• مرونة الشبكة الائتلاف أصدرت توصيات تهدف إلى تحسين البنية التحتية لأمن الشبكة عن طريق تقليل نقاط الضعف التي أنشأتها البرامج والأجهزة القديمة والتي تم تكوينها بشكل غير صحيح. وقد قام أعضاء المجلس النرويجي للاجئين، الذين انضم إليهم كبار قادة الأمن السيبراني في الحكومة الأمريكية، بوضع الخطوط العريضة للتوصيات في حدث أقيم في واشنطن العاصمة.
يسعى المجلس النرويجي للاجئين، الذي أنشأه مركز سياسة وقانون الأمن السيبراني في يوليو 2023، إلى مواءمة مشغلي الشبكات وبائعي تكنولوجيا المعلومات لتحسين المرونة السيبرانية لمنتجاتهم. المجلس النرويجي للاجئين المستند التقني يتضمن توصيات لمعالجة تطوير البرامج الآمنة وإدارة دورة الحياة، ويتبنى التصميم الآمن وتطوير المنتجات الافتراضية لتحسين أمان سلسلة توريد البرامج.
يشمل أعضاء المجلس النرويجي للاجئين AT&T، وBroadcom، وBT Group، وCisco، وFortinet، وIntel، وJuniper Networks، وLumen Technologies، وPalo Alto Networks، وVerizon، وVMware.
وتدعو المجموعة جميع بائعي تكنولوجيا المعلومات إلى الاستجابة للتحذيرات الحكومية بأن الجهات الفاعلة في تهديد الدولة القومية قد كثفت جهودها لمهاجمة البنية التحتية الحيوية من خلال استغلال نقاط الضعف في الأجهزة والبرامج التي لم يتم تأمينها أو تصحيحها أو صيانتها بشكل كافٍ.
وتتوافق توصياتهم مع توصيات إدارة بايدن الأمر التنفيذي 14208، داعيا إلى معايير الأمن السيبراني الحديثة، بما في ذلك تحسين أمن سلسلة توريد البرمجيات. كما أنها تحدد أيضًا وكالة الأمن السيبراني وأمن البنية التحتية (CISA) الأمان حسب التصميم والافتراضي التوجيهات وقانون الأمن السيبراني الذي أصدرته الإدارة العام الماضي.
ووصف إريك جولدستين، المدير التنفيذي المساعد للأمن السيبراني في CISA، تشكيل المجموعة وإصدار الورقة البيضاء بعد ستة أشهر بأنه تطور مفاجئ ولكنه مرحب به. وقال غولدستين: "بصراحة، حتى قبل بضع سنوات، كانت الفكرة المتمثلة في اجتماع مقدمي الشبكات ومقدمي التكنولوجيا ومصنعي الأجهزة والقول إننا بحاجة إلى بذل المزيد من الجهد بشكل جماعي لتعزيز الأمن السيبراني للنظام البيئي للمنتج مفهومًا أجنبيًا". خلال حدث NRC. "كان من الممكن أن يكون لعنة."
احتضان SSDF الخاص بـ NIST وOASIS Open EoX
يدعو المجلس النرويجي للاجئين البائعين إلى رسم خريطة لمنهجيات تطوير البرمجيات الخاصة بهم مع NIST إطار عمل تطوير البرمجيات الآمنة (SSDF)، مع توضيح المدة التي سيستمرون فيها في دعم التصحيحات وإصدارها. كما يجب على البائعين إصدار تصحيحات الأمان بشكل منفصل بدلاً من تجميعها مع تحديثات الميزات. وفي الوقت نفسه، يجب على العملاء إعطاء وزن للموردين الذين التزموا بإصدار التصحيحات المهمة بشكل منفصل والتوافق مع SSDF.
علاوة على ذلك، يوصي المجلس النرويجي للاجئين بدعم البائعين أوبن إيوكس، وهو جهد أطلقته OASIS في سبتمبر 2023 لتوحيد كيفية تحديد مقدمي الخدمات للمخاطر وإبلاغ تفاصيل نهاية العمر بتنسيق يمكن قراءته آليًا لكل منتج يصدرونه.
قال مات فوسا، كبير مسؤولي الثقة في شركة Cisco، إن الحكومات في جميع أنحاء العالم تحاول تحديد كيفية جعل اقتصاداتها بشكل عام أكثر استقرارًا ومرونة وأمانًا. وقال فوسا خلال الحدث الصحفي الذي عقده المجلس النرويجي للاجئين هذا الأسبوع: "أعتقد أن جميع الشركات تعقد شراكة وثيقة مع CISA والحكومة الأمريكية ككل لدفع أفضل الممارسات مثل إنتاج فواتير البرامج والمواد والمشاركة في ممارسات تطوير البرمجيات الآمنة ونشرها".
وأضاف فوسا أن المبادرات الرامية إلى تعزيز الشفافية في البرمجيات، وإنشاء بيئات بناء أكثر أمانًا، ودعم عمليات تطوير البرمجيات ستؤدي إلى تحسين الأمان بما يتجاوز مجرد البنية التحتية الحيوية. وقال: "سيكون هناك تأثير غير مباشر خارج الحكومة حيث تصبح هذه الأشياء معايير في الصناعة".
خلال جلسة الأسئلة والأجوبة الإعلامية التي عُقدت مباشرة بعد الإحاطة الإعلامية، اعترف فوسا من Cisco بأن البائعين كانوا بطيئين في الامتثال للأوامر التنفيذية لإصدار SBOMs أو المصادقة الذاتية للمكونات مفتوحة المصدر ومكونات الطرف الثالث في عروضهم. وقال: "أحد الأشياء التي فوجئنا بها هو أنه بمجرد أن أصبحنا مستعدين لإنتاجها - لم تكن صراصير الليل تمامًا، ولكن كان حجمها أقل مما توقعنا". "أعتقد أنه بمرور الوقت، وبما أن الناس كانوا مرتاحين لكيفية استخدامها، فسوف نرى ذلك يتزايد ويصبح شائعًا في النهاية."
يوصى باتخاذ إجراء فوري
وتحث فوسا أصحاب المصلحة على البدء في تبني الممارسات الموضحة في التقرير الجديد على الفور. "أود أن أشجعكم جميعًا على التفكير في القيام بذلك على وجه السرعة، ونشر SSDF على وجه السرعة، وبناء عملاء SBOMs والحصول عليهم مع الشعور بالإلحاح، وبصراحة دفع الأمن مع الشعور بالإلحاح، لأن الجهات الفاعلة في مجال التهديد لا تنتظر، وهم يبحثون بنشاط عن فرص جديدة لاستغلالها ضد جميع شبكاتنا.
وباعتبارها اتحادًا صناعيًا، لا يمكن للمجلس النرويجي للاجئين أن يذهب إلى أبعد من ذلك من خلال تحفيز أعضائه على اتباع توصياته. ولكن نظرًا لأن المستند التقني يتوافق مع الأمر التنفيذي و الاستراتيجية الوطنية للأمن السيبراني والذي أصدره البيت الأبيض العام الماضي، يعتقد فوسا أن الالتزام به سيُعِد البائعين لما لا مفر منه. وأضاف: "سأتنبأ بأن الكثير من الاقتراحات التي ترونها في هذه الورقة ستكون متطلبات بموجب القانون، في كل من أوروبا والولايات المتحدة".
يقول جوردان لاروز، مدير الممارسة العالمية لأمن البنية التحتية في مجموعة NCC، إن وجود ONCD وCISA وراء جهود الكونسورتيوم يعد بمثابة تأييد جدير بالملاحظة. لكن بعد قراءته للورقة، لم يعتقد أنها تقدم معلومات غير متوفرة بالفعل.
يقول لاروز: "هذه الورقة البيضاء ليست مفصلة للغاية". "إنها لا تحدد إطارًا كاملاً. إنها تشير إلى NIST SSDF ولكن أعتقد أن السؤال الذي سيطرحه معظم الناس على أنفسهم هو، هل يحتاجون إلى قراءة هذه الورقة البيضاء عندما يمكنهم فقط الذهاب وقراءة NIST SSDF.
ومع ذلك، يشير لاروز إلى أنه يؤكد على حاجة أصحاب المصلحة إلى التصالح مع المتطلبات والمسؤوليات المحتملة التي سيواجهونها إذا لم يطوروا عمليات تصميم آمنة وتنفيذ نماذج نهاية العمر الموصى بها.
قال كارل وندسور، نائب الرئيس الأول لتكنولوجيا المنتجات والحلول في Fortinet، إن أي جهد لبناء الأمان في المنتجات منذ اليوم الأول يعد أمرًا بالغ الأهمية. وقال وندسور إنه متشجع بشكل خاص لأن التقرير يشمل SSDF والأعمال الأخرى التي قام بها NIST وCISA. وقال: "إذا قمنا ببناء منتجاتنا من اليوم الأول، بما يتوافق مع معايير NIST، فإننا نكون قد قطعنا 90 إلى 95% من الطريق مع جميع المعايير الأخرى التي تظهر في جميع أنحاء العالم".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security
- :يكون
- :ليس
- $ UP
- 2023
- 95%
- a
- من نحن
- واعترف
- عمل
- اكشن
- بنشاط
- الجهات الفاعلة
- وأضاف
- معالجة
- كاف
- الانضمام
- اعتماد
- تقدم
- ضد
- منذ
- محاذاة
- المحاذاة
- يحاذي
- الكل
- سابقا
- أيضا
- an
- لعنة
- و
- والبنية التحتية
- أي وقت
- هي
- حول
- AS
- المساعد
- At
- AT & T
- مهاجمة
- متاح
- BE
- لان
- أصبح
- كان
- وراء
- اعتقد
- يعتقد
- أفضل
- أفضل الممارسات
- أفضل
- Beyond
- بايدن
- فواتير
- زيادة
- على حد سواء
- إحاطة
- BT
- نساعدك في بناء
- ابني
- لكن
- by
- دعوة
- CAN
- مركز
- سلسلة
- رئيس
- سيسكو
- عن كثب
- جماعي
- تأتي
- مريح
- آت
- ملتزم
- مشترك
- التواصل
- الشركات
- الامتثال
- مكونات
- مفهوم
- تكوين
- ثابتة
- جمعية
- استطاع
- خلق
- حرج
- بنية تحتية حرجة
- العملاء
- الانترنت
- الأمن الإلكتروني
- الأمن السيبراني
- يوم
- dc
- الترتيب
- نشر
- وصف
- مفصلة
- تفصيل
- تفاصيل
- حدد
- تطوير
- التطوير التجاري
- جهاز
- مدير المدارس
- do
- هل
- لا توجد الآن
- فعل
- لا
- قيادة
- قيادة
- أثناء
- الاقتصادات
- النظام الإيكولوجي
- تأثير
- جهد
- جهود
- عناقات
- شجع
- شجع
- تَأيِيد..
- جذاب
- كامل
- البيئات
- إيريك
- خاصة
- إنشاء
- أوروبا
- حتى
- الحدث/الفعالية
- في النهاية
- كل
- تنفيذي
- أمر تنفيذي
- متوقع
- استغلال
- استغلال
- الوجه
- بعيدا
- الميزات
- قليل
- اتباع
- متابعيك
- في حالة
- أجنبي
- شكل
- تشكيل
- فورتينت
- الإطار
- تبدأ من
- الحصول على
- منح
- العالمية
- Go
- حكومة
- تجمع
- توجيه
- أجهزة التبخير
- يملك
- وجود
- he
- عقد
- منـزل
- كيفية
- كيفية
- HTTPS
- i
- فكرة
- تحديد
- if
- فورا
- تنفيذ
- تحسن
- تحسن
- تحسين
- in
- تحفيز
- تتضمن
- يشمل
- بما فيه
- العالمية
- لا مفر منه
- معلومات
- البنية التحتية
- إنتل
- معد
- إلى
- نشر
- مسائل
- إصدار
- IT
- انها
- انضم
- JPG
- يوليو
- م
- اسم العائلة
- العام الماضي
- الى وقت لاحق
- أطلقت
- القانون
- قادة
- الخصوم
- دورة حياة
- مثل
- ll
- طويل
- الكثير
- خفض
- تجويف عضو
- جعل
- إدارة
- الشركات المصنعة
- رسم خريطة
- المواد
- مات
- الوسائط
- الأعضاء
- المنهجيات
- ربما
- عارضات ازياء
- المقبلة.
- الأكثر من ذلك
- أكثر
- مجموعة NCC
- حاجة
- شبكة
- شبكة الأمن
- الشبكات
- الشبكات
- جديد
- نيست
- المعايير
- ملاحظة
- جدير بالملاحظة
- واحة
- of
- عرضت
- عروض
- امين شرطة منزل فؤاد
- on
- مرة
- ONE
- فقط
- جاكيت
- المصدر المفتوح
- مشغلي
- الفرص
- or
- طلب
- الطلبات
- أخرى
- لنا
- خارج
- الخطوط العريضة
- أوجز
- في الخارج
- على مدى
- الكلي
- بالو ألتو
- ورق
- شراكة
- بقع
- مجتمع
- اختيار
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسة
- تشكل
- محتمل
- ممارسة
- الممارسات
- تنبؤ
- إعداد
- صحافة
- العمليات
- إنتاج
- إنتاج
- المنتج
- تطوير المنتج
- المنتجات
- مقدمي
- سؤال وجواب
- سؤال
- تماما
- بدلا
- عرض
- استعداد
- ساندي خ. ميليك
- موصى به
- توصي
- تقليص
- مرجع
- الافراج عن
- صدر
- تقرير
- المتطلبات الأساسية
- مرونة
- مرن
- نتيجة
- المخاطرة
- قال
- نفسه
- قول
- يقول
- تأمين
- مضمون
- أمن
- انظر تعريف
- تسعى
- تسعى
- كبير
- إحساس
- سبتمبر
- ينبغي
- SIX
- ستة أشهر
- بطيء
- So
- حتى الآن
- تطبيقات الكمبيوتر
- تطوير البرمجيات
- سلسلة توريد البرمجيات
- الحلول
- مستقر
- أصحاب المصلحة
- موقف
- المعايير
- بداية
- فائق
- تزويد
- سلسلة التوريد
- الدعم
- مندهش
- مفاجئ
- التكنولوجيا
- تكنولوجيا
- سياسة الحجب وتقييد الوصول
- من
- أن
- •
- القانون
- العالم
- من مشاركة
- منهم
- أنفسهم
- هناك.
- هم
- الأشياء
- اعتقد
- طرف ثالث
- هؤلاء
- التهديد
- الجهات التهديد
- الوقت
- إلى
- سويا
- تيشرت
- الشفافية
- الثقة
- يحاول
- مع
- يؤكد
- آخر التحديثات
- إلحاح
- وحث
- us
- الحكومة الأمريكية
- تستخدم
- الباعة
- فيريزون
- في إم وير
- حجم
- vp
- نقاط الضعف
- انتظار
- وكان
- واشنطن
- لم يكن
- طريق..
- we
- وزن
- ترحيب
- كان
- متى
- في حين
- أبيض
- البيت الابيض
- منهجنا
- كامل
- سوف
- مع
- للعمل
- العالم
- في جميع أنحاء العالم
- سوف
- عام
- سنوات
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت