6月28日,NIST(美国国家标准与技术研究所)发布了其对“关键软件”的定义,该定义是为了满足拜登512签署的关于网络安全的行政命令中规定的一些要求。
作为拜登5 月 12 日发布的行政命令的一部分,现在要求联邦机构重新审查他们的网络安全方法,其中包括开发新方法来评估部门购买和部署的软件,以及采用现代安全方法,例如采用“零信任”并使用多因素身份验证和加密。
作为履行行政命令的首批可交付成果之一,NIST被要求在命令发布后 45 天内制定关键软件的定义。从现在开始,美国网络安全和基础设施局将使用该定义发布属于新定义的软件产品列表,然后允许 CISA 为政府机构如何在联邦网络内购买和部署软件制定新的安全规则。
该行政命令首先关注关键软件对联邦政府机构的意义,旨在减少组织面临的供应链威胁类型,例如针对SolarWinds和公司 Orion 网络监控工具用户的攻击。
拜登的行政命令称“联邦政府必须采取行动迅速提高软件供应链的安全性和完整性,优先解决关键软件问题。”
关键软件被定义为具有或直接依赖于一个或多个具有以下至少一项属性的组件的任何软件:
• 旨在以提升的权限运行或管理权限;
• 拥有对网络或计算资源的直接或特权访问权;
• 旨在控制对数据或OT的访问;
• 执行对信任至关重要的功能;或者,
• 以特权访问在正常信任边界之外运行。
该定义适用于为生产系统购买或部署并用于操作目的的所有形式的软件(例如,独立软件、特定设备或硬件组件的集成软件、基于云的软件)。其他用例,例如未部署在生产系统中的仅用于研究或测试的软件,不在此定义的范围内。
NIST 建议最初的 EO(行政命令) 实施阶段侧重于具有安全关键功能或在受到威胁时会造成类似重大危害的独立、本地软件。后续阶段可能涉及其他类别的软件,例如:
• 控制数据访问的软件;
• 基于云的混合软件;
• 软件开发工具,例如代码库系统、开发工具、测试软件、集成软件、打包软件和部署软件;
• 引导级固件中的软件组件;或者
• OT中的软件组件。
下表提供了被认为是行政命令关键软件类别的初步列表。提供此表是为了说明行政命令关键软件的定义在上述推荐的初始实施阶段的范围内的应用。如前所述,CISA 将在稍后提供权威的软件类别列表。
NIST定义的关键软件有11大类别:1)身份认证及访问管理;2)操作系统、管理程序及容器环境;3)Web浏览器;4)终端安全;5)网络控制;6)网络保护;7)网络监控;8)运营监测与分析;9)远程扫描;10)远程接入和配置管理;11)备份/恢复和远程存储。
NIST 指出,关键软件的这一定义既适用于由私营公司创建并出售给联邦机构的软件,也适用于由政府机构开发并在联邦网络中使用的软件,例如政府现成软件。
虽然关键软件的定义将有助于指导联邦机构处理软件采购和供应链安全的方法,但 NIST 建议美国政府慢慢开始执行行政命令。
例如,NIST 建议各机构首先对其网络和基础设施中的本地软件应用行政命令,这些软件“具有安全关键功能,或者在受到威胁时会造成类似的重大危害”。之后,政府机构可以查看基于云的软件、运营技术系统中使用的软件以及代码存储库等开发工具。
NIST 发布关键软件的定义后,CISA 和国土安全部将有 30 天的时间发布符合此定义并在联邦政府网络中使用的软件产品列表。之后,根据行政命令,NIST、CISA 和 OMB 将发布保护这些关键软件产品的指南。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/6846.html
