La انعطاف پذیری شبکه ائتلاف توصیه هایی برای بهبود زیرساخت امنیت شبکه با کاهش آسیب پذیری های ایجاد شده توسط نرم افزارها و سخت افزارهای قدیمی و پیکربندی نادرست صادر کرد. اعضای NRC، به همراه رهبران ارشد امنیت سایبری دولت ایالات متحده، این توصیه ها را در رویدادی در واشنگتن دی سی بیان کردند.
NRC که در ژوئیه 2023 توسط مرکز سیاست و قانون امنیت سایبری تأسیس شد، به دنبال همسویی اپراتورهای شبکه و فروشندگان فناوری اطلاعات برای بهبود انعطاف پذیری سایبری محصولات خود است. NRC whitepaper شامل توصیههایی برای پرداختن به توسعه نرمافزار ایمن و مدیریت چرخه حیات، و توسعه محصول پیشفرض و ایمن برای بهبود زنجیره تامین نرمافزار را در بر میگیرد.
اعضای NRC عبارتند از AT&T، Broadcom، BT Group، Cisco، Fortinet، Intel، Juniper Networks، Lumen Technologies، Palo Alto Networks، Verizon و VMware.
این گروه از همه فروشندگان فناوری اطلاعات میخواهد که به هشدارهای دولت توجه کنند مبنی بر اینکه بازیگران تهدیدکننده دولت-ملت تلاشهای خود را برای حمله به زیرساختهای حیاتی با بهرهبرداری از آسیبپذیریهای سختافزاری و نرمافزاری که بهاندازه کافی ایمن، وصله یا نگهداری نشدهاند، افزایش دادهاند.
توصیه های آنها با دولت بایدن مطابقت دارد فرمان اجرایی 14208، خواستار استانداردهای مدرن امنیت سایبری، از جمله بهبود امنیت زنجیره تامین نرم افزار است. آنها همچنین به آژانس امنیت سایبری و امنیت زیرساخت (CISA) نقشه برداری می کنند. امنیت بر اساس طراحی و پیش فرض دستورالعمل و به قانون امنیت سایبری دولت صادر شده در سال گذشته.
اریک گلدشتاین، دستیار مدیر اجرایی امنیت سایبری CISA، تشکیل این گروه و انتشار وایت پیپر را شش ماه بعد به عنوان یک پیشرفت شگفتانگیز اما خوشآمد توصیف کرد. گلدشتاین گفت: «صادقانه بگویم، حتی چند سال پیش ایده ارائهدهندگان شبکه، ارائهدهندگان فناوری، و تولیدکنندگان دستگاهها گرد هم میآیند و میگویند که ما باید به طور جمعی برای پیشبرد امنیت سایبری اکوسیستم محصول تلاش بیشتری انجام دهیم، یک مفهوم خارجی بود. در جریان رویداد NRC "این ممکن بود کینه توز باشد."
با استقبال از SSDF NIST و OASIS Open EoX
NRC از فروشندگان می خواهد تا روش های توسعه نرم افزار خود را با NIST ترسیم کنند چارچوب توسعه نرم افزار امن (SSDF)، در حالی که جزئیات مدت زمان پشتیبانی و انتشار وصله ها را مشخص می کند. همچنین، فروشندگان باید وصلههای امنیتی را جداگانه منتشر کنند نه اینکه آنها را با بهروزرسانیهای ویژگی همراه کنند. در عین حال، مشتریان باید به فروشندگانی که متعهد به انتشار وصله های حیاتی جداگانه و مطابقت با SSDF هستند، اهمیت دهند.
علاوه بر این، NRC توصیه می کند که فروشندگان پشتیبانی کنند OpenEoX، تلاشی که در سپتامبر 2023 توسط OASIS برای استاندارد کردن نحوه شناسایی خطرات توسط ارائه دهندگان و برقراری ارتباط جزئیات پایان عمر در قالبی قابل خواندن توسط ماشین برای هر محصولی که عرضه می کنند، راه اندازی شد.
مت فوسا، مدیر ارشد اعتماد سیسکو، گفت که دولتها در سراسر جهان در تلاش هستند تا تعیین کنند چگونه اقتصاد کلی خود را باثباتتر، انعطافپذیرتر و ایمنتر کنند. فوسا در جریان رویداد مطبوعاتی این هفته NRC گفت: «فکر میکنم همه شرکتها با CISA و دولت ایالات متحده بهعنوان یک کل همکاری نزدیک دارند تا بهترین شیوهها مانند تولید صورتحسابها و مواد نرمافزاری، مشارکت و استقرار شیوههای توسعه نرمافزار امن را انجام دهند».
فوسا افزود، ابتکارات برای افزایش شفافیت در نرم افزار، ایجاد محیط های ساخت امن تر، و تقویت فرآیندهای توسعه نرم افزار منجر به بهبود امنیت فراتر از زیرساخت های حیاتی می شود. او گفت: «با تبدیل شدن آن چیزها به هنجارها در صنعت، یک اثر سرریز در خارج از دولت وجود خواهد داشت.
در طی یک پرسش و پاسخ رسانه ای که بلافاصله پس از جلسه توجیهی برگزار شد، Fussa از Cisco اذعان کرد که فروشندگان در پیروی از دستورات اجرایی برای صدور SBOM یا تأیید خود مؤلفه های منبع باز و شخص ثالث در پیشنهادات خود کند بوده اند. او گفت: "یکی از چیزهایی که ما از آن متعجب شدیم این بود که وقتی برای تولید آنها آماده شدیم - جیرجیرک کاملاً جیرجیرک نبود، اما حجم آن کمتر از آن چیزی بود که ما انتظار داشتیم." من فکر می کنم با گذشت زمان، از آنجایی که مردم با نحوه استفاده از آنها راحت بودند، ما شاهد این خواهیم بود که افزایش یابد و در نهایت رایج شود.
اقدام فوری توصیه می شود
فوسا از ذینفعان می خواهد که فوراً رویه های ذکر شده در گزارش جدید را اتخاذ کنند. من همه شما را تشویق میکنم که در مورد انجام این کار با فوریت فکر کنید، SSDF را با فوریت بکار ببرید، SBOMهای مشتریان خود را با احساس فوری بسازید و به دست آورید، و صادقانه بگویم که امنیت را با احساس فوریت هدایت کنید، زیرا عوامل تهدید منتظر نیستند. و آنها فعالانه به دنبال فرصتهای جدید برای سوء استفاده علیه تمام شبکههای ما هستند.»
به عنوان یک کنسرسیوم صنعتی، NRC تنها می تواند تا آنجا پیش برود که اعضای خود را برای پیروی از توصیه های خود تشویق کند. اما از آنجا که کاغذ سفید با دستور اجرایی و استراتژی ملی امنیت سایبری فوسا معتقد است که سال گذشته توسط کاخ سفید منتشر شد، پایبندی به آن فروشندگان را برای امر اجتناب ناپذیر آماده می کند. او افزود: «من پیشبینی میکنم که بسیاری از پیشنهاداتی که در این مقاله میبینید، الزامات قانون خواهند بود، هم در اروپا و هم در ایالات متحده.
جردن لارز، مدیر عملی جهانی امنیت زیرساخت در NCC Group، میگوید که داشتن ONCD و CISA در پشت تلاش این کنسرسیوم تأیید قابل توجهی است. اما پس از خواندن مقاله، او باور نداشت که اطلاعاتی را ارائه می دهد که قبلاً در دسترس نیست.
LaRose میگوید: «این وایت پیپر بسیار دقیق نیست. "این یک چارچوب کامل را ترسیم نمی کند. این به NIST SSDF اشاره می کند، اما من حدس می زنم سوالی که بیشتر مردم از خود می پرسند این است که آیا آنها نیاز به خواندن این وایت پیپر دارند در حالی که می توانند بروند و NIST SSDF را بخوانند.
با این وجود، LaRose اشاره میکند که بر نیاز ذینفعان برای کنار آمدن با الزامات و تعهدات بالقوهای که در صورت عدم توسعه فرآیندهای طراحی ایمن و اجرای مدلهای پایان عمر توصیهشده، با آنها روبرو هستند، تأکید میکند.
کارل ویندزور، معاون ارشد فناوری و راهحلهای محصولات در Fortinet، گفت که هرگونه تلاشی برای ایجاد امنیت در محصولات از روز اول حیاتی است. ویندزور گفت که او به ویژه تشویق می شود که این گزارش SSDF و سایر کارهای NIST و CISA را در بر می گیرد. او گفت: «اگر ما محصولات خود را از روز اول، مطابق با استانداردهای NIST بسازیم، 90 تا 95 درصد با سایر استانداردهایی که در سراسر جهان عرضه می شوند، پیش می رویم.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security
- :است
- :نه
- $UP
- 2023
- ٪۱۰۰
- a
- درباره ما
- تصدیق شده
- عمل
- عمل
- فعالانه
- بازیگران
- اضافه
- خطاب به
- به اندازه کافی
- چسبیدن
- تصویب
- پیشرفت
- در برابر
- پیش
- تراز
- تراز کردن
- تراز می کند
- معرفی
- قبلا
- همچنین
- an
- بیهوشی
- و
- و زیرساخت
- هر
- هستند
- دور و بر
- AS
- دستیار
- At
- AT & T
- حمله
- در دسترس
- BE
- زیرا
- شدن
- بوده
- پشت سر
- باور
- معتقد است که
- بهترین
- بهترین شیوه
- بهتر
- خارج از
- بایدن
- اسکناس
- بالا بردن
- هر دو
- جلسه توجیهی
- BT
- ساختن
- بنا
- اما
- by
- فراخوانی
- CAN
- مرکز
- زنجیر
- رئیس
- سیسکو
- نزدیک
- مجموعا
- بیا
- راحت
- آینده
- مرتکب شده
- مشترک
- ارتباط
- شرکت
- مطابق
- اجزاء
- مفهوم
- پیکربندی
- استوار
- کنسرسیوم
- میتوانست
- ایجاد شده
- بحرانی
- زیرساخت های بحرانی
- مشتریان
- سایبر
- امنیت سایبری
- امنیت سایبری
- روز
- dc
- به طور پیش فرض
- استقرار
- شرح داده شده
- دقیق
- جزئیات
- جزئیات
- مشخص کردن
- توسعه
- پروژه
- دستگاه
- مدیر
- do
- میکند
- ندارد
- عمل
- آیا
- راندن
- رانندگی
- در طی
- اقتصاد
- اکوسیستم
- اثر
- تلاش
- تلاش
- در آغوش می گیرد
- تشویق
- تشویق
- تایید..
- جذاب
- تمام
- محیط
- اریک
- به خصوص
- ایجاد
- اروپا
- حتی
- واقعه
- در نهایت
- هر
- اجرایی
- دستور اجرایی
- انتظار می رود
- بهره برداری
- بهره برداری از
- چهره
- بسیار
- ویژگی
- کمی از
- به دنبال
- پیروی
- برای
- خارجی
- قالب
- تشکیل
- Fortinet
- چارچوب
- از جانب
- گرفتن
- دادن
- جهانی
- Go
- دولت
- گروه
- راهنمایی
- سخت افزار
- آیا
- داشتن
- he
- برگزار شد
- خانه
- چگونه
- چگونه
- HTTPS
- i
- اندیشه
- شناسایی
- if
- بلافاصله
- انجام
- بهبود
- بهبود یافته
- بهبود
- in
- تشویق کردن
- شامل
- شامل
- از جمله
- صنعت
- اجتناب ناپذیر
- اطلاعات
- شالوده
- اینتل
- مورد نظر
- به
- صادر
- مسائل
- صدور
- IT
- ITS
- پیوست
- JPG
- جولای
- تنها
- نام
- پارسال
- بعد
- راه اندازی
- قانون
- رهبران
- بدهی ها
- wifecycwe
- پسندیدن
- ll
- طولانی
- خیلی
- کاهش
- واحد تشعشع برابر مقدار نوری که از یک شمع معمولی بین المللی ساطع میگردد
- ساخت
- مدیریت
- تولید کنندگان
- نقشه
- مصالح
- تکمیل یا پرداخت مات و بی جلا
- رسانه ها
- اعضا
- متدولوژی ها
- قدرت
- مدل
- ماه
- بیش
- اکثر
- گروه NCC
- نیاز
- شبکه
- امنیت شبکه
- شبکه
- شبکه
- جدید
- نیست
- هنجارها
- یادداشت
- قابل توجه
- واحه
- of
- ارائه شده
- پیشنهادات
- افسر
- on
- یک بار
- ONE
- فقط
- باز کن
- منبع باز
- اپراتور
- فرصت ها
- or
- سفارش
- سفارشات
- دیگر
- ما
- خارج
- طرح کلی
- مشخص شده
- خارج از
- روی
- به طور کلی
- پالو آلتو
- مقاله
- مشارکت کرد
- پچ های
- مردم
- انتخاب کنید
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- در برخواهد داشت
- پتانسیل
- تمرین
- شیوه های
- پیش گویی
- آماده
- فشار
- فرآیندهای
- تولید کردن
- تولید
- محصول
- توسعه محصول
- محصولات
- ارائه دهندگان
- پرسش و پاسخ
- سوال
- کاملا
- نسبتا
- خواندن
- اماده
- توصیه
- توصیه می شود
- توصیه می کند
- کاهش
- مرجع
- آزاد
- منتشر شد
- گزارش
- مورد نیاز
- حالت ارتجاعی
- انعطاف پذیر
- نتیجه
- خطر
- سعید
- همان
- گفته
- می گوید:
- امن
- امن
- تیم امنیت لاتاری
- دیدن
- به دنبال
- جستجو می کند
- ارشد
- حس
- سپتامبر
- باید
- شش
- شش ماه
- کند
- So
- تا حالا
- نرم افزار
- توسعه نرم افزار
- زنجیره تامین نرم افزار
- مزایا
- پایدار
- سهامداران
- ایستادن
- استانداردهای
- شروع
- فوق العاده
- عرضه
- زنجیره تامین
- پشتیبانی
- غافلگیر شدن
- تعجب آور
- فن آوری
- پیشرفته
- قوانین و مقررات
- نسبت به
- که
- La
- قانون
- جهان
- شان
- آنها
- خودشان
- آنجا.
- آنها
- اشیاء
- فکر می کنم
- شخص ثالث
- این
- کسانی که
- تهدید
- بازیگران تهدید
- زمان
- به
- با هم
- بالا
- شفافیت
- اعتماد
- تلاش
- زیر
- تأکید
- به روز رسانی
- ضرورت
- اصرار
- us
- دولت ایالات متحده
- استفاده کنید
- فروشندگان
- ورایزون
- آموزش VMware
- حجم
- vp
- آسیب پذیری ها
- منتظر
- بود
- واشنگتن
- نبود
- مسیر..
- we
- وزن
- خوش آمد
- بود
- چه زمانی
- در حین
- سفید
- کاخ سفید
- نشریه
- تمام
- اراده
- با
- مهاجرت کاری
- جهان
- در سرتاسر جهان
- خواهد بود
- سال
- سال
- شما
- شما
- زفیرنت