此篇文章发布距今已超过923天,您需要注意文章的内容或图片是否可用!
白宫在上周发布了新指南,要求联邦机构在 90 天内创建他们使用的软件的完整清单。白宫管理和预算办公室 (OMB) 主任莎兰达·扬在致所有行政部门和机构负责人的信中说,去年 5 月,总统拜登下达的一项范围广泛的网络安全行政命令指示美国国家标准与技术研究院 ( NIST)发布有关机构如何通过更安全的软件更好地保护政府系统的指南。既然 NIST 已经完成了指南的创建,OMB 希望所有机构都为与组织的计算机系统一起使用的任何第三方软件实施它。这些规则不适用于机构自己开发的软件。NIST 指南的主要原则之一是让机构要求软件生产商证明他们已遵循“基于风险的安全软件开发方法”,现在禁止机构使用不符合 NIST 指南的软件。软件供应商需要向代理机构发送一封关于产品安全特性、最近变化等的“自我证明”信。供应商还必须证明遵循“安全开发实践”。除了为所有使用的软件创建清单的 90 天期限外,机构首席信息官还有 120 天的时间来建立一个流程,将新要求传达给软件供应商。在 270 天内,代理机构需要从供应商那里收集有关“关键”软件的信件。机构将需要在明年 9 月之前收到供应商关于所有软件(关键软件和其他软件)的信函。这封信给了机构首席信息官一项额外的任务:他们有六个月的时间来培训员工,以验证软件公司在信中声称的内容。任何延期都需要在截止日期后的 30 天内申请。联邦首席信息安全官兼国家网络副主任德鲁沙表示,机构开始这一过程很重要,因为他们处理“从纳税申报表到退伍军人健康记录的所有事情”。德鲁沙特别指出,SolarWinds 丑闻是这些努力对机构来说至关重要的原因之一,并指出2020 年的事件导致多家联邦机构和公司受到添加到 SolarWinds 软件中的恶意代码的损害。这一微小的变化为联邦机构和私营部门公司的数字基础设施创造了一个后门。这起事件是过去两年发生的一系列网络入侵和重大软件漏洞之一,威胁到政府向公众提供服务,以及由政府管理的大量个人信息和商业数据的完整性。他补充说,这项工作的目标是确保“支持联邦机构工作的数百万行代码是按照行业安全标准构建的。”OMB 主任莎兰达·扬表示,这些任务是让机构在选择要使用的软件时定期使用 NIST 指南的更大努力的一部分。杨还概述了一个流程,在该流程中,供应商的“自我证明”信可以由联邦认证的组织或政府机构提供的第三方评估来补充或替代。致机构的信中补充说,他们可以要求提供软件材料清单 (SBOM) ——构成软件的部件的成分清单。最近几个月,网络安全和基础设施安全局 (CISA) 在全行业推动了使 SBOM 成为发布任何软件的通用部分,希望这种做法能够更容易地找到潜在的易受攻击的功能。网络安全专家和立法者表示,SBOM 将使组织更容易处理诸如 2021 年 12 月发现的Log4j 漏洞之类的问题,因为它有助于确定他们是否处于风险之中以及如何减轻威胁。OMB 正在与 CISA 和总务管理局合作,为软件证明创建一个集中存储库。CISA 还被要求在明年完成一系列任务,其中包括制定一些机构需要遵循的指导方针。德鲁沙解释说,发布的指南是在公共和私营部门以及学术界的投入下创建的。他补充说,这将使联邦当局在发现新漏洞时更容易快速识别安全漏洞。不久前,软件质量的唯一真正标准是它是否像宣传的那样工作。面对联邦机构面临的网络威胁,我们的技术必须以具有弹性和安全性的方式开发,确保向美国人民提供关键服务,同时保护美国公众的数据并防范外国对手。VMware 的首席网络安全策略师麦克尔罗伊告诉我们,虽然时间表“看起来很激进”,但公告中列出的所有目标都是“值得的,而且早就应该实现”。他补充说,这将对任何向政府机构提供技术服务或软件的供应商产生重大影响,并指出供应商现在需要准备好应对概述的要求。此外,由于政府在软件上花费了数十亿美元,这些要求可能会产生下游影响——软件开发人员可能会决定将这些功能提供给普通客户。沉浸式实验室(Immersive Labs) 的凯文布林解释说,高管们专注于将新产品快速推向市场意味着网络安全并不总是最重要的,这可能会使公司面临数百万的收入损失和品牌声誉受损的风险。前奥巴马政府网络安全专员汤姆·凯勒曼告诉我们,由于大量专门针对软件开发、集成和交付基础设施的网络犯罪分子和间谍,软件供应链现在受到围攻。鉴于最近软件供应链网络攻击的复杂性,确保软件完整性对于保护联邦系统的系统性网络攻击至关重要。德鲁沙说,软件更改是拜登-哈里斯政府为实现机构网络安全实践现代化、改进对威胁的检测和响应以及“快速调查并从网络攻击中恢复”而做出的更大努力的一部分。发布的指南将帮助我们在支撑现代世界的数字基础设施中建立信任和透明度,并使我们能够履行承诺,继续以身作则。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客
还没有评论,来说两句吧...