NRC بہتر نیٹ ورک، سافٹ ویئر سیکیورٹی کے لیے سفارشات جاری کرتا ہے۔

۔ نیٹ ورک لچک اتحاد پرانے اور غلط طریقے سے تشکیل شدہ سافٹ ویئر اور ہارڈ ویئر کے ذریعے پیدا ہونے والی کمزوریوں کو کم کرکے نیٹ ورک سیکیورٹی کے بنیادی ڈھانچے کو بہتر بنانے کے لیے سفارشات جاری کیں۔ NRC کے اراکین، جن میں امریکی حکومت کے سائبر سیکیورٹی کے اعلیٰ رہنماؤں نے شمولیت اختیار کی، نے واشنگٹن ڈی سی میں ایک تقریب میں سفارشات کا خاکہ پیش کیا۔

سنٹر فار سائبرسیکیوریٹی پالیسی اینڈ لاء کے ذریعہ جولائی 2023 میں قائم کیا گیا، NRC نیٹ ورک آپریٹرز اور IT وینڈرز کو ان کی مصنوعات کی سائبر لچک کو بہتر بنانے کے لیے صف بندی کرنے کی کوشش کرتا ہے۔ این آر سی کے whitepaper اس میں محفوظ سافٹ ویئر ڈویلپمنٹ اور لائف سائیکل مینجمنٹ سے نمٹنے کے لیے سفارشات شامل ہیں، اور سافٹ ویئر سپلائی چین سیکیورٹی کو بہتر بنانے کے لیے محفوظ بہ ڈیزائن اور ڈیفالٹ پروڈکٹ ڈویلپمنٹ کو اپناتا ہے۔

NRC کے اراکین میں AT&T، Broadcom، BT گروپ، Cisco، Fortinet، Intel، Juniper Networks، Lumen Technologies، Palo Alto Networks، Verizon، اور VMware شامل ہیں۔

یہ گروپ تمام آئی ٹی وینڈرز سے حکومتی انتباہات پر دھیان دینے کا مطالبہ کر رہا ہے کہ قومی ریاست کے خطرے والے اداکاروں نے ہارڈ ویئر اور سافٹ ویئر کی کمزوریوں کا فائدہ اٹھا کر اہم انفراسٹرکچر پر حملہ کرنے کی اپنی کوششیں تیز کر دی ہیں جو مناسب طور پر محفوظ، پیچ یا برقرار نہیں ہیں۔

ان کی سفارشات بائیڈن انتظامیہ کے مطابق ہیں۔ ایگزیکٹو آرڈر 14208، جدید ترین سائبرسیکیوریٹی معیارات کا مطالبہ کرتے ہیں، بشمول بہتر سافٹ ویئر سپلائی چین سیکیورٹی۔ وہ سائبر سیکیورٹی اور انفراسٹرکچر سیکیورٹی ایجنسی (CISA) کا نقشہ بھی بناتے ہیں۔ سیکیورٹی بہ ڈیزائن اور ڈیفالٹ رہنمائی اور انتظامیہ کے سائبر سیکیورٹی ایکٹ کے لیے جو گزشتہ سال جاری کیا گیا تھا۔ 

CISA کے ایگزیکٹیو اسسٹنٹ ڈائریکٹر برائے سائبر سیکیورٹی ایرک گولڈسٹین نے گروپ کی تشکیل اور چھ ماہ بعد وائٹ پیپر کے اجراء کو ایک حیران کن لیکن خوش آئند پیش رفت قرار دیا۔ گولڈسٹین نے کہا، "سچ کہوں تو، نیٹ ورکنگ فراہم کرنے والے، ٹیکنالوجی فراہم کرنے والے، [اور] ڈیوائس مینوفیکچررز کے ساتھ آنے کا اور یہ کہنے کے لیے کہ ہمیں پروڈکٹ ایکو سسٹم کی سائبرسیکیوریٹی کو آگے بڑھانے کے لیے مزید اجتماعی طور پر کام کرنے کا خیال بھی ایک غیر ملکی تصور ہوتا،" گولڈسٹین نے کہا۔ NRC تقریب کے دوران "یہ بے حسی ہوتی۔"

NIST کے SSDF اور OASIS Open EoX کو اپنانا

NRC دکانداروں سے مطالبہ کر رہا ہے کہ وہ NIST کے ساتھ اپنے سافٹ ویئر ڈویلپمنٹ کے طریقہ کار کا نقشہ بنائیں محفوظ سافٹ ویئر ڈویلپمنٹ فریم ورک (SSDF)، یہ بتاتے ہوئے کہ وہ کب تک پیچ کو سپورٹ اور ریلیز کریں گے۔ نیز، دکانداروں کو فیچر اپ ڈیٹس کے ساتھ بنڈل کرنے کے بجائے الگ سے سیکیورٹی پیچ جاری کرنا چاہیے۔ ایک ہی وقت میں، صارفین کو ان دکانداروں کو وزن دینا چاہیے جنہوں نے الگ الگ اہم پیچ جاری کرنے اور SSDF کے مطابق ہونے کا عہد کیا ہے۔

مزید، NRC تجویز کرتا ہے کہ دکانداروں کی مدد کریں۔ اوپن ای او ایکس، ستمبر 2023 میں OASIS کے ذریعے شروع کی گئی ایک کوشش کو معیاری بنانے کے لیے کہ فراہم کنندگان کس طرح خطرے کی شناخت کرتے ہیں اور زندگی کے اختتام کی تفصیلات کو مشین کے ذریعے پڑھنے کے قابل فارمیٹ میں ان کے جاری کردہ ہر پروڈکٹ کے لیے بتاتے ہیں۔

سسکو کے چیف ٹرسٹ آفیسر میٹ فوسا نے کہا کہ دنیا بھر کی حکومتیں اس بات کا تعین کرنے کی کوشش کر رہی ہیں کہ ان کی مجموعی معیشتوں کو کس طرح زیادہ مستحکم، لچکدار اور محفوظ بنایا جائے۔ فوسا نے اس ہفتے کے NRC پریس ایونٹ کے دوران کہا، "میرے خیال میں، تمام کمپنیاں، سافٹ ویئر بلز اور مواد تیار کرنے، محفوظ سافٹ ویئر ڈویلپمنٹ کے طریقوں میں مشغول اور ان کی تعیناتی جیسے بہترین طریقوں کو چلانے کے لیے مجموعی طور پر CISA اور امریکی حکومت کے ساتھ قریبی شراکت دار ہیں۔"

فوسا نے مزید کہا کہ سافٹ ویئر میں شفافیت کو فروغ دینے، زیادہ محفوظ تعمیراتی ماحول قائم کرنے، اور سافٹ ویئر کی ترقی کے عمل کو آگے بڑھانے کے اقدامات کے نتیجے میں صرف اہم انفراسٹرکچر سے آگے سیکیورٹی میں بہتری آئے گی۔ انہوں نے کہا کہ حکومت کے باہر اسپل اوور اثر پڑے گا کیونکہ یہ چیزیں صنعت میں معمول بن جاتی ہیں۔ 

بریفنگ کے فوراً بعد منعقدہ ایک میڈیا سوال و جواب کے دوران، سسکو کے فوسا نے تسلیم کیا کہ وینڈرز SBOM جاری کرنے یا اپنی پیشکشوں میں اوپن سورس اور تھرڈ پارٹی اجزاء کی خود تصدیق کرنے کے ایگزیکٹو آرڈرز کی تعمیل کرنے میں سست روی کا مظاہرہ کر رہے ہیں۔ انہوں نے کہا، "ایک چیز جس سے ہمیں حیرت ہوئی وہ یہ تھی کہ ایک بار جب ہم انہیں تیار کرنے کے لیے تیار ہو گئے - یہ کافی کرکٹ نہیں تھا، لیکن یہ ہماری توقع سے کم حجم تھا،" انہوں نے کہا۔ "میرے خیال میں وقت گزرنے کے ساتھ، جیسا کہ لوگ انہیں استعمال کرنے کے طریقے سے راحت محسوس کرتے تھے، ہم دیکھیں گے کہ اسے اٹھا لیا جائے گا اور بالآخر عام ہو جائے گا۔"

فوری کارروائی کی سفارش کی گئی۔

فوسا اسٹیک ہولڈرز پر زور دے رہی ہے کہ وہ نئی رپورٹ میں بیان کردہ طریقوں کو فوری طور پر اپنانا شروع کریں۔ "میں آپ سب کی حوصلہ افزائی کروں گا کہ یہ فوری طور پر کرنے کے بارے میں سوچیں، فوری طور پر SSDF کی تعیناتی کریں، اپنے صارفین کو عجلت کے احساس کے ساتھ SBOMs بنانے اور حاصل کرنے کے بارے میں سوچیں، اور واضح طور پر عجلت کے احساس کے ساتھ سیکورٹی کو چلانے کے بارے میں سوچیں، کیونکہ خطرے والے اداکار انتظار نہیں کر رہے ہیں، اور وہ سرگرمی سے ہمارے تمام نیٹ ورکس کے خلاف فائدہ اٹھانے کے نئے مواقع تلاش کر رہے ہیں۔

ایک صنعتی کنسورشیم کے طور پر، NRC صرف اس حد تک جا سکتا ہے کہ اپنے اراکین کو اس کی سفارشات پر عمل کرنے کی ترغیب دے سکے۔ لیکن چونکہ وائٹ پیپر ایگزیکٹو آرڈر اور کے ساتھ سیدھ میں ہے۔ قومی سائبرسیکیوریٹی حکمت عملی پچھلے سال وائٹ ہاؤس کے ذریعہ جاری کیا گیا تھا، فوسا کا خیال ہے کہ اس پر عمل پیرا ہونا ناگزیر کے لئے دکانداروں کو تیار کرے گا۔ "میں ایک پیشین گوئی کروں گا کہ بہت ساری تجاویز جو آپ اس مقالے میں دیکھتے ہیں وہ یورپ اور امریکہ دونوں میں قانون کے تحت تقاضے ہوں گی۔" انہوں نے مزید کہا۔

NCC گروپ میں بنیادی ڈھانچے کی حفاظت کے لیے عالمی پریکٹس ڈائریکٹر جارڈن لاروز کا کہنا ہے کہ کنسورشیم کی کوششوں کے پیچھے ONCD اور CISA کا ہونا ایک قابل ذکر توثیق ہے۔ لیکن کاغذ کو پڑھنے کے بعد، اسے یقین نہیں آیا کہ اس نے ایسی معلومات پیش کی ہیں جو پہلے سے دستیاب نہیں ہیں۔ 

لاروز کا کہنا ہے کہ "یہ وائٹ پیپر بہت تفصیلی نہیں ہے۔ "یہ پورے فریم ورک کا خاکہ نہیں پیش کرتا ہے۔ یہ NIST SSDF کا حوالہ دیتا ہے لیکن میرا اندازہ ہے کہ زیادہ تر لوگ خود ہی سوال کریں گے، کیا انہیں یہ وائٹ پیپر پڑھنے کی ضرورت ہے جب وہ صرف جا کر NIST SSDF کو پڑھ سکتے ہیں۔

اس کے باوجود، LaRose نوٹ کرتا ہے کہ یہ اسٹیک ہولڈرز کے لیے ممکنہ ضروریات اور ذمہ داریوں کے ساتھ آنے کی ضرورت کو اجاگر کرتا ہے جن کا سامنا وہ کھڑے ہوتے ہیں اگر وہ محفوظ بہ ڈیزائن کے عمل کو تیار نہیں کرتے اور تجویز کردہ زندگی کے اختتامی ماڈلز کو نافذ نہیں کرتے ہیں۔

کارل ونڈسر، پروڈکٹ ٹکنالوجی اور فورٹینیٹ کے حل کے سینئر VP نے کہا کہ پہلے دن سے ہی مصنوعات میں سیکیورٹی بنانے کی کوئی بھی کوشش اہم ہے۔ ونڈسر نے کہا کہ وہ خاص طور پر حوصلہ افزائی کرتے ہیں کہ رپورٹ میں SSDF اور NIST اور CISA کے دیگر کاموں کو شامل کیا گیا ہے۔ "اگر ہم پہلے دن سے اپنی مصنوعات کو NIST کے معیارات کے مطابق بناتے ہیں، تو ہم دنیا بھر میں سامنے آنے والے دیگر تمام معیارات کے ساتھ 90 سے 95% تک پہنچ جاتے ہیں،" انہوں نے کہا۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security