OMB 메모로 인해 수익이 손실되지 않도록 어떻게 할 수 있나요?

미국 정부는 사이버 보안 정책을 개편하는 과정에 있습니다. 여기에는 다음의 출시가 포함됩니다. 보안 소프트웨어 개발 프레임워크(SSDF) 버전 1.1 SDLC(소프트웨어 개발 수명 주기) 전반에 걸쳐 보안 취약성을 줄이는 것을 목표로 하는 NIST(국립 표준 기술 연구소)의 연구입니다.

이 문서는 소프트웨어 공급업체와 인수업체에 다음과 같은 정보를 제공합니다.각 SDLC 구현에 통합될 수 있는 높은 수준의 보안 소프트웨어 개발 방식의 핵심 세트입니다." 

초기 프레임워크 초안은 2021년 2022월에 게시되었으며, 이후 XNUMX년 XNUMX월에 최종 버전이 게시되었습니다. 사소한 업데이트. SSDF는 SDLC 보안에 대한 모범 사례 권장 사항을 결합하는 동시에 사용자 정의가 가능하고 부문에 구애받지 않습니다. 

각 실무에 대해 고정된 방법론을 규정하는 문서는 아닙니다. 대신 특정 도구, 기술 및 메커니즘보다는 결과에 중점을 둡니다. SSDF는 조직이 참고 자료 및 기타 리소스를 참조하여 운영과 관련된 관행과 구현 방법을 결정하도록 권장하는 위험 기반 접근 방식을 장려합니다.

SSDF에는 다음 영역에 대한 권장 사항이 포함되어 있습니다.

• 안전한 소프트웨어 개발을 위해 조직의 인력, 프로세스 및 기술이 준비되어 있는지 확인
• 모든 소프트웨어 구성 요소를 변조 및/또는 무단 액세스로부터 보호합니다.
• 보안 취약점을 최소화한 보안 소프트웨어 출시
• 출시 후 취약점 식별 및 적절하게 대응

권장 사항은 빠르게 지침이 됩니다.

NIST는 민간 부문과 협력하여 SSDF를 만들도록 지시받았습니다. 대통령령 14028, “국가의 사이버 보안 개선.” 이 명령은 또한 관리예산처(OMB)에 발행 후 30일 이내에 “기관이 이 주문 날짜 이후에 조달된 소프트웨어와 관련하여 해당 지침을 준수하도록 요구하는 적절한 조치를 취하십시오."

3 월 7th, 2022년 OMB는 다음과 같은 내용이 포함된 성명을 발표했습니다.연방 기관은 SSDF 및 관련 지침을 즉시 채택하여 기관의 위험 프로필과 임무에 맞게 조정해야 합니다.” 

따라서 SSDF는 권장 사항 목록이지만 미국 정부에 소프트웨어를 공급하는 모든 조직은 이를 따라야 합니다. SSDF는 모든 소프트웨어 개발에 대한 법적 요구 사항은 아니지만 여전히 미국 사이버 보안 정책에서 상당한 단계를 나타냅니다.

외부 소프트웨어의 대규모 소비자인 미국 정부의 지출 능력을 고려하면 이러한 권장 사항이 나머지 산업계로 여과되어 미국 소프트웨어 개발의 표준이 될 것으로 가정됩니다. 결과적으로 미국 정부 지원을 고려하는 모든 조직은 계약은 반드시 SSDF를 준수하는 방법을 알아보세요., 미국에서 성공적으로 운영하려는 조직도 이를 준수해야 할 것입니다.

사이버 보안 우선순위에 관한 OMB 메모

SSDF는 미국 사이버 보안 정책의 유일한 새로운 발전은 아닙니다. 미국 정부는 최근 기관들에 제로 트러스트 접근 방식 구현, 레거시 IT 시스템 현대화 등 새로운 우선순위를 강조해 줄 것을 요청했습니다.

행정 명령 14028에 따라 OMB와 ONCB(Office of the National Cyber ​​Director)는 다음과 같은 내용을 발표했습니다. 메모 7 월 22에nd, 2022, 2024 회계연도 예산 제출에 대한 미국 정부의 기관 간 사이버 투자 우선순위를 간략하게 설명합니다.

여기에는 연방 민간 행정부(FCEB) 기관이 ​​투자해야 하는 세 가지 우선 순위가 요약되어 있습니다. OMB와 ONCD는 각 기관의 대응을 검토하고 다음과 같은 피드백을 제공합니다.우선 순위가 적절하게 해결되고 전반적인 사이버 보안 전략 및 정책과 일치하여 정규 예산 프로세스를 통해 기관의 다년간 계획을 지원합니다."

사이버 투자의 세 가지 우선순위는 다음과 같습니다.

#1: 정부 네트워크의 방어 및 탄력성 향상

메모는 FCEB 기관들에게 우선순위를 정할 것을 요청합니다. 제로 트러스트 구현 및 IT 현대화.

제로 트러스트 보안 모델은 기본적으로 모든 사용자 또는 장치를 신뢰하지 않는 IT 시스템의 구현을 설명합니다. 일반적인 아키텍처는 한 번 확인한 다음 사용자 또는 장치가 네트워크에 액세스하도록 허용합니다. 이와 대조적으로 제로 트러스트 아키텍처는 시스템 내의 모든 것을 확인합니다.

연방 제로 트러스트 전략은 자체적으로 설명되어 있습니다. OMB 메모, 26월 XNUMX일 출시th, 2022. 이 전략에 따르면 모든 정부 기관은 2024 회계연도 말까지 특정 제로 트러스트 목표를 달성해야 합니다. 

“최소 권한 원칙, 공격 표면 최소화, 기관 경계가 손상된 것으로 간주되어야 한다는 가정을 중심으로 보호 설계를 기반으로 사이버 보안에 대한 일관된 전사적 기준을 달성합니다.. "

이는 정부 기관에 있어서 중요한 변화입니다. 앞으로 정부 기관에서는 사용하는 모든 소프트웨어(내부에서 구축했든 외부 공급업체에서 공급했든)를 분석하여 제로 트러스트 보안 요구 사항을 충족하는지 확인해야 합니다.

IT 현대화는 정부 기관이 활용하는 상당수의 레거시 시스템과 이로 인해 발생하는 기술적 부채를 의미합니다. 2024년 예산 제출 “설계 단계는 물론 시스템 수명 주기 전반에 걸쳐 통합된 보안으로 이어지는 기술 현대화에 우선순위를 두어야 합니다.”

여기에는 다음이 포함됩니다.

• 제로 트러스트 아키텍처를 활용하는 안전한 클라우드 인프라 도입 가속화
• 안전한 고객 경험을 강화하기 위해 연방 공유 제품, 서비스 및 표준 배포
• 공유 보안 기술을 사용하고 국토안보부의 지속적인 진단 및 완화 프로그램에 참여
• 보안팀과 IT 운영팀 간의 인식 공유
• Agile 개발 방식 사용 및 SSDF 통합

#2: 중요 인프라를 방어하기 위한 부문 간 협력 심화

최신 사이버 위협으로부터 보호하려면 민간 부문과 공공 부문 간의 상당한 협력이 필요합니다. OMB는 부문위험관리청(SRMA) 책임의 우선순위를 정하고 사이버 보안 센터를 통해 정보를 공유함으로써 파트너십을 구축할 것을 FCEB에 요청하고 있습니다.

기관은 잠재적인 위협을 완화하기 위해 중요한 인프라 소유자와의 협력을 촉진하는 구축 방법과 메커니즘의 우선순위를 정해야 합니다. SRMA는 또한 다음과 같은 예산 요청을 제공해야 합니다.9002년 국방수권법 제2021조에 따라 책임을 이행하기 위한 적절한 자원을 반영합니다.” 구체적으로 제출물은 다음을 충족해야 합니다.

• SRMA가 CISA(사이버보안 및 인프라 보안국) 및 기타 SRMA와 긴밀하게 협력할 수 있도록 허용합니다.
• 정부와 업계의 정보 교환 활성화
• 부문별 국가안보위험에 대한 이해도 제고

#3: 디지털 기반 미래의 기반 강화

마지막 우선순위에서는 FCEB가 미국 경제의 더 많은 부분이 디지털 혁신을 겪으면서 물리적 인프라, 인적 자본, 공급망 위험의 우선순위를 정하도록 요청합니다.

• 물리적 인프라 

최근의 인프라 투자 및 일자리법(IIJA)은 미국 정부의 막대한 투자를 나타냅니다. OMB는 FCEB 기관들에게 사이버 공격으로부터 인프라를 보호하기 위한 모든 노력을 지원할 것을 요청하고 있습니다. 여기에는 사이버 보안 표준 개발과 새로운 프로젝트에 대한 기술 지원 제공이 포함됩니다.

• 인적 자본

사이버 위협에 대응하기 위해 기관은 더 넓은 인력의 디지털 역량을 촉진하는 IT 인재와 새로운 도구에 투자하도록 권장됩니다.

• 소프트웨어 공급망 위험

소프트웨어 공급망 보안 사이버 보안 위험이 커지고 있습니다. 결과적으로 연방 기관은 특히 정보통신기술 및 서비스(ICTS) 인수 과정에서 공급망 위험 관리(SCRM) 이니셔티브를 수립해야 합니다. 이 요구 사항은 2023년 말에 만료되도록 설정되어 있지만 계류 중인 법안 그러면 2026년까지 연장됩니다.

기관들은 작년의 SCRM 투자를 유지하고 새로운 자원을 목표로 삼을 것으로 예상됩니다. 연방 정부의 인수 역량 구축 외에도 정부는 국가 ICTS 공급망 위험을 해결하는 데에도 중요한 역할을 합니다.

OMB의 메모에는 다음과 같이 명시되어 있습니다.2024 회계연도 예산 제출에서 기관은 미국의 경제 안보와 국가 안보에 대한 과도하거나 수용할 수 없는 수준의 위험을 완화하기 위한 국가적 노력을 지원하는 투자를 강조해야 합니다." 여기에는 다음에 관한 투자가 포함됩니다. 대통령령 13873, “정보통신 기술 및 서비스 공급망 보호.”

미국의 사이버 보안 정책은 빠르게 움직이고 있습니다. 따라잡을 준비가 되어 있나요?

사이버 보안 요구가 증가함에 따라 미국에서 사업을 운영하려는 소프트웨어 개발 회사는 새로운 지침에 성공적으로 적응할 수 있는지 확인해야 합니다.

SSDF는 이미 발효되었으며 조직은 따라야 할 새로운 소프트웨어 개발 지침을 배워야 합니다. SSDF는 SDLC 전체에서 취약성에 대한 노출과 무단 액세스를 줄이는 동시에 투명성을 장려하는 다양한 조치를 장려합니다. 여기에는 다음이 포함됩니다.

• 아티팩트 검증
• 디지털 서명 아티팩트
• 변경 사항에 대한 파일 추적 및 증거 생성
• 최종 소프트웨어 결과물 내의 모든 구성요소 검증

사이버 투자 우선순위에 관한 최신 OMB 메모는 SSDF 채택을 다시 강조할 뿐만 아니라 정부 기관의 다양한 우선순위도 제시합니다. 소프트웨어 개발자에게 가장 중요한 것은 FCEB가 사용하는 소프트웨어 전반에 걸쳐 제로 트러스트 아키텍처를 구현하는 것입니다. 이 메모는 2024년에 발효되므로 제품을 조정해야 하는 조직은 준비할 시간이 많지 않습니다.

OMB 메모에 설명된 새로운 요구 사항은 FCEB 기관과의 계약을 조달하려는 조직에만 적용되지만, 이동 방향에 따르면 행정 명령 14028에 설명된 대로 모든 연방 계약자에 대해 새로운 사이버 보안 지침이 채택될 가능성이 높습니다.

적응이 느린 조직은 미국 정부 및 잠재적으로 다른 미국 고객의 비즈니스를 놓칠 위험이 있습니다. 이제 제로 트러스트 보안 모델을 구현하고 SSDF 모범 사례를 배울 때입니다. 

요약

미국 정부는 사이버 보안 정책과 관련하여 상당한 진전을 보이고 있습니다. SSDF가 이미 시행되고 있고 2024년에 새로운 OMB 사이버 우선순위가 발효됨에 따라 미국에서 계속 운영하려는 조직은 배우고 준수해야 할 여러 가지 새로운 지침을 갖게 되었습니다.

관련 게시물

CISA의 보안 소프트웨어 자체 증명 공통 양식: 책임에 대한 전환점

2022년 XNUMX월, 미국 관리예산국(OMB)은 소프트웨어 공급망을 미국 연방 정부가 허용할 수 있는 수준으로 보호하는 데 필요한 단계에 관한 획기적인 메모를 발표했습니다. 소프트웨어를 생산하는 정부 및 연방 기관과 사업을 하려는 모든 회사는 […]

CISA의 SBOM 공유 수명 주기 보고서에서 배울 수 있는 내용

2023년 XNUMX월 DHS, CISA, DOE, CESER는 '소프트웨어 자재 명세서(SBOM) 공유 수명 주기 보고서'라는 제목의 보고서를 발표했습니다. 보고서의 목적은 사람들이 SBOM을 공유하는 현재 방식을 검토하고 이러한 공유가 어떻게 더 효율적이고 정교하게 수행될 수 있는지 개괄적으로 설명하는 것이었습니다.

놀라운 균형: '왼쪽 시프트' 및 SDLC 가드레일을 통해 소프트웨어 보안 재정의

TL;DR 최근 몇 년 동안 기술 업계에서는 소프트웨어 개발에서 "왼쪽으로 이동"이라는 개념을 열렬히 옹호하면서 보안 관행을 개발 수명 주기에 조기에 통합할 것을 옹호했습니다. 이 움직임은 개발자에게 프로젝트 시작부터 코드 보안을 보장할 책임을 부여하는 것을 목표로 합니다. 그러나 이러한 접근 방식의 의도는 […]