De Amerikaanse regering is bezig haar cyberveiligheidsbeleid te herzien. Dit omvat de vrijgave van Secure Software Development Framework (SSDF) versie 1.1 door het National Institute of Standards and Technology (NIST), dat tot doel heeft beveiligingskwetsbaarheden gedurende de Software Development Life Cycle (SDLC) te verminderen.
Het document biedt softwareleveranciers en -verwervers “een kernset van veilige softwareontwikkelingspraktijken op hoog niveau die in elke SDLC-implementatie kunnen worden geïntegreerd."
In september 2021 werd een eerste conceptkader gepubliceerd, gevolgd door de definitieve versie in februari 2022, die alleen kleine updates. De SSDF combineert best-practice-aanbevelingen voor SDLC-beveiliging en blijft tegelijkertijd aanpasbaar en sectoronafhankelijk.
Het is geen document dat voor iedere praktijk vaste methodieken voorschrijft. In plaats daarvan is het gericht op resultaten in plaats van op specifieke hulpmiddelen, technieken en mechanismen. De SSDF promoot een risicogebaseerde aanpak, waarbij organisaties worden aangemoedigd referenties en andere bronnen te raadplegen om te bepalen welke praktijken relevant zijn voor hun activiteiten en hoe deze moeten worden geïmplementeerd.
De SSDF bevat aanbevelingen op de volgende gebieden:
- Ervoor zorgen dat de mensen, processen en technologie van een organisatie voorbereid zijn op veilige softwareontwikkeling
- Bescherming van alle softwarecomponenten tegen manipulatie en/of ongeautoriseerde toegang
- Het vrijgeven van veilige software met minimale beveiligingskwetsbaarheden
- Het identificeren van eventuele kwetsbaarheden na de release en het adequaat reageren
Aanbevelingen worden al snel richtlijnen
In samenwerking met de particuliere sector kreeg NIST de opdracht om de SSDF op te richten Executive Order 14028, "De cyberbeveiliging van het land verbeteren." Het bevel geeft het Office of Management and Budget (OMB) ook opdracht om, binnen 30 dagen na uitgifte, “passende stappen ondernemen om te eisen dat instanties dergelijke richtlijnen naleven met betrekking tot software die na de datum van dit bevel is aangeschaft."
Op maart 7thIn 2022 bracht de OMB een verklaring uit met het volgende: “Federale agentschappen moeten met onmiddellijke ingang beginnen met het adopteren van de SSDF en de bijbehorende richtlijnen, en deze afstemmen op het risicoprofiel en de missie van het agentschap.”
Hoewel de SSDF een lijst met aanbevelingen is, moet deze daarom worden gevolgd door alle organisaties die software aan de Amerikaanse overheid leveren. Hoewel het geen wettelijke vereiste is voor alle softwareontwikkeling, vertegenwoordigt de SSDF nog steeds een aanzienlijke stap in het Amerikaanse cyberbeveiligingsbeleid.
Met de koopkracht van de Amerikaanse overheid, als grote consument van externe software, wordt aangenomen dat deze aanbevelingen zullen doorsijpelen naar de rest van de industrie en de norm zullen worden voor softwareontwikkeling in de VS. Als gevolg hiervan zal elke organisatie die overweegt om zich aan te melden voor de Amerikaanse overheid contracten moeten leer hoe u zich aan de SSDF kunt houden, en elke organisatie die succesvol wil opereren in de VS zal waarschijnlijk ook aan de regels moeten voldoen.
OMB Memo over prioriteiten op het gebied van cyberveiligheid
De SSDF is niet de enige nieuwe ontwikkeling in het Amerikaanse cyberveiligheidsbeleid. De Amerikaanse regering heeft agentschappen onlangs gevraagd nieuwe prioriteiten te benadrukken, waaronder de implementatie van een zero-trust-aanpak en het moderniseren van bestaande IT-systemen.
In navolging van Executive Order 14028 hebben de OMB en het Office of the National Cyber Director (ONCB) een memo juli 22nd, 2022, waarin de cyberinvesteringsprioriteiten van de Amerikaanse regering voor begrotingsinzendingen voor het begrotingsjaar 2024 worden geschetst.
Het schetst drie prioriteiten waarin agentschappen van de Federal Civilian Executive Branch (FCEB) zouden moeten investeren. De OMB en ONCD zullen de reactie van elke instantie beoordelen en feedback geven om ervoor te zorgen dat “prioriteiten adequaat worden aangepakt en consistent zijn met de algemene cyberbeveiligingsstrategie en beleidsondersteunende meerjarenplanning van agentschappen via het reguliere begrotingsproces."
De drie prioriteiten voor cyberinvesteringen zijn:
#1: Verbetering van de verdediging en veerkracht van overheidsnetwerken
In de memo wordt de FCEB-agentschappen gevraagd prioriteiten te stellen Zero Trust-implementatie en IT-modernisering.
Het zero trust-beveiligingsmodel beschrijft de implementatie van IT-systemen waarbij niet standaard elke gebruiker of elk apparaat wordt vertrouwd. Typische architecturen verifiëren één keer en geven vervolgens gebruikers of apparaten toegang tot het netwerk. Zero trust-architecturen verifiëren daarentegen alles binnen het systeem.
De Federal Zero Trust-strategie wordt op zichzelf beschreven OMB-memo, uitgebracht op 26 januarith, 2022. De strategie vereist dat alle overheidsinstanties tegen het einde van het fiscale jaar 2024 specifieke zero trust-doelen bereiken.
Het hoopt “het bereiken van een consistente bedrijfsbrede basislijn voor cyberbeveiliging, gebaseerd op principes van minimale privileges, het minimaliseren van het aanvalsoppervlak en het ontwerpen van bescherming rond de veronderstelling dat de perimeters van instanties als gecompromitteerd moeten worden beschouwd. '
Dit is een belangrijke verschuiving voor overheidsinstanties: in de toekomst moeten ze alle software die ze gebruiken (of deze nu intern is gebouwd of afkomstig is van een externe leverancier) analyseren om er zeker van te zijn dat deze voldoet aan de Zero Trust-beveiligingsvereisten.
IT-modernisering heeft betrekking op het aanzienlijke aantal verouderde systemen dat overheidsinstanties gebruiken en de technische schulden die zij oplopen. Begrotingsinzendingen voor 2024 “moeten prioriteit geven aan technologische moderniseringen die ertoe leiden dat beveiliging wordt geïntegreerd tijdens de ontwerpfase, maar ook gedurende de gehele levenscyclus van het systeem.”
Dit bevat:
- Het versnellen van de adoptie van een veilige cloudinfrastructuur die gebruik maakt van een zero trust-architectuur
- Implementatie van federale gedeelde producten, diensten en standaarden om veilige klantervaringen mogelijk te maken
- Gebruikmaken van gedeelde beveiligingstechnologieën en samenwerken met het Continuous Diagnostics and Mitigation-programma van het Department of Homeland Security
- Bewustzijn delen tussen beveiligings- en IT-operatieteams
- Agile ontwikkelingspraktijken gebruiken en de SSDF integreren
#2: Verdieping van de sectoroverschrijdende samenwerking ter verdediging van kritieke infrastructuur
Bescherming tegen moderne cyberdreigingen zal een aanzienlijke samenwerking tussen de private en publieke sector vergen. De OMB vraagt de FCEB om partnerschappen op te bouwen door prioriteit te geven aan de verantwoordelijkheden van het Sector Risk Management Agency (SRMA) en door informatie te delen via cyberbeveiligingscentra.
Instanties moeten prioriteit geven aan bouwmethoden en mechanismen die de samenwerking met eigenaren van kritieke infrastructuur vergemakkelijken om potentiële bedreigingen te beperken. SRMA’s moeten ook begrotingsverzoeken verstrekken die “voldoende middelen weerspiegelen om hun verantwoordelijkheden uit hoofde van sectie 9002 van de National Defense Authorization Act van 2021 te vervullen.In het bijzonder moeten inzendingen:
- Laat SRMA's nauw samenwerken met de Cybersecurity and Infrastructure Security Agency (CISA) en andere SRMA's
- Stel overheid en bedrijfsleven in staat informatie uit te wisselen
- Verbeter het inzicht in de nationale veiligheidsrisico’s voor elke sector
#3: Het versterken van de fundamenten van onze digitaal ondersteunde toekomst
De laatste prioriteit vraagt FCEB om prioriteit te geven aan de fysieke infrastructuur, het menselijk kapitaal en het risico van de toeleveringsketen, nu een groter deel van de Amerikaanse economie een digitale transformatie ondergaat.
- Fysieke infrastructuur
De recente Infrastructure Investment and Jobs Act (IIJA) vertegenwoordigt een enorme investering van de Amerikaanse overheid. De OMB vraagt FCEB-agentschappen om alle inspanningen te ondersteunen om de infrastructuur te beveiligen tegen cyberaanvallen. Dit omvat het ontwikkelen van cyberbeveiligingsstandaarden en het bieden van technische ondersteuning voor nieuwe projecten.
- Menselijk vermogen
Om cyberdreigingen tegen te gaan, worden agentschappen aangemoedigd om te investeren in IT-talent en nieuwe tools die de digitale competentie van het bredere personeelsbestand bevorderen.
- Risico in de toeleveringsketen van software
Beveiliging van de softwaretoeleveringsketen wordt een steeds groter cyberveiligheidsrisico. Als gevolg hiervan zijn federale agentschappen momenteel verplicht om Supply Chain Risk Management (SCRM)-initiatieven op te zetten tijdens overnames, vooral voor degenen die zich bezighouden met informatie- en communicatietechnologie en -diensten (ICTS). Hoewel deze vereiste eind 2023 afloopt, is dat wel het geval wetgeving in behandeling dat zal het verlengen tot 2026.
Van agentschappen wordt verwacht dat zij de SCRM-investeringen van vorig jaar zullen voortzetten en zich op nieuwe middelen zullen richten. Naast het opbouwen van de acquisitiecapaciteiten van de federale overheid, speelt de overheid ook een belangrijke rol bij het aanpakken van het nationale ICTS-toeleveringsketenrisico.
In de memo van OMB staat: “In de begrotingsinzendingen voor het begrotingsjaar 2024 moeten agentschappen de nadruk leggen op investeringen die een nationale inspanning ondersteunen om onnodige of onaanvaardbare niveaus van risico voor de economische veiligheid en de nationale veiligheid van de Verenigde Staten te beperken.”Dit omvat investeringen betreffende Executive Order 13873, “Beveiliging van de toeleveringsketen van informatie- en communicatietechnologie en diensten.”
Het Amerikaanse cyberveiligheidsbeleid ontwikkelt zich snel; Bent u uitgerust om bij te blijven?
Met de toenemende eisen op het gebied van cyberbeveiliging moeten softwareontwikkelingsbedrijven die in de VS willen opereren ervoor zorgen dat ze zich met succes kunnen aanpassen aan de nieuwe richtlijnen.
De SSDF is al van kracht en organisaties moeten de nieuwe richtlijnen voor softwareontwikkeling leren kennen die zij geacht worden te volgen. De SSDF promoot een reeks maatregelen die de blootstelling aan kwetsbaarheden en ongeautoriseerde toegang binnen de SDLC verminderen en tegelijkertijd de transparantie bevorderen. Dit bevat:
- Valideren van artefacten
- Digitaal ondertekenen van artefacten
- Bestanden volgen op wijzigingen en bewijsmateriaal genereren
- Validatie van elk onderdeel binnen het uiteindelijke software-artefact
De nieuwste OMB-memo over cyberinvesteringsprioriteiten benadrukt niet alleen opnieuw de adoptie van het SSDF, maar schetst ook een reeks prioriteiten voor overheidsinstanties. De belangrijkste voor softwareontwikkelaars is de implementatie van een zero trust-architectuur in de software die de FCEB gebruikt. Deze nota treedt in werking in 2024, waardoor organisaties die hun producten moeten aanpassen niet veel tijd hebben om zich voor te bereiden.
Hoewel de nieuwe eisen die in de OMB-memo worden geschetst alleen van toepassing zijn op organisaties die contracten willen afsluiten met FCEB-agentschappen, suggereert de reisrichting dat er waarschijnlijk nieuwe cyberbeveiligingsrichtlijnen zullen worden aangenomen voor alle federale contractanten, zoals uiteengezet in Executive Order 14028.
Organisaties die zich traag aanpassen, lopen het risico zaken van de Amerikaanse overheid en mogelijk andere Amerikaanse klanten mis te lopen. Dit is het moment om een zero trust-beveiligingsmodel te implementeren en de best practices van SSDF te leren kennen.
Samenvatting
De Amerikaanse regering laat aanzienlijke vooruitgang zien als het gaat om het cyberveiligheidsbeleid. Nu de SSDF al wordt gehandhaafd en nieuwe OMB-cyberprioriteiten in 2024 van kracht worden, moeten organisaties die in de VS willen blijven opereren, meerdere nieuwe richtlijnen leren en naleven.
Deze inhoud wordt u aangeboden door Scribe Security, een toonaangevende aanbieder van end-to-end software supply chain-beveiligingsoplossingen die state-of-the-art beveiliging levert voor codeartefacten en codeontwikkelings- en leveringsprocessen in de software supply chain. Meer informatie.
Gerelateerde berichten
