美国CISA、NSA、ODNI联合发布保护软件供应链安全指南

admin 2022年11月22日12:56:39供应链安全评论25 views1096字阅读3分39秒阅读模式
美国CISA、NSA、ODNI联合发布保护软件供应链安全指南


10月18日,美国网络安全和基础设施安全局(CISA)与国家安全局(NSA)和国家情报总监办公室(ODNI)合作发布了关于保护软件供应链的三部分系列文章的最后一部分。


美国CISA、NSA、ODNI联合发布保护软件供应链安全指南


该出版物遵循2022年8月发布的开发人员指南和2022年10月发布的供应商指南,为客户提供了推荐做法,以确保软件在采购和部署阶段的完整性和安全性。其中包括使用业务流程使安全要求和风险评估保持最新,并要求充分保护和控制所有数据和元数据的地理定位。



文章描述了威胁行为者可能利用的各种场景。其中包括旨在应对威胁的安全要求不是特定领域或不包括组织要求的事实,以及安全要求分析中的差距可能导致解决方案或所选安全控制不匹配。

此外,文章还指出,公司应分配特定员工来验证特定领域和组织的安全要求,并协调风险概况定义与任务和企业领域等。

最近的网络攻击,如针对SolarWinds及其客户的攻击,以及利用Log4j等漏洞的攻击,都突出了软件供应链中的弱点;这一问题既涉及商业软件,也涉及开源软件,对私营企业和政府企业都有影响。软件供应链可能会被国家对手使用类似的战术技术和程序(TTP)进行攻击,因此越来越需要软件供应链安全意识。

文章中还提到,白宫对此特地发布了关于改善国家网络安全的行政命令(EO 14028)。该命令确立了保护联邦政府软件供应链的新要求。这些要求包括对软件供应商和开发人员以及为联邦政府购买软件的客户的系统审查过程改进和安全标准。


//


CISA写道:“当产品没有得到适当的保护,当客户与可疑的地理位置和元数据相关联,或者当客户被怀疑与外国利益相关时,一般的安全漏洞也可能普遍存在。”

JupiterOne首席信息安全Sounil Yu表示:“软件生产通常由行业完成,因此会有一些行业力量拒绝生产软件物料清单(SBOM)。由于行业和政府都使用软件,支持共享SBOM符合行业和政府的最大利益。但是,我们会看到政府内部的阻力较小。”

CISA还表示,还应建立所有收购的安全要求。通过分拆公司、外部实体或第三方供应商获取软件时,客户应对整个供应链风险管理 (SCRM) 计算实施持续监控,并采取适当的控制措施来减轻假设变化和安全风险。


扫码进社群可以获得报告原文!



美国CISA、NSA、ODNI联合发布保护软件供应链安全指南


精彩推荐

警惕!新的网络钓鱼攻击使用 Windows 安全绕过零日漏洞来投放恶意软件

2022-11-21

美国CISA、NSA、ODNI联合发布保护软件供应链安全指南

伊朗黑客利用Log4Shell漏洞入侵美国联邦机构

2022-11-18

美国CISA、NSA、ODNI联合发布保护软件供应链安全指南

卡巴斯基最新发现!朝鲜黑客使用新的恶意软件瞄准欧洲组织

2022-11-17

美国CISA、NSA、ODNI联合发布保护软件供应链安全指南

注:本文由E安全编译报道,转载请联系授权并注明来源

原文始发于微信公众号(E安全):美国CISA、NSA、ODNI联合发布保护软件供应链安全指南

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月22日12:56:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  美国CISA、NSA、ODNI联合发布保护软件供应链安全指南 https://cn-sec.com/archives/1422954.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: