NIST 更新網(wǎng)絡安全供應鏈風險管理指南

美國國家標準與技術研究院 (NIST) 更新了解決軟件供應鏈風險的網(wǎng)絡安全指南，用于管理供應鏈中的風險，供應鏈攻擊正成為威脅參與者關注的重點。

NIST在一份聲明中說：“它鼓勵組織不僅考慮他們正在考慮使用的成品的漏洞，還考慮其組件(可能是在其他地方開發(fā)的)的漏洞，以及這些組件到達目的地的過程?！?/p>

關于修訂后的指南

“該指南幫助組織將網(wǎng)絡安全供應鏈風險考慮因素和要求納入其采購流程，并強調監(jiān)控風險的重要性。由于網(wǎng)絡安全風險可能出現(xiàn)在生命周期中的任何階段或供應鏈中的任何環(huán)節(jié)，因此該指南現(xiàn)在考慮了潛在的漏洞，例如產(chǎn)品中的代碼來源或攜帶該產(chǎn)品的零售商，”NIST 指出。

修訂后的出版物主要針對產(chǎn)品、軟件和服務的收購方和最終用戶，并為不同的受眾提供建議：網(wǎng)絡安全專家、負責企業(yè)風險管理人員、采購人員、信息安全/網(wǎng)絡安全/隱私、系統(tǒng)開發(fā)/工程/實施的領導和人員， 等等。

新指令概述了實體在識別、評估和應對供應鏈不同階段的風險時應采用的主要安全控制措施和做法，包括惡意功能的可能性、第三方軟件的缺陷、假冒硬件的插入以及不良的制造和開發(fā)實踐。

解決供應鏈面臨的網(wǎng)絡安全威脅

該出版物的作者之一NIST的Jon Boyens 說：“管理供應鏈的網(wǎng)絡安全是一項需要一直存在的需求?！?另一位作者 Angela Smith說，“組織需要確保他們購買和使用的東西是值得信賴的。這一新指南可以幫助企業(yè)了解要尋找哪些風險以及考慮采取哪些行動來應對。”

近年來，供應鏈中的網(wǎng)絡安全風險已經(jīng)成為首要問題，部分原因是針對廣泛使用的軟件的攻擊浪潮同時破壞了數(shù)十家下游供應商。

去年，隨著SolarWinds和Log4Shell事件給IT安全社區(qū)帶來沖擊，軟件供應鏈攻擊飆升至企業(yè)擔憂名單的首位。安全從業(yè)人員越來越關注構成數(shù)千個應用程序構建塊的開源組件和第三方庫的安全性。

另一個令人擔憂的原因是平臺可能被多種方式濫用，例如去年的Kaseya 攻擊，當時網(wǎng)絡犯罪分子破壞了托管應用程序，或者使用SolarWinds，他們破解了更新機制來傳遞惡意軟件。

文件地址：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf