0115-2024年全球软件供应链安全法规汇总

admin 2024年1月15日14:12:06评论21 views字数 4872阅读16分14秒阅读模式
 

别关注

2024年全球软件供应链安全法规汇总

美国、以色列利用荷兰间谍向伊朗核设施投放Stuxnet病毒

乌克兰黑客对俄罗斯电信运营商实施数据擦除攻击

‍‍

特别关注

2024年全球软件供应链安全法规汇总

0115-2024年全球软件供应链安全法规汇总

标签:供应链安全,法律法规

软件供应链安全是2024年网络安全领域的重点议题之一,因为近年来SolarWinds、Log4j2、微软、Okta、npm等一系列软件供应链攻击已经为业界敲响了警钟。利用文件传输服务(MFT)漏洞的勒索软件攻击更是给数以千计的企业造成重大损失。

面对快速增长的软件供应链威胁,各国政府纷纷颁布法规和政策,重点覆盖软件的安全设计、安全开发、软件责任和自我证明,以及第三方认证等议题。

对于业务全球化的软件供应商(包括网络安全厂商和任何产品中包括软件和数字元素的供应商,例如新能源汽车)来说,熟悉全球软件供应链安全法规已经成为拓展海外业务的必修课。以下,我们整理了近年来各国政府制订的软件供应链安全相关的政府法规和国际项目:

美国

网络安全总统行政命令

美国软件供应链安全指南的大部分内容可追溯到拜登的14028号总统行政命令——“关于改善国家网络安全的行政命令”。虽然该行政命令本身并没有给出太多软件供应链安全相关的具体要求,但制定了指导方针。例如,第4节特别关注“增强软件供应链安全”,并对美国国家标准与技术研究所(NIST)、管理和预算办公室(OMB)、网络安全和基础设施安全局(CISA)等提出了要求。

OMB22-18和23-16

根据总统行政命令,管理和预算办公室(OMB)发布了两份备忘录22-18和23-16,每份备忘录都重点关注软件供应链安全,并开始推动要求,例如对所有向美国联邦政府销售的软件供应商提出要求。政府开始自我证明是否遵循安全软件开发实践,例如NIST的安全软件开发框架(SSDF)。备忘录还要求在某些情况下使用SBOM,对于较高风险项目使用第三方评估服务。

FDA医疗设备网络安全法规/第524B节

在美国受到特别关注的一个领域是医疗设备。最新的法规来自美国食品和药物管理局(FDA)在《联邦食品、药品和化妆品法案(FD&C)》第524B条中提出的新要求,包括上市前提交医疗设备,要求记录医疗设备系统的安全风险管理活动,并指出除了漏洞评估和威胁建模等活动之外还需要实施SBOM。

FDA还特别关注了医疗设备中的开源软件组件的作用,以及从风险管理角度考虑的潜在风险。

SSDF

虽然本身不是监管或合同要求,但NIST的安全软件开发框架(SSDF)是了解美国软件供应链安全必修课。

美国总统网络安全行政令明确要求NIST更新SSDF和OMB,这两个框架也是所有向美国联邦政府销售产品的软件供应商进行自我认证的关键框架。SSDF利用多个现有的安全软件开发框架,例如OWASP的安全应用程序成熟度模型(SAMM)和Synopsys的构建安全成熟度模型(BSIMM),来交叉引用开发安全软件时应遵守的实践。

国家网络安全战略——软件责任

2023年发布的最新美国国家网络安全战略(NCS)重点关注软件供应链安全,包括呼吁“重新平衡保卫网络空间的责任”。

NCS战略的关键主题是将焦点从客户和消费者转移到软件供应商,这也是CISA等机构“设计安全”计划的关键主题。NCS的另一个重点主题是强调塑造市场力量以推动安全性和弹性,并呼吁开展诸如追究数据管理者责任和推动安全设备开发等活动,甚至引入了备受争议的“软件责任”主题。

2023年开源软件安全法案

与企业市场类似,美国联邦政府也越来越依赖开源软件。2022年的《保护开源软件法案》公开承认了这一点。该法案认识到开源软件的重要性,并呼吁CISA等机构直接参与开源社区。它规定了CISA主任在外联和参与方面的职责,以帮助促进提高开源软件生态系统的安全性。

欧盟

网络弹性法案

在欧盟方面,受到全球关注的立法是《欧盟网络弹性法案》。这是一项影响深远且覆盖全面的立法,为包含数字元素的产品的供应商和开发商制定了共同的网络安全规则和要求。

该法案涵盖硬件和软件以及任何具有“数字元素”的产品,与GDPR非常相似。《弹性法案》尽管是在欧盟设计的,但适用于所有在欧盟市场销售的产品,因此具有全球性的深远影响。

该法案要求网络安全成为具有数字元素的产品设计和开发的关键因素,违规行为除了会被处以行政罚款外,还可能导致产品在欧盟市场的销售受到限制。

人工智能法案

紧随《网络弹性法案》之后的是《欧盟人工智能法案》,该法案的重点是确保在欧盟市场上实施可信赖的人工智能系统的开发和使用条件。《人工智能法案》规定了各种可接受的风险级别,从“低“、”最低“到完全禁止某些用途,例如导致侵犯人类尊严或操纵人类行为的用途。

该法案适用于所有在欧盟投放和使用的人工智能系统和服务,因此具备全球性的影响力。被视为高风险系统的生产商需要执行各种风险管理和治理活动,并自我证明遵守该法案,违规可能会导致高达全球营业额的4%或高达数千万欧元的罚款。

加拿大

加拿大网络安全中心(CCCS)协助出版了《改变网络安全风险平衡:设计和默认安全的原则和方法》。

它还将软件供应链攻击确定为CCCS2023-2024国家网络威胁评估中的一个关键问题。CCCS还在2023年发布了《保护您的组织免受软件供应链威胁》,为使用SSC的公司提供指导。

澳大利亚

2023年3月,澳大利亚网络安全中心(ACSC)发布了《软件开发指南》,重点关注跨软件开发生命周期和环境的各种安全控制。它还强调需要进行应用程序安全控制和测试来修复漏洞,并引用了SBOM的用例。澳大利亚还参加了“四方网络安全伙伴关系:安全软件联合原则”的国际项目。

国际协作项目

虽然各国都忙于推动自己的软件安全议程,但全球范围内的协作并没有停止脚步。例如,一项被称为“四方网络安全伙伴关系:安全软件联合原则”,于2023年5月发布,由美国、印度、日本和澳大利亚合作制定。

“安全软件联合原则“的重点是将安全软件开发实践纳入政府政策和供应商的软件采购中。它与NISTSSDF中的四个阶段相一致,并讨论了要求软件生产商进行自我证明甚至在必要时进行第三方认证的提议。

信源:www.csoonline.com/article/1285899/a-look-at-the-worldwide-push-to-secure-the-global-software-supply-chain.html

安全资讯

美国、以色列利用荷兰间谍向伊朗核设施投放

Stuxnet病毒

0115-2024年全球软件供应链安全法规汇总

标签:关键信息基础设施,恶意软件
经为期两年的调查,荷兰《人民报》发现一名荷兰工程师曾是荷兰情报与安全总局特工,他在利用臭名昭著的 Stuxnet 恶意软件破坏伊朗核计划的秘密行动中发挥了关键作用。据报道,该特工的恶劣行径导致将近一千个核离心机自爆,对伊朗的核工业发展带来了重大挫折,使伊朗的核工业进展被延迟一年多。

 Stuxnet 是一种复杂的恶意软件,旨在破坏与核离心机相关的工业控制系统,造成广泛的损害。据信,该恶意软件是美国中央情报局和以色列摩萨德联合发起的。它感染了数十万台设备,并使众多机器陷入网络中断。

0115-2024年全球软件供应链安全法规汇总

报道称,埃里克·范·萨本(Erik van Sabben)于2005年被聘用。这位工程师随后在迪拜的运输公司TTS工作,但后来跳槽到阿拉伯 Al-Jaber 集团,然后又回到了TTS。在运输公司,他处于将西方专业设备运往伊朗的“关键位置”。

范·萨本冒充伊朗工程师,成功潜入伊朗核计划的关键点——纳坦兹核设施。他通过水泵将Stuxnet恶意软件引入该设施。恶意软件隐藏在泵内,使其能够传播并危害工业控制系统。

范·萨本于2009年1月离开伊朗后不久在一场摩托车事故中丧生。报道指出,目前尚不清楚范·萨本本人是否知道他带到纳坦兹的设备感染了恶意软件。

该报道概述了这次秘密行动之前的多年准备工作。据报道,在2006年,时任美国中央情报局局长迈克尔‧海登(Michael Hayden)亲自前往荷兰军事情报和安全局,向荷方人员强调需要将一些“水泵”运进伊朗纳坦兹核设施,称这些“水泵”将导致核离心机自爆。据当时在场的荷方人员描述,海登描述这些“水泵”花了10余亿美元研发。

网络安全行业的知名成员、卡巴斯基研究团队前主任Costin Raiu和WithSecure首席研究官Mikko Hypponen对这一数额表示怀疑。

0115-2024年全球软件供应链安全法规汇总
《人民报》报道称,荷兰情报部门虽然知道自己参与破坏伊朗核武的计划,但是除了美方的“水泵”说法,对于美国和以色列具体如何利用自己的情报人员破坏纳坦兹核设施并不知情。目前尚未知范·萨本是通过水泵还是另通过USB将病毒传入伊朗纳坦兹核设施,《人民报》采访的不同情报机构人员给出了不同的说法。

信源:http://www.easyap.com/

乌克兰黑客对俄罗斯电信运营商实施数据擦除攻击

0115-2024年全球软件供应链安全法规汇总

标签:数据擦除,

亲乌克兰黑客组织“Blackjack”声称,成功攻击了俄罗斯电信运营商M9com,使其网络瘫痪、数据失窃,据称还删除了对方20TB数据,以回应此前乌克兰电信公司Kyivstar被黑。

前情回顾·俄乌网络战前线

  • 俄罗斯黑客潜伏乌克兰电信巨头Kyivstar内网长达数月
  • 俄乌网络战再升级:乌克兰全国断网、俄罗斯税务系统瘫痪
  • 乌克兰国安局协助本国黑客入侵俄罗斯“招商银行”
  • 俄乌网络战密集开火!11家乌克兰电信公司遭沙虫组织入侵

安全内参1月12日消息,亲乌克兰黑客组织“Blackjack”日前声称,对俄罗斯互联网服务提供商M9com进行了网络攻击,以直接回应此前俄罗斯攻击乌克兰移动运营商Kyivstar。

2023年12月中旬,乌克兰最大的电信服务提供商Kyivstar遭到攻击,服务受到严重干扰。后续调查确认攻击系俄罗斯黑客所为。乌克兰国家安全局(SSU)调查显示,俄罗斯黑客最早在去年5月侵入了Kyivstar系统,经过精心准备,于去年12月发动攻击,同时擦除了数千台虚拟服务器和计算机。

网络瘫痪、数据被窃、数据被删除

本周早些时候,Blackjack黑客团队在Telegram上宣布,他们已经入侵了莫斯科主要互联网服务提供商M9com。

该团队声称,他们不仅成功瘫痪了M9com的互联网服务,还窃取了该公司的机密数据。

该团队分享了三个.ZIP文件的暗网地址,其中包含据称证明他们访问M9com系统的截图,带有员工和客户帐号凭据的文本,以及50GB的通话数据。

一些截图显示:为删除服务器文件执行的FTP命令,抹除备份设备数据,删除配置文件,RIPE数据库和计费门户,vSphere客户端快照,以及资源公共密钥基础设施(RPKI)的仪表板。

0115-2024年全球软件供应链安全法规汇总

图:M9com vSphere的截图

一些泄露的文本文件包含全名、用户名、电子邮件地址、明文密码以及其他机密细节。

乌克兰国家通讯社Ukrinform引述“乌克兰执法机构消息人士”的说法,Blackjack团队“可能与乌克兰国家安全局有关”,他们在攻击期间删除了约20TB的数据。

Blackjack似乎还破坏了M9com的官方网站。

0115-2024年全球软件供应链安全法规汇总

外媒BleepingComputer联系了M9com,要求对泄露信息的真实性和有效性发表评论,但在本文发布时未收到答复。

网络对抗再变激烈

Blackjack发布公开消息表示,为回应俄罗斯Kyivstar的攻击,他们计划发动一系列攻击,这只是第一波行动。

“对M9com的黑客攻击只是一次小热身,我们将制造大事件,为平民目标Kyivstar遇袭报仇。”

——Blackjack黑客团队

很多亲俄黑客发动攻击,主要是通过拒绝服务攻击瘫痪对方的服务。相比之下,Blackjack团队的活动影响更大,毕竟从被擦除的服务器中恢复数据更为困难,如果备份也被摧毁就愈加难了。

近期,越来越多的乌克兰和俄罗斯黑客公开宣称发动网络攻击。但在大多数情况下,很难对这些宣称进行独立验证。

信源:http://www.secrss.com/articles/62748

原文始发于微信公众号(网络盾牌):0115-2024年全球软件供应链安全法规汇总

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月15日14:12:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   0115-2024年全球软件供应链安全法规汇总https://cn-sec.com/archives/2394857.html

发表评论

匿名网友 填写信息