NSA、CISA、および国家情報長官室 (ODNI) は、サプライ チェーンを保護するためにソフトウェア サプライヤー (ベンダー) が参考にすることができる一連の新しい推奨プラクティスを共有しました。
このガイダンスは、米国の国家安全保障システムと重要なインフラストラクチャに対する脅威に対処するために取り組んでいる官民パートナーシップである永続的セキュリティ フレームワーク (ESF) を通じて作成されました。
「予防は、コードを安全に開発して提供し、サードパーティのコンポーネントを検証し、ビルド環境を強化する必要があるため、ソフトウェア開発者の責任と見なされることがよくあります。しかし、サプライヤーは、私たちのソフトウェアです」とNSAは月曜日にコメントしています。
「結局のところ、ソフトウェア ベンダーは、顧客とソフトウェア開発者との間の連絡に責任を負っています。この関係を通じて、契約上の合意、ソフトウェアのリリースと更新、脆弱性の通知と軽減を通じて、追加のセキュリティ機能を適用できます。」
ESF は、9 月にソフトウェア開発者向けのガイダンスを含む第 1 章を発行した後、ソフトウェア サプライ チェーンのライフサイクルの顧客 (買収する組織) の部分に焦点を当てたもう 1 つのアドバイザリーをリリースします。
セキュリティ要件の計画やソフトウェア セキュリティの維持など、サプライヤ向けの推奨プラクティスの完全なガイドは、本日のアドバイザリ [ PDF ] で確認することができます
このガイダンスは、 SolarWinds のハッキングを含む最近の注目を集めた複数のサイバー攻撃を受けてリリースされました。これらの攻撃は、国家支援の攻撃者が簡単に悪用できるソフトウェア サプライ チェーンの脆弱性を浮き彫りにしました。
サプライ チェーン攻撃の背後にある危険性は、 ロシアの脅威グループが SolarWinds を侵害してダウンストリームの顧客に感染させて以来、現実世界の攻撃で何度も明らかにされてきました。 侵害された npm モジュールを使用して、コマンドをリモートで実行しました。
SolarWinds のサプライ チェーン攻撃が複数の米国政府機関の侵害を行った後、バイデン大統領は 2021 年 5 月に、将来のサイバー攻撃に対する米国の防御を近代化するための大統領令に署名しました。
ホワイトハウスは 2022 年 1 月に新しい連邦戦略を発表し、米国政府に「ゼロ トラスト」セキュリティ モデルの採用を迫りました。
この動きは、バイデンの大統領令と、2021 年 2 月に重要なネットワーク (国家安全保障システム、国防総省、国防産業基地) および大企業に対してこのアプローチを推奨する NSA とマイクロソフトの両方によって促進されました。
ホワイトハウスの発表に続いて、米国立標準技術研究所 (NIST) は 5 月に、企業がサプライ チェーン攻撃から防御する方法に関する最新のガイダンスを発表しました。
2021 年 10 月に公開された Microsoft のレポートから、ソフトウェア サプライ チェーンが人気があり、常に標的にされていることを示す証拠がさらに増えました。
同社は、ロシアが支援する Nobelium ハッキング グループが、SolarWinds を侵害した後も世界の IT 供給を標的にし続け、 2021 年 5 月以降 140 を攻撃した後、少なくとも 14 のマネージド サービス プロバイダー (MSP) とクラウド サービス プロバイダーをハッキングしたことを明らかにしました。
Comments