NIST(美国国家标准和技术研究所)是美国商务部下属的一个联邦机构。NIST成立于1901年,旨在促进美国的创新和工业竞争力,帮助组织推进测量科学、技术和标准,以改善公民的生活质量,提高经济安全。
今年5月初,NIST更新了关于整个网络供应链管理安全风险的建议。这份名为SP 800-161r1的文件中重点关注了C-SCRM(网络软件安全供应链风险管理实践)。
NIST的C-SCRM项目通过识别、评估和减轻数字供应链固有的风险,帮助组织更有效的管理网络安全供应链风险。
C-SCRM项目涵盖了整个SDLC,包括开发、设计、部署、分发等各个阶段。它通过开展研究、提供资源和召集利益相关者来帮助组织管理其软件供应链安全风险。
一、C-SCRM层级
以此为背景,NIST在SP 800-161r1 中提出了一个三层次的方法来配置和构建一个C-SCRM项目:
1.企业层面
活动:创建高层次的风险管理策略、政策和实施计划。
人员:首席执行官,如CISO、CIO、CEO或CFO
2.任务和业务流程层面
活动:接受企业级别的指导,并将其转化为针对特定任务领域和业务线的战略、政策和实施计划。
人员:业务经理,如项目经理、安全主管等。
3.实际操作层面
活动:实施C-SCRM策略和更高层次部署的需求
人员:系统管理员,如架构师、开发人员或工程师
二、C-SCRM具体实践
1.基础实践
NIST将C-SCRM置于供应链管理和信息安全的交叉点,现有的网络安全和供应链实践为创建有效的风险管理程序提供了基础。
2.企业层面的实践
C-SCRM只有在作为企业范围的活动实现时才能生效。因此,该项目必须包含所有层级,其中就有企业层级、任务或业务流程、信息系统等。企业需要在整个SDCL中实现C-SCRM。
3.风险管理程序
将C-SCRM整合到整体风险管理战略中,首先要评估和确定适用的风险,以确定适当的应对行动。然后,组织将利用该评估来构建C-SCRM战略和实施计划。这项工作有两个重要环节:
①风险。供应链风险通常与涉及构建和交付网络产品和服务的流程与决策相关。这些问题通常是由于对这个过程缺乏可加性、对周期理解不足以及对关键过程和决策没有控制而造成的。
②威胁和漏洞。有效的供应链风险管理还需要全面了解来自第三方的威胁和漏洞。例如,许多公司在构建应用程序时将开源组件集成到自己的库中,这会带来严重的潜在安全风险。
4.关键系统
各组织可以通过在受到损害时可能造成最大影响的最脆弱的组件或系统,并在可能的情况下自动补救这些组件或系统,从而建立具有成本效益的供应链风险缓解战略。这需要利用高级自动化安全工具,例如UniSCA、Mend SCA等。任何供应链风险管理解决方案都必须具备以下7个条件:
①准确性:用户需要确信他们的解决方案能够准确的检测到漏洞并向他们发出警报,而不会产生误报。
②零信任:解决方案应该采用零信任方法,该方法要求对使用或访问资源和数据的每个请求都进行身份验证、授权和持续验证,以确保符合安全性要求。在零信任环境中,默认情况下每个软件都是不可信的,并且在授予访问权限之前需要部署措施来验证和保护所有资源。
③速度:随着SDLC速度的加快和开发量的迅速增长,快速检测和修复漏洞变得越来越重要。
④优先级排序:对应用程序和开发过程的攻击越来越多,这也对安全工具提出了挑战。并非所有的漏洞都构成严重威胁,对不严重的漏洞进行修复会浪费大量宝贵的时间和资源,而这些时间本应集中用于应对更严重、紧急的威胁。寻找能够优先处理高风险漏洞的解决方案,以优化你的安全性并最大程度的维护软件供应链安全。
⑤修复:理想情况下,安全解决方案应该比简单的检测漏洞更进一步。高级解决方案还会提供修复它们的建议,或者支持自动修复功能。
⑥全覆盖:有效的安全解决方案必须与广泛的平台和编程语言集成,以最大限度的扩大可检查的代码范围,并最大限度的减少忽视缺陷和漏洞的可能性。
⑦安全左移:在SDLC的早期处理漏洞更加容易和快速,并且可以提高安全过程的有效性。以这种方式左移安全性使得开发者更轻松的实现这些安全过程。所以,关键是找到合适的高级安全工具,这些工具既准确、易于使用,又能够无缝的融入原本的开发者工作流中。