![美国CISA希望私营企业公开承诺采用安全设计]( "美国CISA希望私营企业公开承诺采用安全设计")
科技行业有能力保护世界免受国家威胁攻击、网络犯罪以及那些想要破坏数据和操纵关键基础设施的人的侵害。但这种权力伴随着巨大的责任,老实说,科技行业对此并不那么感兴趣。
但在旧金山举行的 RSA 大会 (RSAC) 上,网络安全和技术社区采取措施发挥一些力量并承担责任。他们做出了“安全设计”承诺,承诺尽最大努力确保安全措施融入软件,并努力在未来一年实现七个安全目标。
“随着联网设备日益普及,每个人都感受到并高度意识到了真正的紧迫性。一切都围绕着开发新技术和软件以及改造旧技术和软件展开,而安全性是核心考虑因素,”网络安全和基础设施安全局 (CISA) 局长 Jen Easterly 对来自各大、小科技和网络安全公司的代表们说道。
然而,伊斯特利补充道,鉴于网络威胁不断变化且达到前所未有的水平,尤其是针对政府和关键基础设施的威胁,时间扮演着更重要的角色。我们不能坐等创新的出现或开发应对新攻击的措施。
“我们现在必须把安全放在首位,”伊斯特利说。这就是“安全设计”运动的动力。“联邦政府无法独自做到这一点。”私营企业——最有能力应对网络安全威胁的公司——也最适合从开发过程一开始就承担管理安全风险的重担。
宣誓
2023 年推出 Secure by Design时,17 位合作伙伴签署了一份白皮书,开启了关于 Secure by Design 原则的全球讨论。2023 年 12 月,CISA 还推出了 Secure by Design 警报系列,重点介绍了软件制造商如何消除整个类别的漏洞。例如,最近的一个警报是关于 SQL 注入的,而另一个是关于路径遍历的。这些措施遵循了拜登政府网络安全战略的目标,即减轻企业主和软件用户的网络安全负担,将责任放在能够真正修复和预防安全风险的科技公司身上。
下一步是在 5 月 8 日的 RSAC 会议上,近 70 家公司自愿签署承诺,承诺在产品推向市场之前更加重视功能的安全性,并花时间确保基础设施已经解决了潜在的漏洞。从那时起,签署承诺的公司数量已增加到近 100 家。
做出承诺的公司包括 IBM、谷歌和微软等知名科技巨头,以及各种大大小小的网络安全公司。许多参加伊斯特利演讲的公司已经开始实施“安全设计”原则,其中包括一些以这些原则为业务基础的初创公司。
采取安全设计承诺意味着什么
据 CISA 介绍,该承诺围绕七个目标构建,每个目标都有一个核心标准。参与承诺的每个软件制造商都有权决定如何在其业务范围内最好地满足和展示每个目标的核心标准。
这七个目标是:
-
-
-
-
-
-
通过在制造商产品的每个常见漏洞和暴露 (CVE) 记录中包含准确的常见弱点枚举 (CWE) 和通用平台枚举 (CPE) 字段来展示漏洞报告的透明度
-
为客户提供收集影响制造商产品的网络安全入侵证据的能力
CISA 是安全设计的牵头机构,但每个签署承诺的组织都必须将该计划付诸实施并发挥作用。然而,所有变化都是自愿的,每个组织都有自己的议程,非技术人员建议的技术可能行不通——这意味着实现安全设计的七个目标将是一场艰苦的战斗。
Vanta 首席执行官克里斯蒂娜·卡西奥波 (Christina Cacioppo) 在小组讨论中表示,云原生公司可能具有优势,因为它们没有遗留的漏洞问题。但云公司也可能对安全性漫不经心。
卡西奥波说:“这个承诺的好处在于,它是我们认为软件提供商应该坚持的第一步,而政府和行业的压力可以帮助推动这一点。”
为什么安全设计现在至关重要
简而言之,威胁已经发生了变化。伊斯特利警告说,例如来自中国的威胁比以往任何时候都更加严重。民族国家行为者对数据或知识产权盗窃的兴趣不像过去那么大。他们现在的目标是破坏和摧毁关键基础设施以及美国人日常生活所依赖的服务。这些威胁行为者能够访问关键基础设施网络,因为他们可以找到技术中的缺陷和瑕疵。
CISA 一年多前就提出了“安全设计”的概念。Easterly 和她的团队认为,开发从根本上安全的软件可以解决威胁行为者攻击漏洞和公司在造成真正损害之前急于找到解决方案的持续模式。关键是确保美国人所依赖的技术在构建、测试和设计上都是安全的。
伊斯特利称:“站出来表示愿意对一个几十年来一直不重视安全的行业做出重大改变,这需要真正的勇气,我希望这能给其他公司带来启发。”
原文始发于微信公众号(河南等级保护测评):美国CISA希望私营企业公开承诺采用安全设计
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2808022.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论