潜水简报:
- 在一系列暴露了美国关键基础设施薄弱环节的网络攻击之后,美国总统乔·拜登签署了一项行政命令5月12日旨在借口防御和透明度,包括开发网络安全审查委员会(CSRB),以评估主要入侵。
- 据一位高级白宫官员称,最近殖民地管道攻击和Solarwinds供应链Hack说明了软件采购和分销是一种重大漏洞。“我们经常将具有大量漏洞的软件安装到我们最关键的系统和基础设施中,”他们在与记者的星期三晚间简报中表示。
- 为了解决这个问题,该行政命令要求在政府采购中使用软件材料清单(SBOM),以便更有效地跟踪已知的漏洞。代表投资者所有的公用事业的爱迪生电力研究所(EEI)和作为电力传输实体论坛的北美输电论坛(NATF)一直在与联邦政府合作在能源领域试点使用sbm。
潜入洞察力:
专家们表示,软件供应链是关键基础设施安全的核心,行政命令是支持漏洞的一步。
“你无法保护你无法看到的东西。太多组织没有完整的软件内部的图片。大多数甚至看,”Sonatype的首席技术官Brian Fox在一个陈述。该公司开发软件以帮助管理供应链安全性。
软件安全性需要“对应用程序中的所有代码完全可见。SBOM是这样做的唯一方法,”Fox说。
sbm指出软件中的组件,允许终端用户跟踪和修补漏洞。EEI和NATF已经与美国商务部的国家电信和信息管理局(NTIA)和能源部的爱达荷国家实验室合作,启动了能源部门利用sbm的概念验证项目。
EEI总裁Tom Kuhn在一份声明中称,该命令"明确承认政府与企业合作的价值",并补充称该组织支持改善"政府和私营部门之间"的协调。
库恩说:“长期以来,我们一直认为电网安全是共同的责任。
Tom Alrich是一位帮助组织能源部门SBOM概念验证的安全顾问,他说,现代软件产品包含成百上千个组件,每个组件都可能存在漏洞。SBOM的使用可以帮助跟踪和修补问题,并允许实用程序在采购过程中尽早解决这些问题。
但是,在电子邮件中也表示,关于联邦政府的软件要求的“两个大问题”是“政府机构将能够与SBOM做些什么”,以及SBOM将如何修改并重新分发,因为软件更新。
Alrich说:“NTIA目前正在对医疗保健、汽车和能源行业的概念进行三次行业证明,这两个问题正在得到解决。”
白宫官员表示,他们打算利用“联邦购买力来启动安全软件市场,要求我们购买的所有软件在9个月内满足这些标准。”
安全管理平台Exabeam的总裁拉尔夫?皮萨尼(Ralph Pisani)表示,这项行政命令“可以积极推动”美国在网络安全方面进行必要的变革。它为“有政府客户的供应商增加了一层额外的责任”。
该订单还建立了CSRB,并要求事件审查委员会有私营部门联合主席。董事会将在国家运输安全委员会上建模,这些安全委员会响应交通事故和灾害。
官方表示,董事会“将在一项重要的网络事件分析发生的情况下,召开了发生的事件,并制定改善网络安全的具体建议。”
阿尔里奇说,审查委员会解决了安全方面的一个缺口。
“问题是,了解事件中发生了什么对提高网络防御至关重要,但这也需要专门的组织专注于事件审查。这就解决了需要。”
