NRC 发布改善网络和软件安全的建议

NRC 发布改善网络和软件安全的建议

时间戳记:26年2024月7日下午30:XNUMX
源节点: 3085180

 网络弹性 联盟 发布了旨在通过减少过时和配置不当的软件和硬件造成的漏洞来改善网络安全基础设施的建议。 NRC 成员与美国政府网络安全高层领导人在华盛顿特区举行的一次活动中概述了这些建议。

NRC 由网络安全政策和法律中心于 2023 年 XNUMX 月成立,旨在协调网络运营商和 IT 供应商,以提高其产品的网络弹性。 NRC 的 白皮书 包括解决安全软件开发和生命周期管理的建议,并采用安全设计和默认产品开发来提高软件供应链安全性。

NRC 的成员包括 AT&T、Broadcom、BT Group、Cisco、Fortinet、Intel、Juniper Networks、Lumen Technologies、Palo Alto Networks、Verizon 和 VMware。

该组织呼吁所有 IT 供应商留意政府的警告,即民族国家威胁行为者已加紧努力,通过利用未充分保护、修补或维护的硬件和软件漏洞来攻击关键基础设施。

他们的建议与拜登政府的建议一致 行政命令14208,呼吁现代化的网络安全标准,包括改进软件供应链的安全性。它们还映射到网络安全和基础设施安全局 (CISA) 设计和默认的安全性 指导方针以及政府去年发布的《网络安全法》。 

CISA 网络安全执行助理总监埃里克·戈尔茨坦 (Eric Goldstein) 表示,该小组的成立以及六个月后白皮书的发布是令人惊讶但值得欢迎的进展。 “坦率地说,即使在几年前,网络提供商、技术提供商和设备制造商聚集在一起并表示我们需要采取更多集体行动来推进产品生态系统的网络安全的想法仍然是一个外国概念,”戈尔茨坦说。在 NRC 活动期间。 “这将是令人厌恶的。”

采用 NIST 的 SSDF 和 OASIS Open EoX

NRC 呼吁供应商将其软件开发方法与 NIST 的方法相匹配 安全软件开发框架 (SDF),同时详细说明他们将支持和发布补丁的时间。此外,供应商应该单独发布安全补丁,而不是与功能更新捆绑在一起。同时,客户应该重视那些承诺单独发布关键补丁并符合 SSDF 的供应商。

此外,NRC 建议供应商支持 开放EoX是 OASIS 于 2023 年 XNUMX 月发起的一项举措,旨在标准化供应商如何识别风险并以机器可读的格式传达其发布的每种产品的报废详细信息。

思科首席信托官马特·福萨 (Matt Fussa) 表示,世界各国政府都在努力确定如何使其整体经济更加稳定、有弹性和安全。 Fussa 在本周的 NRC 新闻发布会上表示:“我认为,所有公司都与 CISA 和美国政府作为一个整体密切合作,推动最佳实践,例如制作软件账单和材料、参与和部署安全软件开发实践。”

Fussa 补充道,提高软件透明度、建立更安全的构建环境以及支持软件开发流程的举措将提高关键基础设施之外的安全性。 “随着这些事情成为行业规范,将会在政府之外产生溢出效应,”他说。 

在简报后立即举行的媒体问答中,思科的 Fussa 承认,供应商在遵守发布 SBOM 或对其产品中的开源和第三方组件进行自我认证的行政命令方面进展缓慢。 “令我们惊讶的一件事是,一旦我们准备好生产它们,它就不再是蟋蟀了,但产量却比我们预期的要低,”他说。 “我认为随着时间的推移,随着人们对如何使用它们感到满意,我们会看到这种情况有所回升并最终变得普遍。”

建议立即采取行动

Fussa 敦促利益相关者立即开始采用新报告中概述的做法。 “我鼓励大家紧急考虑这样做,紧急部署 SSDF,紧急构建和获取客户 SBOM,坦率地说,紧急推动安全,因为威胁行为者不会等待,他们正在积极寻找新的机会来攻击我们所有的网络。”

作为一个行业联盟,NRC 只能激励其成员遵循其建议。但由于白皮书与行政命令和 国家网络安全战略 Fussa 相信,遵守白宫去年发布的规定将使供应商为不可避免的情况做好准备。 “我将预测,您在本文中看到的许多建议将成为欧洲和美国法律的要求,”他补充道。

NCC 集团基础设施安全全球实践总监 Jordan LaRose 表示,ONCD 和 CISA 支持该联盟的努力是一项值得注意的认可。但读完这篇论文后,他不相信它提供了尚不可用的信息。 

“这份白皮书并不是非常详细,”拉罗斯说。 “它没有概述整个框架。它确实引用了 NIST SSDF,但我猜大多数人会提出的问题是,当他们可以直接阅读 NIST SSDF 时,他们是否需要阅读这份白皮书。”

尽管如此,LaRose 指出,它强调利益相关者需要接受潜在的要求和责任,如果他们不开发设计安全流程并实施建议的寿命终止模型,他们将面临这些要求和责任。

Fortinet 产品技术和解决方案高级副总裁 Carl Windsor 表示,从第一天起为产品构建安全性的任何努力都至关重要。 Windsor 表示,该报告包含 SSDF 以及 NIST 和 CISA 的其他工作,令他感到特别鼓舞。 “如果我们从第一天开始就按照 NIST 标准生产产品,那么我们就有 90% 到 95% 的时间符合世界各地发布的所有其他标准,”他说。

时间戳记:

更多来自 暗读