The Open Group雷达 | “零信任”:IT供应链安全的下一个热门词汇
更大的供应链透明度和信息共享将改善美国联邦政府的网络态势。#数字化 #流程自动化(文章来源:GovernmentCIO Magazine)
联邦网络领导人正在深入研究IT供应链安全,这标志着在2020年12月太阳风(SolarWinds)公司遭黑客攻击后,联邦网络安全出现了一个重要的新趋势。
美国海关和边境保护局首席信息官阿尔玛·科尔日前在会议上表示,零信任和IT供应链安全等概念将成为下一个热门流行词。负责网络事务的副国家安全顾问安妮·纽伯格(Anne Neuberger)在一次主题演讲中强调,在联邦机构将IT业务转移到云计算时,软件是一个关键的风险领域。纽伯格表示:“在SolarWinds事件之后,我们面临着一个严峻的事实:一些最基本的网络安全措施并没有在联邦机构中推广。”
纽伯格还呼吁提高软件供应链的透明度,这需要私营软件供应商的合作,并支持美国总统拜登(Joe Biden)最近的网络行政命令。“我们不知道什么是安全开发的,什么不是,”她说,“为了让市场在这个问题上投入资金,我们需要将可见性(visibility)集成到我们软件的安全性中。可见性产生信任。许多运行关键基础设施的系统,包括为家庭供暖的天然气系统以及为学校照明的电力系统,都是在人们还没有听说过互联网之前建造的。这些基础设施大多掌握在私营部门手中。”
部分联邦网络领导人为联邦机构提供了切实可行的建议和行动步骤,以加强其IT供应链的安全性和整体网络态势。美国总务署(General Services Administration)的网络顾问阿丽莎·费奥拉(Alyssa Feola)建议管理供应链风险的七个步骤:
1. 在每个治理层应用CSCRM实践
2. 找出什么是关键的
3. 评估你购买的软件产品,并在购买后跟踪它的绩效
4. 考虑威胁、权衡利弊
5. 在整个组织中建立有效的沟通渠道
6. 实施对策
7. 分享信息
费奥拉称,第三步经常被联邦机构忽略,特别是在云迁移流程中,人们很容易购买太多附加工具和功能,导致技术膨胀及潜在隐患。
美国国家电信和信息管理局(NTIA)网络安全项目主管伦·弗里德曼(Allan Friedman)对纽伯格和费奥拉关于可见性和信息共享的评论表示赞同。弗里德曼表示,透明的供应链应该是网络安全的一个基本事实:“它不能解决所有问题,但它将成为一系列基于风险的广泛决策的基础。”
作者:Kate Macri