I maj 12, President Joe Biden utfärdade en verkställande order syftar till att försvara USA mot ”ihållande och alltmer sofistikerade skadliga cyberkampanjer.” Ordern kräver att IT- och OT-tjänsteleverantörer som arbetar med den federala regeringen samlar in och lagrar data, information och rapportering som är relevanta för cybersäkerhetsfrågor som påverkar deras system och delar den informationen med amerikanska myndigheter, inklusive US Cybersecurity and Information Security Agency (CISA) och Federal Bureau of Investigation (FBI).
Ett av orderns mål är att modernisera federala regeringens cybersäkerhet genom att förena underrättelser mellan de olika organen genom informationsutbyte. Ordern uppmanar också den federala regeringen att anta bästa praxis inklusive a Zero Trust Architecture och större användning av säkra molntjänster (SaaS, PaaS, IaaS). Faktum är att migrationen till molnteknik måste anta Zero Trust-arkitektur, såvida det inte är praktiskt. Som en del av det:
- CISA måste utveckla en federal moln säkerhet strategi och vägledning för byråer så att byråerna kan komma närmare Zero Trust-arkitekturen
- Sekreteraren för inrikes säkerhet måste utveckla och utfärda dokumentation för säkerhetsteknisk referensarkitektur som rekommenderar metoder för molnmigrering och dataskydd för datainsamling och rapportering.
- CISA måste utveckla och utfärda ett ramverk för molntjänststyrning som identifierar en rad tjänster och skydd som är tillgängliga för byråer baserat på incidentens allvarlighetsgrad och data- och behandlingsaktiviteter i samband med dessa tjänster och skydd.
- Oklassificerade data kommer att granskas för känslighet så att de kan bearbetas och lagras därefter.
- Byråer måste anta UD och kryptering för data i vila och i rörelse i största möjliga utsträckning i enlighet med federala och andra tillämpliga lagar.
- FedRAMP, tillhörande utbildning och kommunikation måste uppdateras.
- Riktlinjer måste utvecklas för att utvärdera mjukvarusäkerhet, inklusive säkerhetsrutiner för utvecklare och leverantörer av programvaran.
- Säkerhet i mjukvaruförsörjningskedjan måste uppdateras.
- Byråer måste kunna visa att de uppfyller kraven.
Vad detta betyder för CISO: er
Leverantörer som säljer till den amerikanska regeringen kommer att behöva uppfylla de ännu fastställda kraven. Även om de har beskrivits i stor detalj har specifika tillvägagångssätt, mätvärden etc. ännu inte specificerats. Emellertid rör sig regeringen i en "regeringens smidig" takt, vilket innebär att utkast till riktlinjer eller specifikationer förfaller generellt om 60 till 90 dagar (även om tidslinjerna kan skilja sig) med genomförandet planerat strax därefter.
Områdena som omfattas av ordern bör i allmänhet omfattas av företagen. Till exempel måste mjukvaruförsörjningskedjeanvisningen adressera:
- Använda administrativt separata programvarumiljöer;
- Granskning av förtroendeförhållanden;
- Etablering av flera faktorer, riskbaserad autentisering och villkorad åtkomst över hela företaget
- Dokumentera och minimera programberoenden;
- Använder datakryptering;
- Övervaka operationer och varningar och svara på försök och faktiska cyberincidenter;
- Tillhandahålla artefakter som visar överensstämmelse (på begäran av köparen);
- Använder automatiserade verktyg eller jämförbara processer för att upprätthålla pålitlig källkodsintegritet och kontrollera kända och potentiella sårbarheter;
- Tillhandahålla artefakter för genomförandet av verktygen och processerna och offentliggöra en sammanfattning av de risker som bedöms och lindras (på begäran av köparen);
- Att upprätthålla korrekta och uppdaterade data om ursprunget till programvarukod eller komponenter och kontroller och interna och tredjeparts mjukvarukomponenter, verktyg och tjänster som finns i programvaruutvecklingsprocesser och utför revisioner och genomförande av dessa kontroller på en återkommande basis
- Förse en köpare med en mjukvarulista för varje produkt eller publicera informationen på leverantörens webbplats;
- Delta i ett program för avslöjande av sårbarheter som inkluderar en rapporterings- och avslöjandeprocess;
- Att intyga överensstämmelse med säker mjukvaruutveckling; och
- Säkerställa och ta hand om integriteten och härkomst från öppen källkod som används i någon del av en produkt.
National Security Agency (NSA) kommer att publicera lägsta leverantörsstandarder för testning av programvarukällkod som inkluderar att identifiera rekommenderade typer av manuell eller automatiserad testning (t.ex. kodgranskningsverktyg, statisk och dynamisk analys, verktyg för programkomposition och penetrationstestning). Under tiden kommer handelsminister att arbeta med National Institute of Science and Technology (NIST) och andra byråer för att definiera säkerhetsincitament för IoT-leverantörer.
Dessutom kommer sekreteraren för inrikes säkerhet och justitieministern att inrätta granskningsnämnden för cybersäkerhet som kommer att bestå av federala tjänstemän och representanter från företag inom den privata sektorn. Granskningsnämnden kommer att granska och bedöma cyberincidenter inklusive hotaktivitet, sårbarheter, mildrande aktiviteter och byråns svar och ge rekommendationer.
Vita husets hårda hållning till cyberattacker
President Biden använde Solar Winds-incidenten som startpunkt för verkställande order. Den senaste Colonial Pipeline-attacken var ännu en indikation på att Amerika måste vara bättre förberedda för cyberkrig, cyberterrorism och andra cyberattacker.
Den goda nyheten är att de enheter som ansvarar för att skydda Amerika från hot kommer att behöva arbeta tillsammans på nya sätt för att påverka förändringarna, eftersom sådana byråer inte längre har råd att arbeta på kaminrör. De dåliga nyheterna är den stora mängden byråkrati som krävs för att förvandla ordern till något som visar sig vara effektivt.
- "
- tillgång
- aktiviteter
- amerika
- bland
- analys
- Ansökan
- arkitektur
- Justitieminister
- Autentisering
- Automatiserad
- BÄST
- bästa praxis
- biden
- Bill
- ombord
- SLUTRESULTAT
- Kampanjer
- laddning
- CISA
- närmare
- cloud
- MOLNTEKNIK
- koda
- Kodgranskning
- Commerce
- Trygghet i vårdförloppet
- Företag
- Efterlevnad
- cyber
- Cybersäkerhet
- cyberattack
- Cybersäkerhet
- datum
- dataskydd
- detalj
- utveckla
- utvecklare
- Utveckling
- Effektiv
- kryptering
- etc
- utförande
- verkställande
- verkställande order
- FBI
- Federal
- Federal Bureau of Investigation
- Federala regeringen
- Ramverk
- Allmänt
- god
- styrning
- Regeringen
- riktlinjer
- Homeland Security
- Huset
- HTTPS
- Inklusive
- informationen
- informationssäkerhet
- Intelligens
- Undersökningen
- iot
- problem
- IT
- Joe Biden
- lansera
- Lagar
- material
- Metrics
- flytta
- nationell säkerhet
- National Security Agency
- nyheter
- Verksamhet
- beställa
- Övriga
- presentera
- privat
- Produkt
- Program
- skydd
- bevisar
- publicering
- område
- Förhållanden
- Krav
- REST
- översyn
- SaaS
- Säkerhet
- Vetenskap
- Vetenskap och teknik
- säkerhet
- Tjänster
- Dela
- So
- Mjukvara
- mjukvaruutveckling
- mjukvarusäkerhet
- sol-
- standarder
- lagra
- Strategi
- leverantörer
- leverera
- leveranskedjan
- System
- Teknisk
- Teknologi
- Terrorism
- Testning
- hot
- Utbildning
- Litar
- oss
- USAs regering
- försäljare
- sårbarheter
- sårbarhet
- Webbplats
- Arbete
- noll-
- noll förtroende