Die US-Regierung ist dabei, ihre Cybersicherheitsrichtlinien zu überarbeiten. Dies beinhaltet die Veröffentlichung von Secure Software Development Framework (SSDF) Version 1.1 vom National Institute of Standards and Technology (NIST), dessen Ziel es ist, Sicherheitslücken im gesamten Software Development Life Cycle (SDLC) zu reduzieren.
Das Dokument bietet Softwareanbietern und -käufern „ein Kernsatz hochgradiger sicherer Softwareentwicklungspraktiken, die in jede SDLC-Implementierung integriert werden können."
Ein erster Rahmenentwurf wurde im September 2021 veröffentlicht, gefolgt von der endgültigen Fassung im Februar 2022, die nur Folgendes enthielt: kleinere Updates. Das SSDF kombiniert Best-Practice-Empfehlungen für SDLC-Sicherheit und bleibt dabei anpassbar und branchenunabhängig.
Es handelt sich nicht um ein Dokument, das feste Methoden für jede Praxis vorschreibt. Stattdessen konzentriert es sich auf Ergebnisse und nicht auf spezifische Werkzeuge, Techniken und Mechanismen. Die SSDF fördert einen risikobasierten Ansatz, bei dem Organisationen dazu ermutigt werden, Referenzen und andere Ressourcen zu konsultieren, um zu bestimmen, welche Praktiken für ihren Betrieb relevant sind und wie sie umgesetzt werden sollten.
Das SSDF enthält Empfehlungen in den folgenden Bereichen:
- Sicherstellen, dass die Mitarbeiter, Prozesse und Technologien einer Organisation auf eine sichere Softwareentwicklung vorbereitet sind
- Schutz aller Softwarekomponenten vor Manipulation und/oder unbefugtem Zugriff
- Veröffentlichung sicherer Software mit minimalen Sicherheitslücken
- Identifizieren Sie etwaige Schwachstellen nach der Veröffentlichung und reagieren Sie entsprechend
Aus Empfehlungen werden schnell Richtlinien
In Zusammenarbeit mit dem Privatsektor wurde NIST angewiesen, das SSDF zu schaffen Executive Order 14028, „Verbesserung der Cybersicherheit der Nation.“ Die Anordnung weist das Office of Management and Budget (OMB) außerdem an, innerhalb von 30 Tagen nach Erlass „Ergreifen Sie geeignete Maßnahmen, um von den Agenturen die Einhaltung dieser Richtlinien in Bezug auf Software zu verlangen, die nach dem Datum dieser Bestellung beschafft wurde."
Im März 7th2022 veröffentlichte die OMB eine Erklärung mit folgendem Inhalt: „Bundesbehörden müssen mit sofortiger Wirkung damit beginnen, das SSDF und die zugehörigen Leitlinien zu übernehmen und sie an das Risikoprofil und die Mission der Behörde anzupassen.“
Daher handelt es sich bei der SSDF zwar um eine Liste von Empfehlungen, sie muss jedoch von allen Organisationen befolgt werden, die der US-Regierung Software liefern. Obwohl die SSDF keine gesetzliche Anforderung für die gesamte Softwareentwicklung ist, stellt sie dennoch einen erheblichen Schritt in der US-amerikanischen Cybersicherheitspolitik dar.
Angesichts der Kaufkraft der US-Regierung als großer Verbraucher externer Software wird davon ausgegangen, dass diese Empfehlungen auf den Rest der Branche durchdringen und zur Norm für die Softwareentwicklung in den USA werden. Daher kann jede Organisation eine Bewerbung bei der US-Regierung in Betracht ziehen Verträge müssen Erfahren Sie, wie Sie sich an die SSDF halten, und jede Organisation, die in den USA erfolgreich operieren möchte, muss sich wahrscheinlich ebenfalls daran halten.
OMB-Memo zu Cybersicherheitsprioritäten
Das SSDF ist nicht die einzige Neuentwicklung in der US-amerikanischen Cybersicherheitspolitik. Die US-Regierung hat die Behörden kürzlich aufgefordert, neue Prioritäten zu setzen, darunter die Umsetzung eines Zero-Trust-Ansatzes und die Modernisierung veralteter IT-Systeme.
Im Anschluss an die Executive Order 14028 veröffentlichten das OMB und das Büro des National Cyber Director (ONCB) eine Memo am Juli 22nd, 2022, in dem die behördenübergreifenden Cyber-Investitionsprioritäten der US-Regierung für Haushaltsvorschläge im Geschäftsjahr 2024 dargelegt werden.
Darin werden drei Prioritäten dargelegt, in die die Behörden der Federal Civilian Executive Branch (FCEB) investieren sollten. OMB und ONCD werden die Reaktion jeder Behörde überprüfen und Feedback geben, um sicherzustellen, dass „Prioritäten werden angemessen berücksichtigt und stehen im Einklang mit der gesamten Cybersicherheitsstrategie und -politik, wodurch die mehrjährige Planung der Agenturen im Rahmen des regulären Budgetprozesses unterstützt wird."
Die drei Prioritäten für Cyber-Investitionen sind:
#1: Verbesserung der Verteidigung und Widerstandsfähigkeit von Regierungsnetzwerken
Das Memo fordert die FCEB-Agenturen auf, Prioritäten zu setzen Zero-Trust-Implementierung und IT-Modernisierung.
Das Zero-Trust-Sicherheitsmodell beschreibt die Implementierung von IT-Systemen, bei denen nicht jedem Benutzer oder Gerät standardmäßig vertraut wird. Typische Architekturen führen eine einmalige Überprüfung durch und ermöglichen dann Benutzern oder Geräten den Zugriff auf das Netzwerk. Im Gegensatz dazu verifizieren Zero-Trust-Architekturen alles und jeden innerhalb des Systems.
Die Zero-Trust-Strategie des Bundes wird in einem eigenen Dokument beschrieben OMB-Memo, veröffentlicht am 26. Januarth, 2022. Die Strategie verlangt von allen Regierungsbehörden, bis zum Ende des Geschäftsjahres 2024 spezifische Zero-Trust-Ziele zu erreichen.
Es hofft, „Erreichen Sie eine konsistente unternehmensweite Basis für Cybersicherheit, die auf den Grundsätzen der geringsten Rechte, der Minimierung der Angriffsfläche und der Gestaltung von Schutzmaßnahmen auf der Annahme basiert, dass der Perimeter der Behörde als gefährdet betrachtet werden sollte"
Dies ist ein wichtiger Wandel für Regierungsbehörden – künftig müssen sie die gesamte von ihnen verwendete Software (ob intern erstellt oder von einem externen Anbieter bezogen) analysieren, um sicherzustellen, dass sie den Zero-Trust-Sicherheitsanforderungen entspricht.
Unter IT-Modernisierung versteht man die beträchtliche Anzahl von Altsystemen, die Regierungsbehörden nutzen, und die damit verbundene technische Verschuldung. Haushaltsvorschläge für 2024“sollte Technologiemodernisierungen Vorrang einräumen, die zu einer integrierten Sicherheit sowohl in der Entwurfsphase als auch im gesamten Systemlebenszyklus führen.“
Dies beinhaltet:
- Beschleunigen Sie die Einführung einer sicheren Cloud-Infrastruktur, die die Zero-Trust-Architektur nutzt
- Bereitstellung gemeinsamer Produkte, Dienste und Standards des Bundes, um sichere Kundenerlebnisse zu ermöglichen
- Nutzung gemeinsamer Sicherheitstechnologien und Zusammenarbeit mit dem Continuous Diagnostics and Mitigation-Programm des Department of Homeland Security
- Sensibilisierung zwischen Sicherheits- und IT-Betriebsteams
- Verwendung agiler Entwicklungspraktiken und Integration der SSDF
#2: Vertiefung der sektorübergreifenden Zusammenarbeit bei der Verteidigung kritischer Infrastrukturen
Der Schutz vor modernen Cyber-Bedrohungen erfordert eine umfassende Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor. Das OMB bittet das FCEB, Partnerschaften aufzubauen, indem es die Zuständigkeiten der Sector Risk Management Agency (SRMA) priorisiert und Informationen über Cybersicherheitszentren austauscht.
Behörden müssen den Aufbau von Methoden und Mechanismen priorisieren, die die Zusammenarbeit mit Eigentümern kritischer Infrastrukturen erleichtern, um potenzielle Bedrohungen zu mindern. SRMAs sollten auch Budgetanträge stellen, die „über ausreichende Ressourcen verfügen, um ihre Aufgaben gemäß Abschnitt 9002 des National Defense Authorization Act von 2021 zu erfüllen.„Konkret müssen die Einreichungen:
- Ermöglichen Sie SRMAs eine enge Zusammenarbeit mit der Cybersecurity and Infrastructure Security Agency (CISA) und anderen SRMAs
- Ermöglichen Sie Regierung und Industrie den Informationsaustausch
- Verbessern Sie das Verständnis der nationalen Sicherheitsrisiken für jeden Sektor
#3: Die Grundlagen unserer digitalisierten Zukunft stärken
Die letzte Priorität besteht darin, dass FCEB der physischen Infrastruktur, dem Humankapital und dem Lieferkettenrisiko Priorität einräumt, da sich immer mehr Teile der US-Wirtschaft einer digitalen Transformation unterziehen.
- Physische Infrastruktur
Der jüngste Infrastructure Investment and Jobs Act (IIJA) stellt eine enorme Investition der US-Regierung dar. Das OMB fordert die FCEB-Agenturen auf, alle Bemühungen zum Schutz der Infrastruktur vor Cyberangriffen zu unterstützen. Dazu gehört die Entwicklung von Cybersicherheitsstandards und die technische Unterstützung neuer Projekte.
- Humankapital
Um Cyber-Bedrohungen entgegenzuwirken, werden Agenturen ermutigt, in IT-Talente und neue Tools zu investieren, die die digitale Kompetenz der gesamten Belegschaft fördern.
- Risiko der Software-Lieferkette
Sicherheit der Software-Lieferkette wird zu einem wachsenden Cybersicherheitsrisiko. Daher sind Bundesbehörden derzeit verpflichtet, bei Übernahmen Initiativen zum Supply Chain Risk Management (SCRM) zu etablieren, insbesondere im Bereich Informations- und Kommunikationstechnologie und -dienstleistungen (ICTS). Obwohl diese Anforderung Ende 2023 auslaufen soll, gibt es sie Gesetzgebung anhängig das wird es bis 2026 verlängern.
Von den Agenturen wird erwartet, dass sie die SCRM-Investitionen des letzten Jahres aufrechterhalten und neue Ressourcen einsetzen. Über den Aufbau der Beschaffungskapazitäten der Bundesregierung hinaus spielt die Regierung auch eine wichtige Rolle bei der Bewältigung des nationalen ICTS-Lieferkettenrisikos.
Im Memo von OMB heißt es: „In den Haushaltsvorschlägen für das Geschäftsjahr 2024 sollten die Behörden Investitionen hervorheben, die eine nationale Anstrengung zur Minderung unangemessener oder inakzeptabler Risiken für die wirtschaftliche Sicherheit und die nationale Sicherheit der Vereinigten Staaten unterstützen.„Dazu gehören auch Investitionen in Bezug auf Executive Order 13873, „Sicherung der Lieferkette für Informations- und Kommunikationstechnologie und -dienstleistungen.“
Die US-Cybersicherheitspolitik schreitet schnell voran; Sind Sie gerüstet, um mitzuhalten?
Angesichts der wachsenden Anforderungen an die Cybersicherheit müssen Softwareentwicklungsunternehmen, die in den USA tätig werden möchten, sicherstellen, dass sie sich erfolgreich an die neuen Richtlinien anpassen können.
Das SSDF ist bereits in Kraft getreten und Unternehmen müssen sich mit den neuen Softwareentwicklungsrichtlinien vertraut machen, die sie befolgen sollen. Die SSDF fördert eine Reihe von Maßnahmen, die die Gefährdung durch Schwachstellen und unbefugten Zugriff im gesamten SDLC verringern und gleichzeitig die Transparenz fördern. Das beinhaltet:
- Validierung von Artefakten
- Artefakte digital signieren
- Verfolgen Sie Dateien auf Änderungen und generieren Sie Beweise
- Validierung jeder Komponente innerhalb des endgültigen Software-Artefakts
Das jüngste OMB-Memo zu den Prioritäten bei Cyber-Investitionen betont nicht nur erneut die Einführung des SSDF, sondern legt auch eine Reihe von Prioritäten für Regierungsbehörden fest. Das wichtigste für Softwareentwickler ist die Implementierung einer Zero-Trust-Architektur in der gesamten vom FCEB verwendeten Software. Dieses Memo tritt im Jahr 2024 in Kraft, sodass Unternehmen, die ihre Produkte anpassen müssen, nicht viel Zeit haben, sich darauf vorzubereiten.
Während die im OMB-Memo dargelegten neuen Anforderungen nur für Organisationen gelten, die Verträge mit FCEB-Agenturen abschließen möchten, deutet die Richtung darauf hin, dass wahrscheinlich neue Cybersicherheitsrichtlinien für alle Bundesauftragnehmer verabschiedet werden, wie in der Executive Order 14028 dargelegt.
Organisationen, die sich nur langsam anpassen, laufen Gefahr, Aufträge der US-Regierung und möglicherweise anderer US-Kunden zu verpassen. Jetzt ist es an der Zeit, ein Zero-Trust-Sicherheitsmodell zu implementieren und sich mit den SSDF-Best Practices vertraut zu machen.
Zusammenfassung
Die US-Regierung zeigt deutliche Fortschritte in der Cybersicherheitspolitik. Da die SSDF bereits durchgesetzt wird und im Jahr 2024 neue OMB-Cyberprioritäten in Kraft treten, müssen Unternehmen, die weiterhin in den USA tätig sein möchten, mehrere neue Richtlinien lernen und einhalten.
Diese Inhalte werden Ihnen von Scribe Security zur Verfügung gestellt, einem führenden Anbieter von End-to-End-Sicherheitslösungen für die Software-Lieferkette, der modernste Sicherheit für Code-Artefakte sowie Code-Entwicklungs- und Bereitstellungsprozesse in der gesamten Software-Lieferkette bietet. Weitere Informationen.
Zusammenhängende Artikel
