NCSC, CISA i drugi odredili su 12 Cyber sigurnosnih razmatranja CNI organizacija i drugi korisnici operativne tehnologije trebali bi ugraditi u svoje kupovne procese kako bi prisilili svoje dobavljače da bolje
Od
- Alex Scroxton,Sigurnosni urednik
Objavljeno: 13. januara 2025 16:56
Velika Britanski nacionalni Cyber sigurnosni centar (NCSC) pridružio je snage sa svojim petoritim partnerima i drugim agencijama iz Evropske unije (EU) da objavi novi vodič osmišljen da pomogne kritičkoj nacionalnoj infrastrukturi (CNI) tijelima i drugima koji se oslanjaju na operativnu tehnologiju ( OT) potražite poboljšanu sigurnost u proizvodima prilikom kupovine odluka.
Sa operaterima CNI-a u neposrednoj konstantnoj prijetnji od zlonamjernih aktera – mnogi od njih koji rade u nalogu neprijateljskih obavještajnih agencija – NCSC je rekao da je cilj pružiti jasne smjernice za odabir proizvoda i na principima za sigurnu dizajn, Davanje vlastitih sustava otpornički temelj i minimiziranje rizika koje predstavljaju cyber napade.
Povijesno, takve komponente nisu razvijene sa sigurnošću – ili u mnogim slučajevima uopće – davanje prijetnji aktera otvorenog prozora za pristup svojim tehnološkim imanjima, koji postaje mnogo širi kao što više i više komponenti povezuje se u šire IT sisteme .
Štaviše, takve komponente su često jako ciljane jer se uspješan kompromis može lako replicirati u više žrtava.
“Kako cyber napadači sve više ciljaju operativnu tehnologiju širom svijeta, nikada nije bila vitalnija za kritične infrastrukture kako bi se osigurala da se sigurnost peče u sisteme koje koriste”, rekao je direktor NCSC-a za nacionalnu otpornost i buduću tehnologiju, Jonathan Ellison.
“Ovaj novi vodič pruža organizamama praktične savjete o načinu prioriteta od proizvoda koji su sigurni u dizajnu pri donošenju odluka o kupovini, pomažući u ublažavanju vrlo pravih cyber prijetnji.
.
Smjernice, koje je zvanično dostupno za preuzimanje sa web stranice američkog CISA-a NCSC-a, utvrđuje 12 sigurnosnih razmatranja da bi se korisnici trebali integrirati u svoj postupak nabavke, kako da se pomognu u obrani, i da prisiljavaju proizvođače da bolje rade.
Uzimajući kupci trebali bi pogledati – a odgovor na ta pitanja uvijek treba biti “da” – su sljedeći:
- Da li proizvod podržava kontrolu i praćenje modifikacija na postavke konfiguracije i inženjerskog logike?
- Da li osnovni proizvod podržava evidentiranje svih radnji, uključujući promjene u konfiguraciji, sigurnosnim i sigurnosnim događajima, koristeći otvorene standardne formate?
- Da li proizvod koristi otvorene standarde za podršku sigurnom funkcionalnosti i uslugama i za migriranje konfiguracijskih postavki i inženjerskog logike?
- Da li proizvod daje vlasnicima i operaterima potpuno autonomiju, uključujući mogućnost vođenja održavanja i izlaganja drugih promjena i minimizirati ovisnost o dobavljaču?
- Da li proizvod štite integritet i povjerljivost podataka, usluga i funkcija, uključujući konfiguracijske postavke i inženjerske logike, kako u mirovanju i u tranzitu?
- Da li se proizvod stiže “van kutije”, smanjujući napadne površine i uklanjanje tereta na vlasnike uključivanjem svih sigurnosnih značajki u svim verzijama, eliminirajući zadane lozinke i omogućujući složene, a ne su onemogućile onesposobljene protokole onesposobljene prema zadanim postavkama Izlaganje vanjskih sučelja i pružanju korisnicima mogućnost da ih resetu u prvobitno stanje?
- Da li proizvod podržava sigurnu autentičnu komunikaciju koja ne uspijevaju “glasno”, ali neka se kritični procesi nastavljaju i da ne zahtijevaju značajne cyber vještine za postizanje?
- Da li proizvod dolazi sa sigurnim kontrolama koji ga čuvaju protiv aktera prijetnje koji šalju zlonamjerne naredbe, štite dostupnost bitnih funkcija i minimiziraju utjecaj incidenta na šire sisteme?
- Da li osnovna verzija proizvoda na odgovarajući način štite od neovlaštenog pristupa putem mjera kao što su multifaktorska provjera autentičnosti ili kontrole pristupa zasnovanoj u ulozi?
- Da li proizvod ima potpuni, detaljan model prijetnje koji izlaže kako bi to moglo biti ugroženo i mjere za smanjenje takvih scenarija?
- Da li proizvođač proizvoda ima program za otkrivanje ranjivosti i upravljanja, uključujući testiranje, podršku i upravljanje i besplatnu zakrpanje?
- Da li proizvod ima dobro dokumentovani i jednostavan postupak zakrpa i nadogradnje koji omogućava korisnicima da pređu na podržani operativni sistem besplatno ako se original više ne može podržati?
Cyber sigurnosni pojasevi
Direktor CISA-e Jen Jen, pišu danas, usporedila je trenutnu situaciju u periodu neposredno prije nego što se proizvođači automobila prisili na javni pritisak da počnu graditi u sigurnosnim značajkama – poput sigurnosnih pojačava, aktivne jedinice, kao i standardne. U SAD-u, bijes nad nebeskim masnim slučajevima na putu pokrenula je publikacija prije 60 godina od orijentirnog teksta, Nesigurni u bilo kojoj brzinipo potrošačkom zagovorniku i političaru Ralph Nader.
“Nemamo problem sa cyber sigurnošću; Imamo problem sa kvalitetom softvera “, rekao je istočno. “Sada smo na prevrtaču – sa stranim protivnicima koji se bave eksploatacijom neispravnog softvera – tamo gde ovo priznanje vodi do usklađene potražnje za boljom sigurnošću.
“Baš kao što su se sigurnosne reforme samo uspele kada je javnost tražila sigurnije automobile kao osnovni standard, softverska industrija će prioritizirati siguran dizajn kada … zahtijevamo to kao osnovnu, sigurni, digitalni ekosustav.
“Inicijativa za sigurnu dizajn podržava ovu potražnju opremanjem kupcima sa ključnim pitanjima za postavljanje dobavljača o njihovom softveru – baš kao što su kampanje javne sigurnosti učili naciju kako procijeniti sigurnosne karakteristike svojih automobila. Osnaživačkim korisnicima, cilj nam je stvoriti seizmički pomak u sigurnosti softvera. “
Pročitajte više o hakerima i prevenciji cyberfime-a
-
NCSC ažurira upozorenje preko hackivističke prijetnje CNI
Napisao: Alex Scroxton
-
Odskakanje od cyber napada
-
Demistificiranje prvih pet sigurnosnih mitova
Napisao: Aaron Tan
-
Cyber Attack na aussie Energy Services Firma može pogoditi UK CNI
Napisao: Alex Scroxton