажучи, забезпечувати безпеку з відчуттям терміновості, тому що суб’єкти загрози не чекають, і вони активно шукають нові можливості для використання проти всіх наших мереж».

Як галузевий консорціум, NRC може зайти лише до того, щоб заохотити своїх членів дотримуватися його рекомендацій. Але оскільки білий документ узгоджується з виконавчим наказом і Національна стратегія кібербезпеки опублікований Білим домом минулого року, Фусса вважає, що його дотримання підготує постачальників до неминучого. «Я спрогнозую, що багато пропозицій, які ви бачите в цьому документі, будуть вимогами законодавства як у Європі, так і в США», — додав він.

Джордан ЛаРоуз, глобальний директор з питань безпеки інфраструктури в NCC Group, каже, що ONCD і CISA стоять за зусиллями консорціуму є гідною підтримки. Але, прочитавши статтю, він не повірив, що вона пропонує інформацію, якої ще немає. 

«Цей офіційний документ не надто детальний, — каже ЛаРоз. «Це не окреслює всю структуру. Він справді посилається на NIST SSDF, але я думаю, що більшість людей поставить собі таке питання: чи потрібно їм читати цей офіційний документ, коли вони можуть просто піти й прочитати NIST SSDF».

Тим не менш, LaRose зазначає, що це підкреслює необхідність для зацікавлених сторін погодитися з потенційними вимогами та зобов’язаннями, з якими вони зіткнуться, якщо не розроблять безпечні процеси за проектом і не впровадять рекомендовані моделі завершення терміну служби.

Карл Віндзор, старший віце-президент із технологій продуктів і рішень у Fortinet, сказав, що будь-які зусилля з впровадження безпеки в продукти з першого дня є критично важливими. Віндзор сказав, що його особливо надихає те, що звіт охоплює SSDF та інші роботи NIST і CISA. «Якщо ми створимо наші продукти з першого дня, узгоджуючи їх зі стандартами NIST, ми на 90-95% досягнемо всіх інших стандартів, які з’являються в усьому світі», — сказав він.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security