آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده با همکاری آژانس امنیت ملی آمریکا و دفتر مدیریت اطلاعات ملی این کشور نشریه ایمنسازی زنجیره تأمین نرمافزار را منتشر کرد.
اختصاصی افتانا: آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده با همکاری آژانس امنیت ملی آمریکا و دفتر مدیریت اطلاعات ملی این کشور نشریه ایمنسازی زنجیره تأمین نرمافزار را منتشر کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Infosecurity، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به تازگی بخش پایانی مجموعه سه بخشی خود را در مورد ایمنسازی زنجیره تأمین نرمافزار منتشر کرد.
این نشریه که پس از انتشار دستورالعملهای آگوست ۲۰۲۲ برای توسعهدهندگان و انتشار دستورالعملهای اکتبر ۲۰۲۲ برای تأمینکنندگان منتشر میشود، شیوههای توصیه شده را برای مشتریان برای اطمینان از یکپارچگی و امنیت نرمافزار در مراحل تهیه و استقرار ارائه میکند.
این نشریه با همکاری آژانس امنیت ملی آمریکا (NSA) و دفتر مدیریت اطلاعات ملی (ODNI) منتشر شده است و سناریوهای مختلفی را توصیف میکند که عوامل تهدید میتوانند از آنها سوء استفاده کنند. این عوامل شامل این واقعیت است که الزامات امنیتی در نظر گرفته شده برای مقابله با تهدیدات، مختص این حوزه نیست یا الزامات سازمانی را حذف نمیکند و شکاف در تجزیه و تحلیل الزامات امنیتی ممکن است منجر به عدم تطابق راه حل یا کنترلهای امنیتی انتخاب شده شود.
CISA در این باره نوشت: «نارساییهای امنیتی عمومی ممکن است زمانی که یک محصول به درستی محافظت نمیشود، زمانی که مشتری با موقعیت جغرافیایی مشکوک و ابردادهها مرتبط است، یا زمانی که مشتری مشکوک به ارتباط با منافع خارجی است، غالب شود.»
این آژانس مجموعهای از توصیهها را برای کمک به کاهش آسیبپذیریها در مرحله تدارکات و تملک ارائه کرد.
از جمله آنها میتوان به بهروز نگه داشتن الزامات امنیتی و ارزیابی ریسک با استفاده از فرآیندهای تجاری و نیاز به حفاظت و کنترل کافی موقعیت جغرافیایی همه دادهها و ابردادهها را نام برد.
علاوه بر این، شرکتها باید نقشهای فردی را برای تأیید الزامات امنیتی سازمانی و دامنه خاص اختصاص دهند و تعاریف نمایه ریسک را با حوزههای مأموریت و سازمانی هماهنگ کنند.
سونیل یو، مدیر ارشد امنیت اطلاعات در JupiterOne گفت: تولید نرمافزار معمولاً توسط صنعت انجام میشود، بنابراین نیروهای صنعتی وجود خواهند داشت که در برابر تولید صورتحسابهای نرمافزاری مواد (SBOM) مقاومت میکنند. از آنجایی که هم صنعت و هم دولت نرمافزار مصرف میکنند، حمایت از SBOMهای اشتراکی به نفع هر دو صنعت و دولت است. با این حال، ما شاهد مقاومت کمتری در داخل دولت خواهیم بود.
CISA همچنین گفت که الزامات امنیتی برای تمام خریدها نیز باید ایجاد شود. هنگام خرید نرمافزار از طریق نهادهای خارجی یا تأمینکنندگان شخص ثالث، مشتریان باید نظارت مستمر بر کل محاسبه مدیریت ریسک زنجیره تامین (SCRM) و همچنین کنترلهای مناسب برای کاهش تغییرات در مفروضات و خطرات امنیتی را اجرا کنند.
ملیسا بیشوپینگ، مدیر تحقیقات امنیت نقطه پایانی در Tanium، اظهار داشت: کاربران محصولات شخص ثالث باید یک موجودی دقیق با راه حل های SBOM برای درک وابستگیها و خطرات داشته باشند. در حالی که ما امیدواریم ارائهدهندگان نرمافزار بیشتری مستندات واضح و شفافی از وابستگیها و کتابخانهها ارائه دهند، SBOM ابزار قدرتمندی است که میتواند بینش مهمی را هنگام ظهور آسیبپذیریها ارائه دهد.
دستورالعملهای امنیتی زنجیره تأمین نیز ماه گذشته توسط مرکز امنیت سایبری ملی (NCSC) در بریتانیا منتشر شده است. منبع: Infosecurity