NSA、CISA 和国家情报总监办公室 (ODNI) 共享了一套新的建议做法,软件供应商(供应商)可以遵循这些做法来保护供应链。
该指南是通过持久安全框架 (ESF) 制定的,这是一个公私合作伙伴关系,致力于解决对美国国家安全系统和关键基础设施的威胁。
“预防通常被视为软件开发人员的责任,因为他们需要安全地开发和交付代码、验证第三方组件并强化构建环境。但供应商在确保安全性和完整性方面也负有关键责任。我们的软件,”美国国家安全局周一表示。
“毕竟,软件供应商负责客户和软件开发商之间的联络。正是通过这种关系,可以通过合同协议、软件发布和更新、通知和漏洞缓解来应用额外的安全功能。”
ESF 将在 9 月发布第一章为软件开发人员提供指导后,再发布一份针对软件供应链生命周期中客户(收购组织)部分的咨询。
您可以在今天的咨询 [ PDF ]中找到针对供应商的推荐做法的完整指南,包括安全需求规划和维护软件安全。
本指南是在最近多次备受瞩目的网络攻击(包括SolarWinds 黑客攻击)之后发布的,这些攻击突出了国家支持的威胁行为者可以轻松利用的软件供应链弱点。
供应链攻击背后的危险已在现实世界的攻击中多次显现,因为俄罗斯威胁行为者入侵 SolarWinds以感染下游客户,包括通过 Kaseya 的 MSP 软件(用于加密全球数千家公司)以及威胁行为者如何使用受感染的 npm 模块远程执行命令。
在 SolarWinds 供应链攻击导致多个美国政府机构妥协后,拜登总统于 2021 年 5 月签署了一项行政命令,以实现美国对未来网络攻击的防御现代化。
2022年1月,白宫发布新的联邦战略,推动美国政府采用“零信任”安全模式。
此举是由拜登的行政命令以及美国国家安全局和微软在 2021 年 2 月向关键网络(国家安全系统、国防部、国防工业基地)和大型企业推荐的这种方法推动的。
在白宫宣布这一消息之后,美国国家标准与技术研究院 (NIST) 在 5 月发布了有关企业如何防御供应链攻击的最新指南。
微软于 2021 年 10 月发布的一份报告提供了更多证据表明软件供应链是一个受欢迎且持续的目标。
该公司透露,俄罗斯支持的 Nobelium 黑客组织在攻破 SolarWinds 后一直瞄准全球 IT 供应,自 2021 年 5 月以来攻击了 140 家托管服务提供商 (MSP) 和云服务提供商后,黑客攻击了至少 14 家托管服务提供商 (MSP) 和云服务提供商。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 美国国家安全局NSA为软件供应商分享供应链安全提示
