美国网络安全和基础设施安全局 (CISA) 与 17 个美国和国际合作伙伴合作,周一发布了更新的“设计安全”原则联合指南。该文件为技术提供商提供了扩展的原则和指南,以提高其在世界各地使用的产品的安全性,同时还提供了对基本原则和指南的更多见解,并得到了另外八个国际网络安全机构的认可。
更新后的指南“改变网络安全风险的平衡:设计安全软件的原则和方法”敦促软件制造商采取必要的紧急措施来交付设计安全的产品,并修改其设计和开发计划,以仅允许设计安全将产品运送给客户。
与 CISA、联邦调查局 (FBI)、国家安全局 (NSA) 以及澳大利亚、加拿大、英国、德国、荷兰和新西兰的网络安全机构 (CERT NZ、NCSC-NZ) 一起,谁共同密封了最初的版本。更新后的指南得益于与捷克共和国、以色列、新加坡、韩国、挪威、OAS/CICTE CSIRTAmericas Network 和日本(JPCERT/CC 和 NISC)网络安全机构的见解和合作。
该文件以多家全球安全机构 2023 年 4 月发布的版本为基础,包含从大量个人、公司和非营利组织收到的反馈。它扩展了三个原则,即“掌控客户安全成果”、“拥抱彻底的透明度和问责制”以及“高层领导”。
该更新重点介绍了软件制造商如何向其客户和公众展示这些原则。软件制造商必须能够在安全性的基础上进行竞争。该联合指南为软件制造商提供了工具来展示其对设计安全的承诺,并为客户提供了评估其进展的方法,从而创建了设计安全的需求信号。
更新后的文件概述道:“反馈中最常见的要求是提供有关这三个原则的更多详细信息,因为它们适用于软件制造商及其客户。” “在本文件中,我们扩展了原始报告,并涉及其他主题,例如制造商和客户规模、客户成熟度以及原则的范围。”
该文件称:“软件无处不在,没有任何一份报告能够充分涵盖整个软件系统、软件产品的开发、客户部署和维护以及与其他系统的集成。” “对于以下未明确映射到特定环境的指导,我们期待听到社区的声音,本文中描述的实践如何带来特定的安全改进。本报告也适用于人工智能 (AI) 软件系统和模型的制造商。虽然它们可能与传统形式的软件不同,但基本的安全实践仍然适用于人工智能系统和模型。”
它补充说,一些设计安全实践可能需要修改,以考虑人工智能特定的考虑因素,但三个总体设计安全原则适用于所有人工智能系统。
这些机构表示,他们认识到转变软件开发生命周期 (SDLC) 以符合这些设计安全原则并不是一项简单的任务,可能需要时间。“此外,规模较小的软件制造商可能很难实施其中许多建议。我们认为,软件行业需要广泛提供使产品更安全的工具和程序。随着越来越多的人和组织将注意力集中在软件安全性的改进上,我们相信存在创新的空间,可以缩小大小软件制造商之间的 差距,从而使所有客户受益。”他们补充道。
此外,对原始设计安全报告的更新“是我们与众多相互关联的利益相关者社区建立合作伙伴关系的承诺的一部分,这些社区支撑着我们的技术生态系统。这是该生态系统许多部分反馈的结果,我们将继续倾听并从各个角度学习。尽管未来面临许多挑战,但随着我们更多地了解已经采用设计安全理念并常常取得成功的人员和组织,我们感到非常乐观。”
更新后的指导文件呼吁制造商做出艰难的权衡和投资,包括那些对客户“不可见”的投资(例如,迁移到消除广泛漏洞的编程语言)。“他们应该优先考虑保护客户的功能、机制和工具实施,而不是那些看似有吸引力但扩大了攻击面的产品功能。没有单一的解决方案可以消除恶意网络行为者利用技术漏洞的持续威胁,并且“设计安全”的产品将继续遭受漏洞的困扰;然而,大量漏洞是由相对较小的根本原因造成的。”
此外,制造商应制定书面路线图,使其现有的产品组合与更安全的设计实践保持一致,确保仅在特殊情况下发生偏差。编写组织承认,掌握客户的安全结果并确保这种级别的客户安全可能会增加开发成本。
然而,在开发“创新”技术产品和维护现有产品的同时投资安全设计实践可以大大改善客户的安全状况并降低妥协的可能性。安全设计原则可以增强客户的安全状况和开发人员的品牌声誉,并从长远来看降低制造商的维护和修补成本。
CISA 主任 Jen Easterly 在一份媒体声明中表示:“我对美国和国际之间广泛、富有洞察力和一致的合作伙伴关系感到非常自豪,这些合作伙伴关系具有共同的未来愿景,即技术产品通过设计实现安全。” “由于数百名合作伙伴的反馈,我们修订了本指南,更加关注公司如何展示其对设计原则安全的承诺。”
Easterly 补充道,为了实现国家网络安全战略重新平衡网络空间责任的目标,“客户需要能够向供应商提出更多要求,而这份联合指南为他们提供了实现这一目标的工具。”
“我们感谢与 CISA 和其他国际合作伙伴就这一联合成果进行的合作。在欧盟内部,《网络弹性法案》旨在加强产品安全和消费者安全。”捷克共和国国家网络和信息安全局局长 Lukáš Kintr 表示。“在全球互联和技术驱动的世界中,我们对“设计安全”方法的集体认可旨在增强我们的弹性,并保护各大洲的公民和关键基础设施。”
“‘安全设计’是利益相关者之间网络安全责任范式的改变。INCD 希望看到责任从最终用户转移到制造商和服务提供商。在现代世界,网络安全是一项基本商品,就像水、能源和环境保护一样;因此,它在设计和默认情况下应该是安全的。”INCD 总干事 Gaby Portnoy 表示。“INCD 很荣幸能够参与 CISA 发布该产品,我们认为这是向所有客户提供安全、弹性技术的关键一步。INCD 将鼓励以色列市场的制造商采用这一指南。”
“设计和默认的安全性是保护渗透到我们日常生活的技术的基本原则。新加坡网络安全局网络安全专员兼首席执行官 David Koh 表示:“技术制造商应该从一开始就有意识地确保网络安全成为产品开发的一个关键方面,这样他们的产品对于所有用户来说本质上都是安全的。” 。“安全不应该是一个‘可选的额外’。CSA 很荣幸能够与 CISA 和其他合作伙伴机构合作开发安全设计指南。CSA 强烈鼓励采用它。”
“由软件漏洞引起的网络攻击不断增加,鉴于其巨大影响,对这些漏洞的安全管理至关重要。在韩国,存在特定攻击团体在广泛使用的解决方案中存在多个漏洞的实际案例,这些漏洞被利用进行攻击。”KISA 副总裁兼 KrCERT/CC 负责人 Choi Kwang Hee 表示。“回顾本指南让我们深入了解了国际附属机构的观点。为了保证国产软件产品的安全发展,我们还计划推出韩文版本。”
“设计安全的产品和服务构成了我们共同网络弹性的基石。这一概念通过纳入零信任和软件供应链风险管理等元素,提高了我们指导和咨询的质量。”挪威国家网络安全中心主任 Martin Albert-Hoff 说道。“NCSC NO 很荣幸能够与 CISA 和其他伙伴机构合作,这种合作有助于在当今不可预测的全球形势下增强网络弹性。”
“网络安全领域的成功成果只能通过协作的方式取得。因此,我们很高兴利用 OAS/CICTE CSIRTAmericas 网络积累的经验为本指南做出贡献,该网络汇集了来自美洲 21 个国家的政府计算机安全事件响应小组 (CSIRT),并促进他们之间有价值的信息的交流。”美洲国家组织美洲反恐怖主义委员会执行秘书艾莉森·奥古斯特·特雷佩尔说。“根据网络的经验,本指南认识到技术制造商和 CSIRT 需要从被动思维转变为持续衡量和改进风险缓解服务的模式。”
特雷佩尔补充说,该指南是美洲国家组织过去 20 年来一直在开展并将继续开展的工作的明确范例,旨在支持成员国加强网络安全能力,建设更加安全、有弹性和开放的网络空间对全部。
“‘设计安全’的概念已被纳入日本的网络安全战略(以下简称日本战略)。日本国家网络安全事件准备和战略中心 (NISC) 总干事铃木敦夫 (Atsuo Suzuki) 表示:“这项更新后的指南明确了“设计安全”的概念,并与日本的战略保持一致。” “我们对这份更新后的指导方针的密封感到高兴,这有助于实施基于日本战略的具体措施。”
该指南旨在进一步促进投资和文化转变的进展,以显着改善客户安全;扩大有关关键优先事项、投资和决策的国际对话;并创造一个技术设计安全可靠且具有弹性的未来。认识到许多私营部门合作伙伴为推进安全设计做出了宝贵贡献,并为本次更新提供了意见,编写机构正在积极寻求有关新版本联合指南的更多反馈。
编写组织建议组织要求其供应软件制造商对其产品的安全结果负责。作为其中的一部分,编写组织建议管理人员优先考虑购买设计安全和默认安全产品的重要性。
更新后的文件认识到安全应该是此类关系的关键要素,组织应努力在关系的正式(例如合同或供应商协议)和非正式层面上强调设计安全和默认安全实践的重要性。组织应该期望其技术供应商就其内部控制状况以及采用设计安全和默认安全实践的路线图提供透明度。
除了将默认安全作为组织内的优先事项之外,IT 领导者还应该与行业同行合作,了解哪些产品和服务最能体现这些设计原则。这些领导者应该协调他们的请求,以帮助制造商优先考虑他们即将推出的安全计划。
指南指出,通过共同努力,客户可以帮助向制造商提供有意义的意见,并激励他们优先考虑安全性。“在利用云系统时,组织应确保他们了解与技术供应商的共同责任模型。也就是说,组织应该明确供应商的安全责任,而不仅仅是客户的责任。组织应该优先考虑那些在安全状况、内部控制以及履行共享责任模型下义务的能力方面保持透明的云提供商。”
上周,美国 CISA、FBI、NSA 和美国财政部发布了针对运营技术 (OT) 供应商和关键基础设施的高级领导和运营人员的新指南。该情况说明书将有助于更好地管理 OT 产品中使用开源软件 (OSS) 带来的风险,并提高利用可用资源的弹性。
发表评论
您还未登录,请先登录。
登录