美国政府正在修改其网络安全政策。这包括发布 安全软件开发框架 (SDF) 版本 1.1 由美国国家标准与技术研究院 (NIST) 制定,旨在减少整个软件开发生命周期 (SDLC) 中的安全漏洞。
该文件为软件供应商和收单方提供了“一组核心的高级安全软件开发实践,可以集成到每个 SDLC 实施中。=
初步框架草案于 2021 年 2022 月发布,最终版本于 XNUMX 年 XNUMX 月发布,其中仅包含 小的更新。 SSDF 结合了 SDLC 安全性的最佳实践建议,同时保持可定制性和行业无关性。
它不是为每种实践规定固定方法的文件。相反,它关注的是结果而不是特定的工具、技术和机制。 SSDF 提倡基于风险的方法,鼓励组织查阅参考文献和其他资源,以确定哪些实践与其运营相关以及应如何实施。
SSDF 包括以下领域的建议:
- 确保组织的人员、流程和技术为安全软件开发做好准备
- 保护所有软件组件免遭篡改和/或未经授权的访问
- 发布安全漏洞最少的安全软件
- 识别发布后的任何漏洞并做出适当响应
建议很快成为指令
NIST 受命与私营部门合作创建 SSDF: 行政命令14028,“改善国家的网络安全。”该命令还指示管理和预算办公室 (OMB) 在发布后 30 天内“采取适当措施,要求各机构在本命令发布后采购的软件遵守此类准则。“
3月7th2022 年,OMB 发布了一份声明,其中包括以下内容:“联邦机构必须立即开始采用 SSDF 和相关指南,并根据该机构的风险状况和使命进行调整。”
因此,虽然 SSDF 是一份建议清单,但所有向美国政府提供软件的组织都必须遵循它。虽然 SSDF 并不是所有软件开发的法律要求,但它仍然代表了美国网络安全政策的重要一步。
凭借美国政府的消费能力,作为外部软件的大量消费者,我们假设这些建议将渗透到行业的其他部门,成为美国软件开发的规范。因此,任何考虑申请美国政府的组织合同必须 了解如何遵守 SSDF, 任何希望在美国成功运营的组织也可能需要遵守。
OMB 关于网络安全优先事项的备忘录
SSDF并不是美国网络安全政策的唯一新发展。美国政府最近要求各机构强调新的优先事项,包括实施零信任方法和对遗留 IT 系统进行现代化改造。
继第 14028 号行政命令之后,OMB 和国家网络主任办公室 (ONCB) 发布了 备忘录 七月22nd2022 年,概述了美国政府 2024 财年预算提交的跨机构网络投资优先事项。
它概述了联邦民事行政部门 (FCEB) 机构应投资的三个优先事项。OMB 和 ONCD 将审查每个机构的回应并提供反馈,以确保“优先事项得到充分解决,并与总体网络安全战略和政策保持一致——援助机构通过经常预算流程进行多年规划。“
网络投资的三个优先事项是:
#1:提高政府网络的防御和弹性
该备忘录要求 FCEB 机构优先考虑 零信任实施 和 信息技术现代化.
零信任安全模型描述了默认情况下每个用户或设备都不被信任的 IT 系统的实施。典型的架构验证一次,然后允许用户或设备访问网络。相比之下,零信任架构会验证系统内的所有内容。
联邦零信任战略在其自身中进行了概述 管理和预算局备忘录,26月XNUMX日发布th,2022 年。该战略要求所有政府机构在 2024 财年结束前实现具体的零信任目标。
它希望“基于最小特权原则、最小化攻击面以及围绕机构边界应被视为受到损害的假设设计保护措施,实现一致的企业范围网络安全基线设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
对于政府机构来说,这是一个重要的转变——展望未来,他们需要分析他们使用的所有软件(无论是内部构建还是来自外部供应商),以确保其满足零信任安全要求。
IT 现代化是指政府机构使用大量遗留系统及其产生的技术债务。 2024 年预算提交“应优先考虑技术现代化,在设计阶段以及整个系统生命周期中集成安全性。”
这包括:
- 加速采用利用零信任架构的安全云基础设施
- 部署联邦共享产品、服务和标准,以实现安全的客户体验
- 使用共享安全技术并参与国土安全部的持续诊断和缓解计划
- 安全和 IT 运营团队之间共享意识
- 使用敏捷开发实践并集成SSDF
#2:深化跨部门合作,保护关键基础设施
防范现代网络威胁需要私营和公共部门之间的大量合作。 OMB 要求 FCEB 通过优先考虑部门风险管理机构 (SRMA) 的职责并通过网络安全中心共享信息来建立伙伴关系。
各机构必须优先考虑构建促进与关键基础设施所有者协作的方法和机制,以减轻潜在威胁。 SRMA 还应提供预算请求,“反映有足够的资源来履行 9002 年《国防授权法》第 2021 条规定的职责。具体来说,提交的内容必须:
- 允许 SRMA 与网络安全和基础设施安全局 (CISA) 以及其他 SRMA 密切合作
- 使政府和行业能够交换信息
- 提高对各部门国家安全风险的了解
#3:加强数字化未来的基础
随着更多美国经济经历数字化转型,最后一个优先事项要求 FCEB 优先考虑实体基础设施、人力资本和供应链风险。
- 物理基础设施
最近的基础设施投资和就业法案(IIJA)代表了美国政府的巨额投资。 OMB 要求 FCEB 机构支持任何保护基础设施免受网络攻击的努力。这包括制定网络安全标准并为新项目提供技术支持。
- 人力资本
为了应对网络威胁,鼓励各机构投资 IT 人才和新工具,以提高广大员工的数字能力。
- 软件供应链风险
软件供应链安全 正在成为日益严重的网络安全风险。因此,联邦机构目前需要在收购期间建立供应链风险管理 (SCRM) 计划,特别是信息和通信技术与服务 (ICTS) 领域的计划。虽然这一要求将于 2023 年底到期,但 有待立法 并将其延长至 2026 年。
各机构预计将维持去年的 SCRM 投资并瞄准新资源。除了建设联邦政府的采购能力之外,政府还在解决国家信息通信技术供应链风险方面发挥着重要作用。
OMB 的备忘录指出,“在提交的 2024 财年预算中,各机构应强调支持国家努力减轻美国经济安全和国家安全不适当或不可接受的风险水平的投资。” 这包括有关以下方面的投资 行政命令13873,“确保信息和通信技术及服务供应链的安全。”
美国网络安全政策进展迅速;你有能力跟上吗?
随着网络安全需求的不断增长,希望在美国运营的软件开发公司必须确保他们能够成功适应新的指导方针。
SSDF 已经生效,组织需要学习他们应该遵循的新软件开发指南。 SSDF 推行一系列措施,减少整个 SDLC 中的漏洞和未经授权的访问,同时鼓励透明度。这包括:
- 验证工件
- 对工件进行数字签名
- 跟踪文件的更改并生成证据
- 验证最终软件工件中的每个组件
最新的 OMB 关于网络投资优先事项的备忘录不仅再次强调了 SSDF 的采用,而且还列出了政府机构的一系列优先事项。对于软件开发人员来说最重要的是在 FCEB 使用的软件中实施零信任架构。该备忘录将于 2024 年生效,因此需要调整其产品的组织没有太多时间进行准备。
虽然 OMB 备忘录概述的新要求仅适用于寻求与 FCEB 机构签订合同的组织,但发展方向表明,如第 14028 号行政命令所述,新的网络安全准则可能适用于所有联邦承包商。
适应速度缓慢的组织可能会错失美国政府和其他潜在美国客户的业务。现在是实施零信任安全模型并学习 SSDF 最佳实践的时候了。
总结
美国政府在网络安全政策方面表现出了重大的进步。随着 SSDF 的实施以及新的 OMB 网络优先事项将于 2024 年生效,希望继续在美国运营的组织需要学习和遵守多项新准则。
此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多
相关文章
