Come puoi assicurarti che i tuoi profitti non vengano vanificati dal Memo OMB?

Il governo degli Stati Uniti sta rinnovando le sue politiche di sicurezza informatica. Ciò include il rilascio di Secure Software Development Framework (SSDF) versione 1.1 dal National Institute of Standards and Technology (NIST), che mira a ridurre le vulnerabilità della sicurezza durante il ciclo di vita dello sviluppo del software (SDLC).

Il documento fornisce ai fornitori e agli acquirenti di software “un insieme fondamentale di pratiche di sviluppo software sicure di alto livello che possono essere integrate in ciascuna implementazione SDLC." 

Una prima bozza di quadro è stata pubblicata nel settembre 2021, seguita dalla versione finale nel febbraio 2022, che conteneva solo aggiornamenti minori. L'SSDF combina raccomandazioni di best practice per la sicurezza SDLC pur rimanendo personalizzabile e indipendente dal settore. 

Non è un documento che prescrive metodologie fisse per ciascuna pratica. Si concentra invece sui risultati piuttosto che su strumenti, tecniche e meccanismi specifici. La SSDF promuove un approccio basato sul rischio, in cui le organizzazioni sono incoraggiate a consultare riferimenti e altre risorse per determinare quali pratiche sono rilevanti per le loro operazioni e come dovrebbero essere implementate.

L’SSDF include raccomandazioni nelle seguenti aree:

• Garantire che il personale, i processi e la tecnologia di un'organizzazione siano preparati per lo sviluppo sicuro di software
• Proteggere tutti i componenti software da manomissioni e/o accessi non autorizzati
• Rilascio di software sicuro con vulnerabilità di sicurezza minime
• Identificare eventuali vulnerabilità dopo il rilascio e rispondere in modo appropriato

Le raccomandazioni diventano rapidamente direttive

In collaborazione con il settore privato, il NIST è stato incaricato di creare la SSDF Ordine Esecutivo 14028, "Migliorare la sicurezza informatica della nazione". L'ordinanza ordina inoltre all'Ufficio di gestione e bilancio (OMB) di, entro 30 giorni dall'emissione, "adottare le misure appropriate per richiedere che le agenzie rispettino tali linee guida rispetto al software acquistato dopo la data del presente ordine."

Nel marzo 7thNel 2022, l’OMB ha rilasciato una dichiarazione che includeva quanto segue: “Le agenzie federali devono iniziare ad adottare la SSDF e le relative linee guida con effetto immediato, adattandole al profilo di rischio e alla missione dell’agenzia”. 

Pertanto, sebbene l’SSDF sia un elenco di raccomandazioni, deve essere seguito da tutte le organizzazioni che forniscono software al governo degli Stati Uniti. Sebbene non sia un requisito legale per lo sviluppo di tutti i software, l’SSDF rappresenta comunque un passo considerevole nella politica di sicurezza informatica degli Stati Uniti.

Dato il potere di spesa del governo statunitense, in quanto grande consumatore di software esterno, si presume che queste raccomandazioni si diffonderanno al resto del settore, diventando la norma per lo sviluppo di software negli Stati Uniti. Di conseguenza, qualsiasi organizzazione che consideri di candidarsi per il governo statunitense i contratti devono scopri come aderire alla SSDF, e qualsiasi organizzazione che voglia operare con successo negli Stati Uniti dovrà probabilmente adeguarsi.

Memo dell'OMB sulle priorità della sicurezza informatica

La SSDF non è l’unica novità nella politica di sicurezza informatica degli Stati Uniti. Il governo degli Stati Uniti ha recentemente chiesto alle agenzie di enfatizzare nuove priorità, tra cui l’implementazione di un approccio zero-trust e la modernizzazione dei sistemi IT legacy.

A seguito dell'Ordine Esecutivo 14028, l'OMB e l'Ufficio del Direttore Nazionale Cyber ​​(ONCB) hanno rilasciato un promemoria luglio 22nd, 2022, delineando le priorità di investimento informatico tra agenzie del governo degli Stati Uniti per la presentazione del bilancio nell'anno fiscale 2024.

Delinea tre priorità in cui le agenzie del ramo esecutivo civile federale (FCEB) dovrebbero investire. L'OMB e l'ONCD esamineranno la risposta di ciascuna agenzia e forniranno feedback per garantire "le priorità siano adeguatamente affrontate e coerenti con la strategia e la politica generale di sicurezza informatica, aiutando la pianificazione pluriennale delle agenzie attraverso il regolare processo di budget."

Le tre priorità per gli investimenti informatici sono:

#1: Migliorare la difesa e la resilienza delle reti governative

La nota chiede alle agenzie FCEB di stabilire le priorità implementazione Zero Trust ed Modernizzazione dell'IT.

Il modello di sicurezza Zero Trust descrive l’implementazione di sistemi IT in cui ogni utente o dispositivo non è affidabile per impostazione predefinita. Le architetture tipiche vengono verificate una volta, quindi consentono agli utenti o ai dispositivi di accedere alla rete. Al contrario, le architetture Zero Trust verificano qualsiasi cosa all’interno del sistema.

La strategia Federal Zero Trust è delineata nella propria Nota dell'OMB, pubblicato il 26 gennaioth, 2022. La strategia prevede che tutte le agenzie governative raggiungano specifici obiettivi Zero Trust entro la fine dell’anno fiscale 2024. 

Si spera”raggiungere una linea di base coerente a livello aziendale per la sicurezza informatica fondata sui principi del privilegio minimo, riducendo al minimo la superficie di attacco e progettando protezioni partendo dal presupposto che i perimetri delle agenzie dovrebbero essere considerati compromessi. "

Si tratta di un cambiamento importante per le agenzie governative: da ora in poi, sarà loro richiesto di analizzare tutto il software che utilizzano (sia esso creato internamente o proveniente da un fornitore esterno) per garantire che soddisfi i requisiti di sicurezza Zero Trust.

La modernizzazione IT si riferisce al numero considerevole di sistemi legacy utilizzati dalle agenzie governative e al debito tecnico che sostengono. Proposte di bilancio per il 2024”dovrebbero dare priorità alle modernizzazioni tecnologiche che portino alla sicurezza integrata durante la fase di progettazione, così come durante l’intero ciclo di vita del sistema”.

Ciò comprende:

• Accelerare l'adozione di un'infrastruttura cloud sicura che sfrutta l'architettura Zero Trust
• Distribuzione di prodotti, servizi e standard federali condivisi per garantire esperienze sicure ai clienti
• Utilizzando tecnologie di sicurezza condivise e collaborando con il programma di diagnostica e mitigazione continua del Dipartimento per la sicurezza nazionale
• Condivisione della consapevolezza tra i team di sicurezza e delle operazioni IT
• Utilizzo di pratiche di sviluppo Agile e integrazione dell'SSDF

#2: Approfondire la collaborazione intersettoriale nella difesa delle infrastrutture critiche

La protezione dalle moderne minacce informatiche richiederà una notevole collaborazione tra il settore privato e quello pubblico. L’OMB chiede alla FCEB di costruire partenariati dando priorità alle responsabilità della Sector Risk Management Agency (SRMA) e condividendo le informazioni attraverso i centri di sicurezza informatica.

Le agenzie devono dare priorità alla creazione di metodi e meccanismi che facilitino la collaborazione con i proprietari delle infrastrutture critiche al fine di mitigare le potenziali minacce. Gli SRMA dovrebbero anche fornire richieste di budget che “riflettere risorse adeguate per adempiere alle proprie responsabilità ai sensi della sezione 9002 del National Defense Authorization Act del 2021.Nello specifico, le candidature devono:

• Consentire agli SRMA di collaborare strettamente con la Cybersecurity and Infrastructure Security Agency (CISA) e altri SRMA
• Consentire al governo e all’industria di scambiare informazioni
• Migliorare la comprensione dei rischi per la sicurezza nazionale per ciascun settore

#3: Rafforzare le basi del nostro futuro abilitato al digitale

L’ultima priorità chiede a FCEB di dare priorità all’infrastruttura fisica, al capitale umano e al rischio della catena di fornitura mentre gran parte dell’economia statunitense subisce la trasformazione digitale.

• Infrastruttura fisica 

Il recente Infrastructure Investment and Jobs Act (IIJA) rappresenta un enorme investimento da parte del governo statunitense. L’OMB chiede alle agenzie FCEB di sostenere tutti gli sforzi per proteggere le infrastrutture dagli attacchi informatici. Ciò include lo sviluppo di standard di sicurezza informatica e la fornitura di supporto tecnico per nuovi progetti.

• Il capitale umano

Per contrastare le minacce informatiche, le agenzie sono incoraggiate a investire in talenti IT e in nuovi strumenti che promuovono le competenze digitali in tutta la forza lavoro.

• Rischio della catena di fornitura del software

Sicurezza della catena di fornitura del software sta diventando un rischio crescente per la sicurezza informatica. Di conseguenza, le agenzie federali sono attualmente tenute a stabilire iniziative di gestione del rischio della catena di fornitura (SCRM) durante le acquisizioni, in particolare per quelle nel settore delle tecnologie e dei servizi di informazione e comunicazione (ICTS). Anche se questo requisito scadrà alla fine del 2023, esiste legislazione pendente che lo estenderà fino al 2026.

Si prevede che le agenzie sostengano gli investimenti SCRM dello scorso anno e orientino nuove risorse. Oltre a sviluppare le capacità di acquisizione del governo federale, il governo svolge anche un ruolo significativo nell'affrontare il rischio della catena di fornitura nazionale dell'ICTS.

La nota dell'OMB afferma: “Nelle proposte di bilancio per l’anno fiscale 2024, le agenzie dovrebbero evidenziare gli investimenti che supportano uno sforzo nazionale per mitigare livelli di rischio indebiti o inaccettabili per la sicurezza economica e la sicurezza nazionale degli Stati Uniti.” Ciò include investimenti riguardanti Ordine Esecutivo 13873, "Proteggere la catena di fornitura dei servizi e delle tecnologie dell'informazione e della comunicazione".

La politica di sicurezza informatica degli Stati Uniti si sta muovendo rapidamente; sei attrezzato per tenere il passo?

Con le crescenti richieste di sicurezza informatica, le società di sviluppo software che desiderano operare negli Stati Uniti devono assicurarsi di potersi adattare con successo alle nuove linee guida.

L'SSDF è già entrato in vigore e le organizzazioni devono apprendere le nuove linee guida per lo sviluppo del software che dovranno seguire. L’SSDF promuove una serie di misure che riducono l’esposizione alle vulnerabilità e all’accesso non autorizzato in tutto l’SDLC, incoraggiando al tempo stesso la trasparenza. Ciò comprende:

• Convalida degli artefatti
• Artefatti con firma digitale
• Tracciamento dei file per modifiche e generazione di prove
• Convalida di ogni componente all'interno dell'artefatto software finale

L’ultima nota dell’OMB sulle priorità degli investimenti informatici non solo sottolinea nuovamente l’adozione della SSDF, ma definisce anche una serie di priorità per le agenzie governative. Il più significativo per gli sviluppatori di software è l’implementazione dell’architettura Zero Trust nel software utilizzato da FCEB. Questo promemoria entrerà in vigore nel 2024, quindi le organizzazioni che devono adattare i propri prodotti non hanno molto tempo per prepararsi.

Sebbene i nuovi requisiti delineati dalla nota dell’OMB si applichino solo alle organizzazioni che desiderano ottenere contratti con le agenzie FCEB, la direzione del viaggio suggerisce che nuove linee guida sulla sicurezza informatica saranno probabilmente adottate per tutti gli appaltatori federali, come delineato nell’ordine esecutivo 14028.

Le organizzazioni che sono lente ad adattarsi rischiano di perdere affari con il governo statunitense e potenzialmente con altri clienti statunitensi. Ora è il momento di implementare un modello di sicurezza Zero Trust e apprendere le migliori pratiche SSDF. 

Sommario

Il governo degli Stati Uniti sta mostrando significativi progressi per quanto riguarda la politica di sicurezza informatica. Con l’SSDF già in vigore e le nuove priorità informatiche dell’OMB che entreranno in vigore nel 2024, le organizzazioni che desiderano continuare a operare negli Stati Uniti hanno molteplici nuove linee guida da apprendere e rispettare.

Post Correlati

Utilizzo dell'attacco all'app desktop 3CX per illustrare l'importanza della firma e della verifica del software

Alla fine di marzo 2023, i ricercatori di sicurezza hanno denunciato un complesso attacco alla catena di fornitura software da parte di un hacker contro il software di comunicazione aziendale di 3CX, principalmente l’app desktop per chiamate vocali e videochiamate dell’azienda. I ricercatori hanno avvertito che l'app era in qualche modo trojanizzata e che il suo utilizzo avrebbe potuto esporre l'organizzazione a un possibile piano di esfiltrazione da parte di un autore di minacce. […]

Ricerca parallela sulle vulnerabilità di GitHub

Il mese scorso mi sono imbattuto in questo articolo di Dark Reading. Sembrava molto familiare. Non mi ci è voluto molto per capire che la vulnerabilità di avvelenamento degli artefatti del cross-workflow di GitHub discussa nell'articolo aveva una sorprendente somiglianza con la vulnerabilità di avvelenamento della cache del cross-workflow di GitHub che abbiamo segnalato nel marzo 2022. Flussi di lavoro GitHub: un componente chiave di GitHub […]

Utilizzo di SBOM e analisi dei feed per proteggere la catena di fornitura del software

"I fornitori di software devono essere ritenuti responsabili quando non riescono a rispettare il dovere di diligenza nei confronti dei consumatori, delle imprese o dei fornitori di infrastrutture critiche" (la Casa Bianca). Oggi, ci si aspetta che qualsiasi fornitore di software si assuma una maggiore responsabilità nel garantire l’integrità e la sicurezza del software attraverso accordi contrattuali, rilasci e aggiornamenti del software, notifiche e […]