及时披露重新介绍之后Solarwinds灾难
软件供应商将有义务立即通知他们的美国联邦政府如果有任何安全性的客户违反,乔·拜登(Joe Biden)政府总统的行政命令草案提议。
订单 - 遵循高影响力Solarwinds漏洞去年年底 - 还将要求使用多因素验证和美国联邦机构内部的数据加密报告。
此外,该订单将迫使供应商保留更多记录,并与网络安全和基础设施安全局(CISA)合作,以应对事件。
本质上,拜登政府正在寻求利用美国联邦政府的巨大购买能力,以产生软件的变化脆弱性会影响整个行业的披露惯例。
行业专家涉足每日swbeplay2018官网ig广泛支持这些提案,这些提议仍保留在草案中,但最早可以在本周引入。
Solarwinds打击
Sentinelone首席安全顾问Morgan Wright,前美国国务院特别顾问表示,在最近的参议院关于Solarwinds的听证会上,强制性违规报告的问题出现了。
公司普遍支持通知政府何时发生违规的概念(包括Solarwinds,微软赖特(Wright)说,,以及FireEye)作证了最近的参议院精选情报委员会听证会,但并非没有担心这是否会造成难以管理的行政纠缠。
赖特解释说:“关键问题是责任。政府合同涉及有关责任的严重细节,并施加行政命令,而无需清楚地阐明如何修改每份合同以限制或预防责任将是收购和采购噩梦。”
“从理论上讲,需要更多的透明度和披露来改善联邦政府的网络安全姿势。实际上,这将成为官僚主义的噩梦,”赖特总结道。
不成熟的安全
网络安全服务公司Bluevoyant全球专业服务主管Austin Berglas表示,组织需要更好地检测出任何更严格的披露制度的违规行为。
“要求组织向联邦政府客户报告违规行为将严重依赖供应商安全的到期,”前联邦调查局纽约办事处负责网络调查的助理特别代理人伯格拉斯(Berglas)告诉每日swbeplay2018官网ig。
“为了组织为了及时报告违规行为,该组织需要具有适当的可见性来检测入侵。”
在众多框架和指导中看到的所有标准网络安全卫生建议,保存数字记录,实施多因素身份验证以及适当利用加密是所有标准的网络安全卫生建议。
拜登政府正在采取措施以确保供应链的漏洞后,
据Berglas说,最大的挑战将是司空见惯的,最大的挑战将来自“确定政府可以帮助未成熟供应商达到并保持基本网络安全标准的方式”。
伯格拉斯认为:“公司不仅拥有有限的资源来评估其供应链中所有供应商的安全性,而且更糟糕的是,他们仍在使用问卷来评估安全姿势,而不是使用技术来识别链条的外部风险。”
“拟议的标准都是可靠的改进,可以提高供应链,但是真正的任务是找到使最不成熟的组织具有满足这些要求的能力和资源的方法。”
遗产风险
如果要求供应商支持(过时的)旧系统,那么脆弱的IT基础架构几乎不是服务和软件提供商的错。
Sentinelone的Wright表示:“政府内部的许多系统都过时,以至于定期让合同寻找对多年未正式支持的软件的支持。”
现代软件是专有代码和开源组件。这意味着软件安全和防止供应链攻击成为保护整个生态系统的问题。
Synopsys Cyrc(网络安全研究中心)的首席安全策略师Tim Mackey说:“在商业软件供应商的众所周知的四堵墙中创建的软件日期已经过去了。”
技术债务
Netskope安全转型副总裁詹姆斯·克里斯蒂安森(James Christiansen)表示,围绕软件漏洞的更好的沟通是“有必要的和必不可少的”,同时指出政府法规只能在解决地方性问题方面走得太远。
克里斯蒂安森说:“尽管这项行动是政府部门朝着正确方向迈出的一步,但我们还需要考虑私营部门发生的事情。”
“毫不奇怪的是,该行政命令正式将软件供应商提供信息共享的要求,同时还包括身份验证和加密措施,但要使数据保护有效,它需要包含多种环境,远远超出了加密。”
当问答时每日swbeplay2018官网ig该行业中通常将拟议的法规视为可靠的改进,这将增强供应链的整体安全性 - 尽管有些人警告不要期望奇迹。
Sentinelone的Wright警告说:“这些拟议的补救措施都不会阻止每个软件供应链攻击。在软件到达政府时,就像在Solarwinds中一样,袭击已经对供应商进行。”
