Május 12, Joe Biden elnök végrehajtási parancsot adott ki célja, hogy megvédje az Egyesült Államokat a „tartós és egyre kifinomultabb rosszindulatú kiberkampányokkal szemben”. A rendelet előírja, hogy a szövetségi kormánnyal együttműködő IT- és OT-szolgáltatók gyűjtsenek és tároljanak adatokat, információkat és jelentéseket, amelyek a rendszereiket érintő kiberbiztonsági problémákkal kapcsolatosak, és osszák meg ezeket az információkat az Egyesült Államok kormányzati szerveivel, beleértve az Egyesült Államok Kiberbiztonsági és Információbiztonsági Ügynökségét (CISA), valamint a Szövetségi Nyomozó Iroda (FBI).
A Rend egyik célja a szövetségi kormány kiberbiztonságának modernizálása azáltal, hogy információmegosztáson keresztül egyesíti a hírszerzést a különböző ügynökségek között. A rendelet arra is utasítja a szövetségi kormányt, hogy fogadja el a legjobb gyakorlatokat, beleértve a Zero Trust architektúra és nagyobb használata biztonságos felhőszolgáltatások (SaaS, PaaS, IaaS). Valójában a felhőtechnológiára való átállásnak a Zero Trust architektúrát kell alkalmaznia, hacsak nem praktikus. Ennek részeként:
- A CISA-nak szövetségi rendszert kell kialakítania felhő biztonsági stratégiát és útmutatást az ügynökségek számára, hogy az ügynökségek közelebb kerülhessenek a Zero Trust architektúrához
- A belbiztonsági miniszternek biztonsági műszaki referencia-architektúra dokumentációt kell kidolgoznia és kiadnia, amely megközelítéseket ajánl a felhőalapú migrációhoz és az adatgyűjtéshez és -jelentésekhez.
- A CISA-nak ki kell fejlesztenie és ki kell adnia egy felhőszolgáltatás-irányítási keretrendszert, amely azonosítja az ügynökségek számára elérhető szolgáltatások és védelmek széles körét az incidensek súlyossága, valamint az ezekkel a szolgáltatásokkal és védelmekkel kapcsolatos adat- és feldolgozási tevékenységek alapján.
- A nem minősített adatok érzékenységét felülvizsgálják, hogy megfelelően feldolgozhatók és tárolhatók legyenek.
- Az ügynökségeknek örökbe kell fogadniuk MFA és a titkosítás nyugalmi és mozgásban lévő adatokra a szövetségi és egyéb vonatkozó törvényekkel összhangban lévő maximális mértékben.
- A FedRAMP-ot, a kapcsolódó képzést és kommunikációt frissíteni kell.
- Irányelveket kell kidolgozni a szoftverbiztonság értékeléséhez, beleértve a szoftver fejlesztőinek és szállítóinak biztonsági gyakorlatát is.
- A szoftverellátási lánc biztonságát frissíteni kell.
- Az ügynökségeknek igazolniuk kell a megfelelést.
Mit jelent ez a CISO-k számára?
Az Egyesült Államok kormányának értékesítő szállítóknak meg kell felelniük a még meghatározandó követelményeknek. Noha ezeket meglehetősen részletesen körvonalazták, konkrét megközelítéseket, mérőszámokat stb. még nem határoztak meg. A kormány azonban „agilis kormányzati” tempóban halad, ami azt jelenti, hogy az iránymutatások vagy specifikációk tervezetei általában 60-90 napon belül esedékesek (bár az ütemezések eltérőek lehetnek), a végrehajtást röviddel ezután tervezik.
A megrendelésben szereplő területeknek általában a vállalkozások hatáskörébe kell tartozniuk. Például a szoftverellátási láncra vonatkozó útmutatónak a következőkre kell vonatkoznia:
- Adminisztratívan különálló szoftverépítő környezetek használata;
- Bizalmi kapcsolatok auditálása;
- Többtényezős, kockázatalapú hitelesítés és feltételes hozzáférés kialakítása az egész vállalaton belül
- Az alkalmazásfüggőségek dokumentálása és minimalizálása;
- Adattitkosítás alkalmazása;
- Műveletek és riasztások figyelése és reagálás a megkísérelt és tényleges kiberincidensekre;
- A megfelelőséget igazoló műtermékek biztosítása (a vásárló kérésére);
- Automatizált eszközök vagy hasonló folyamatok alkalmazása a forráskód megbízható integritásának fenntartása és az ismert és potenciális sebezhetőségek ellenőrzése érdekében;
- Az eszközök és folyamatok végrehajtásának műtermékeinek biztosítása, valamint a felmért és mérsékelt kockázatok összefoglalójának nyilvános közzététele (a vásárló kérésére);
- A szoftverfejlesztési folyamatokban jelenlévő szoftverkód vagy -összetevők és vezérlőelemek, valamint belső és harmadik féltől származó szoftverkomponensek, eszközök és szolgáltatások eredetére vonatkozó pontos és naprakész adatok karbantartása, valamint ezen ellenőrzések rendszeres ellenőrzése és érvényesítése;
- Minden termékhez szoftveres anyagjegyzék biztosítása a vásárló számára, vagy tht-információk közzététele az eladó webhelyén;
- Részvétel sérülékenység feltáró programban, amely jelentéstételi és közzétételi folyamatot is tartalmaz;
- A biztonságos szoftverfejlesztési gyakorlatoknak való megfelelőség tanúsítása; és
- A termék bármely részében használt nyílt forráskódú szoftver integritásának és eredetének biztosítása és gondozása.
A Nemzetbiztonsági Ügynökség (NSA) közzéteszi a szoftverforráskód tesztelésére vonatkozó minimális szállítói szabványokat, amelyek magukban foglalják a manuális vagy automatizált tesztelés javasolt típusainak azonosítását (pl. kódellenőrző eszközök, statikus és dinamikus elemzés, szoftverkompozíciós eszközök és penetrációs tesztelés). Eközben a Kereskedelmi Minisztérium a Nemzeti Tudományos és Technológiai Intézettel (NIST) és más ügynökségekkel együttműködve fog biztonsági ösztönzőket meghatározni az IoT-szállítók számára.
Ezenkívül a belbiztonsági miniszter és a főügyész létrehozza a Kiberbiztonsági Felülvizsgáló Testületet, amely szövetségi tisztviselőkből és a magánszektorbeli vállalatok képviselőiből áll. A Felülvizsgáló Testület felülvizsgálja és értékeli a kiberincidenseket, beleértve a fenyegetéssel kapcsolatos tevékenységeket, a sebezhetőségeket, a mérséklő tevékenységeket és az ügynökség válaszait, és ajánlásokat tesz.
A Fehér Ház kemény álláspontja a kibertámadásokkal szemben
Biden elnök a Solar Winds incidenst használta a végrehajtási utasítás indítópontjaként. A közelmúltbeli Colonial Pipeline támadás újabb jele volt annak, hogy Amerikának jobban fel kell készülnie a kiberhadviselésre, a kiberterrorizmusra és más kibertámadásokra.
A jó hír az, hogy az Egyesült Államok fenyegetésekkel szembeni védelméért felelős entitásoknak új módokon kell együtt dolgozniuk, hogy befolyásolják a változásokat, mivel ezek az ügynökségek már nem engedhetik meg maguknak, hogy kályhacsöves módon működjenek. A rossz hír az, hogy mekkora bürokrácia szükséges ahhoz, hogy a Rendet olyanná alakítsák, ami hatékonynak bizonyul.
- "
- hozzáférés
- tevékenységek
- Amerika
- között
- elemzés
- Alkalmazás
- építészet
- Főállamügyész
- Hitelesítés
- Automatizált
- BEST
- legjobb gyakorlatok
- Biden
- Számla
- bizottság
- épít
- Kampányok
- díj
- CISA
- közelebb
- felhő
- FELHŐTECHNOLÓGIA
- kód
- Kódellenőrző
- Kereskedelem
- távközlés
- Companies
- teljesítés
- cyber
- kiberbiztonság
- cyberattacks
- Kiberbiztonság
- dátum
- adat védelem
- részlet
- Fejleszt
- fejlesztők
- Fejlesztés
- Hatékony
- titkosítás
- stb.
- végrehajtás
- végrehajtó
- végrehajtási utasítás
- FBI
- Szövetségi
- Szövetségi Nyomozó Iroda
- Szövetségi kormány
- Keretrendszer
- általános
- jó
- kormányzás
- Kormány
- irányelvek
- Homeland Security
- Ház
- HTTPS
- Beleértve
- információ
- információ biztonság
- Intelligencia
- vizsgálat
- tárgyak internete
- kérdések
- IT
- Joe Biden
- indít
- törvények
- anyagok
- Metrics
- mozog
- nemzetbiztonság
- Nemzetbiztonsági Hivatal
- hír
- Művelet
- érdekében
- Más
- be
- magán
- Termékek
- Program
- védelem
- bizonyul
- Kiadás
- hatótávolság
- Kapcsolatok
- követelmények
- REST
- Kritika
- SaaS
- Biztonság
- Tudomány
- Tudomány és technológia
- biztonság
- Szolgáltatások
- Megosztás
- So
- szoftver
- szoftverfejlesztés
- szoftverbiztonság
- nap
- szabványok
- tárolni
- Stratégia
- szállítók
- kínálat
- ellátási lánc
- Systems
- Műszaki
- Technológia
- Terrorizmus
- Tesztelés
- fenyegetések
- Képzések
- Bízzon
- nekünk
- Amerikai kormány
- gyártók
- sérülékenységek
- sebezhetőség
- weboldal
- Munka
- nulla
- nulla bizalom