用幼儿园所学拆解美国总统网络安全行政令(含软件供应链安全)
编译:奇安信代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
该行政令是对最近发生的一系列软件供应链和网络安全事件如 SolarWinds、Codecov、依赖混淆、Microsoft Exchange 和 Colonial Pipeline 事件做出的响应。这些事件表明,美国公私实体遭遇了非常复杂的攻击者实施的恶意活动。
从技术角度理解该行政令较为复杂,牵涉多种关于动机、攻击向量、工程概念以及快速发展的防御战略等因素。好在,从人的角度出发理解该行政令非常简单。实际上,所有我们需要了解的东西都很可能早在幼儿园就了解了。
下面我们就从幼儿园已经学到的知识来拆解这项行政令。
在幼儿园,如果你看到不好的行为,你会通知老师并共享信息。同样,这项行政令确保 IT 服务提供商能够和政府共享信息并要求尽快透露某些数据泄露信息。过去,IT服务提供商经常会犹豫要不要主动交代攻陷详情。这样做的原因各不相同,就像出于多种原因,你并不总会把所有发生在幼儿园的不好的事情告诉老师。
但底线是:在幼儿园,小朋友被寄望于共享信息,使班级保持安静。另外在伤害到别的小朋友时要说“对不起”且需要自己收拾自己闯的祸。当前,由于该行政令的颁发,IT厂商被要求自己收拾烂摊子并要求就共享敏感、清晰的信息道歉,并在数据泄露事件发生后快速通知官员。
在上学前洗澡并不意味着你在吃午饭时手是干净的。在幼儿园,老师会时刻提醒小朋友,我们学习到了“零信任”卫生和定期洗手的重要性。行政令本身就像是一位老师在不断地告知技术提供商关于零信任安全实践的重要性。“饭前要洗手”和“永远都要使用双因素认证”以及“永远要在数据传输过程中和其它过程加密数据”是一样的指南。
美国食品和药品管理局 (FDA) 首次在1994年推出食品标签,旨在为所有地方的学生、父母和幼儿园老师提供关于支撑我们活动的热量的重要营养信息,其中包括每种原料的完整清单。该行政令是一样的,它设置了基准安全标准并说明所有出售给政府的软件应该附带软件物料清单 (SBOM),它就像软件中每个组件的完整成分清单。SBOM的目的是将数字化原料(第三方开源代码和第一方源代码)的透明度最大化,这些原料是为政府员工和运营商提供的应用程序的组成部分。太多的软件,包括任务关键软件中都含有会被恶意人员利用的已知漏洞。
就像白宫在情况说明书中写道的那样,“这是一个长期的、为人熟知的问题,但很久以来我们放任不管。我们需要利用联邦政府的采购权力来促使市场从头开始在所有的软件中构建安全性。”为此,我们需要了解软件的透明度。要获得软件的透明度,我们需要使所有应用程序都配备一个详细的 SBOM。
如果犯错了,那就吸取教训,不要再犯。IT 组织机构很多时候就像幼儿园的小朋友一样,会重复犯错而不会学到珍贵的经验。如果发生极其糟糕的事情(在幼儿园和网络安全行业均如此),那么相关方必须携手,提出硬核问题,避免类似错误再次发生。学校安全委员会旨在阻止操场受伤情况一而再再而三地发生,同样,该行政令设立了一个由政府和私营行业牵头的网络安全安全审计委员会。该委员会会在严重的数据泄露实践发生时发挥作用,分析所发生的事件并提供具体建议,防止类似事件再次发生。
你永远不知道意外何时降临。制定并实践标准化规划很重要,以便有效应对突发事件。该行政令创建了一种标准化手册和一系列定义,供联邦部门和机构对网络事件做出响应。就像幼儿园不能等待实际火灾发生后才了解如何安全逃生一样,该行政令也创建了一份事件响应手册,它将确保所有的联邦机构均满足某种已确定的门槛,并且准备好采取识别和缓解网络威胁的统一措施。
假设你现在是一名小学校长。走廊处的监控器就像是另外一双可信任的眼睛,它能最大限度地保护整个社区的安全。这项行政令本身设立了“数字走廊监控器”来改进政府检测所有联邦网络中恶意网络活动的能力。具体而言,这些数字化走廊监控器将观察到政府范围内的端点检测情况,且便于联邦机构之间共享信息,保护国家网络安全。
简言之,安全开发和保护国家软件安全并非复杂伤神的工作。当然,我们可以探讨如何实现行政令中所有内容的细微差别。但是,只要有一点点幼儿园水平的聪明才智,我们就会让世界更美好,且共同提升国家的网络防御能力。
美国总统发布行政令,提升美国网络安全防御能力
拜登签署行政令,要求保护美国关键供应链(含信息技术)的安全
详细分析PHP源代码后门事件及其供应链安全启示
https://blog.sonatype.com/bidens-executive-order-on-improving-national-cyber-defense-everything-i-need-to-know-i-learned-in-kindergarten
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。