2024年美国全面推进设计安全部署
2024-2-8 15:56:47 Author: www.freebuf.com(查看原文) 阅读量:14 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近日,美国国家网络总监办公室(ONCD)发布了关于开源软件安全倡议(OS3I)的2023年年终报告。开源软件安全倡议的核心理念是“设计安全”(Secure by design),2023年,它还得到了美国《国家网络安全战略》支持,联邦政府将与私营部门和开源软件社区合作,继续投资开发安全软件,包括内存安全语言和软件开发技术、框架和测试工具。

2024年,OS3I将确定联邦政府如何降低最重要的系统性风险,并促进开源软件社区的长期可持续性发展;加强对开源软件生态系统进行长期、持续的安全投资,与ONCD、美国网络安全和基础设施安全局(CISA)、美国国家科学基金会(NSF)、国防高级研究计划局(DARPA)、管理与预算办公室(OMB)一同收集开源社区的意见,并将政府重点放在开源软件安全上,推进“投资美国”议程;推进CISA发布的开源软件安全路线图。

2023年美国的设计安全部署有重大进展

“设计安全”的定义源于制造侧安全的目标和愿景,是欧美国家对网络安全责任的深刻反思。近年来,以APT和 0 day为代表的网络安全问题愈发突出,网络安全威胁规模越来越大,危害也越来越深。而数字产品、服务的提供商经常忽视产品安全,导致安全责任失衡;更有甚者,一边制造网络安全问题,一边设法解决以从中获利。如,英特尔在2023年被指控其在2018年就发现了其处理器存在“Downfall”漏洞,然而英特尔为了避免更新修补漏洞影响处理器性能,选择对该漏洞置之不理,放任存在安全隐患的产品进入市场,让使用者面临不必要的安全风险。

欧盟委员会科学联合研究中心曾在报告中指出:“数字行业缺乏有效竞争,且很容易出现激励错位。”2023年2月,CISA执行总监发表演讲“停止在网络安全问题上推卸责任”,强调企业必须将安全融入科技产品,阐明了美国向制造侧转移网络安全责任的强硬态度。网络安全责任的失衡,仅通过用户侧或第三方机构基于事后修补的方式,已难以应对日益严峻的威胁环境,需要通过制造侧发力,在系统工程的早期阶段就将网络安全问题考虑进来,才能最小化网络安全风险。

设计安全理念同样也是在美国国家网络安全战略框架下的。2023年的美国《国家网络安全战略》中提出,现有驱动美国数字生态系统的底层架构存在严重缺陷,美国必须从根本上改变 (make fundamental changes) 数字生态系统的底层驱动,向防御优势方转变。随后,在7月的《国家网络安全战略实施计划》中,美国提出要推动开发安全设计和默认安全的原则和实践,并指定专门部门负责实施并设定时间节点,保持每年进行动态更新。

作为对网络安全战略的响应,CISA、美国联邦调查局以及其他国家机构,包括澳大利亚网络安全中心、英国国家网络安全中心、加拿大网络安全中心、德国联邦信息安全办公室、荷兰国家网络安全中心、新西兰计算机应急小组、新西兰国家网络安全中心等在2023年4月联合发布了《改变网络安全风险平衡: 设计安全与默认安全的原则与方法》(10月进行了更新,加入了捷克、挪威、以色列、韩国、日本新加坡等),其内容主要围绕软件产品的安全设计和配置提供指导建议。该指南指出,只有结合安全的设计实践,才能打破不断创建和应用修复程序的恶性循环。

2023年9月,CISA美国联邦网络安全和基础设施安全局(CISA)发布《CISA开源软件安全路线图》,从维护联邦政府网络安全和关键基础设施安全的角度出发,明确了政府部门在支持开源软件可持续发展和安全方面的职责定位,部署了关键任务。依托OS3I,CISA将推动政府在关键领域先试先行,促进开源软件生态的安全和韧性,并且将在美国国家科学基金会、国防高级研究计划局和管理和预算办公室的共同推动下,发布相关报告确定政府先行先试的关键领域。

值得一提的是,近日,CISA也发布了年终回顾,CISA在2024年的展望中特意提到了“中国威胁着我们关键基础设施的完整性”,而没有提起任何其他国家。

参考资料

ONCD官网、CISA官网


文章来源: https://www.freebuf.com/articles/391825.html
如有侵权请联系:admin#unsafe.sh