澳大利亚信号局的澳大利亚网络安全中心 (ASD 的 ACSC) 发布了一份指导文件,题为《选择安全和可验证的技术》,旨在帮助组织在采购软件(专有或开源)、硬件(例如物联网设备)和云服务(SaaS、MSP 服务)时做出明智的决策。
数字供应链威胁环境
每个攻击媒介可能采取的恶意行为以及可能的缓解策略
| 威胁行为者的攻击向量 | 可能的恶意行为或攻击 | 可能的缓解策略 |
|---|---|---|
| 1 | 恶意代码注入合法的开源软件包。 | 该技术制造商通过安全开发实践(包括内容扫描、验证来源、测试和代码审查)采取缓解措施,防止摄入恶意开源内容。 |
| 开发伪装成合法软件包的恶意开源软件包。 | 技术制造商通过安全开发实践(包括内容扫描、验证来源、测试和代码审查)采取缓解措施,防止纳入恶意开源内容。 | |
| 合法贡献者错误地将错误配置或漏洞添加到开源软件包中。 | 技术制造商通过安全开发实践(包括内容扫描、验证来源、测试和代码审查)采取缓解措施,防止纳入恶意开源内容。 | |
| 产品或服务中存在一类已知漏洞。 | 技术制造商拥有识别、纠正和缓解已知类别的漏洞的方法。 | |
| 2 | 提供恶意或易受攻击的产品或服务。 | 供应技术制造商提供安全流程来验证所供应产品或服务的合法性,例如数字签名、物料清单和防篡改缓解措施,并可提供其安全设计实践和风险缓解措施的证据。 |
| 提供恶意或易受攻击的补丁。 | 提供技术制造商提供数字签名等安全流程来验证补丁的合法性,并提供管理修补过程和计划的方法。 | |
| 恶意行为者拦截传输过程并操纵所提供的内容。 | 供应技术制造商提供了一个安全的流程来验证所收到内容的合法性。 | |
| 3 | 值得信赖的内部人员对要交付给技术消费者的产品或服务进行恶意更改。 | 供应技术制造商采用内部威胁缓解措施来防止恶意更改,例如可验证的变更控制、员工安全筛查和培训以及其他安全设计缓解措施。 |
| 产品或服务中存在一类已知漏洞。 | 供应技术制造商遵循良好的安全设计实践,采取缓解措施,消除已知类别的漏洞的根本原因。 | |
| 4 | 提供恶意或易受攻击的产品或服务。 | 供应技术制造商有一个验证和确认第三方产品或服务(如数字签名)合法性的流程,并验证其供应商安全设计实践和风险缓解措施的证据。 |
| 提供恶意或易受攻击的补丁。 | 供应技术制造商拥有一套流程来验证和确认补丁的合法性,并可以管理补丁流程和调度。此外,他们还必须验证其供应商的安全设计实践和风险缓解措施的证据。 | |
| 提供恶意或易受攻击的程序包或源代码。 | 供应技术制造商拥有一套验证和确认源代码或内容的流程,例如漏洞扫描、动态和静态应用程序安全测试以及恶意软件扫描。此外,他们还必须验证其供应商的安全设计实践和风险缓解措施的证据。 | |
| 恶意行为者拦截传输过程并操纵内容以达到恶意目的。 | 供应技术制造商拥有一套验证和确认收到的内容的流程,例如漏洞扫描、动态和静态应用程序安全测试以及恶意软件扫描。此外,他们还必须验证其供应商的安全设计实践和风险缓解措施的证据。 | |
| 5 | 值得信赖的内部人员对交付给供应技术制造商的产品或服务进行了恶意更改。 | 供应技术制造商已验证并确认了其供应商实施的缓解措施,例如可验证的变更控制、员工安全筛查和培训以及其他安全设计缓解措施。 |
| 产品或服务中存在一类已知漏洞。 | 供应技术制造商已确认并验证了其供应商实施的缓解措施,例如漏洞扫描、动态和静态应用程序安全测试以及其他安全设计实践。 |
它的目标客户是高级管理人员、网络安全专家、风险顾问、采购专业人士以及数字产品和服务制造商。
其目标是通过在整个技术生命周期内评估和管理风险提供可行的建议来改善决策。
它提供以下方面的建议:
了解技术采购中的风险
它深入了解供应链攻击载体和不断演变的网络威胁,并为采购前和采购后的风险管理策略提供指导。
外部采购注意事项
它概述了评估制造商的透明度、证明和遵守安全设计原则的最佳实践,并强调威胁建模、安全认证和确保产品互操作性。
内部组织评估
使采购决策与内部风险阈值、政策和安全基础设施保持一致的步骤。
安全设计和默认安全
它为技术制造商提供建议和指导,帮助他们在开发产品时牢记安全设计和默认安全策略,并提供产品安全验证指南。
鼓励各组织整合以下做法:
进行彻底的购买前评估,利用文件的问题和标准来评估制造商的透明度、合规性和风险承受能力。
利用指导来设计强调生命周期安全、事件管理和数据主权的内部政策和采购策略。
请参阅指南中列出的补充资源和标准以获得深入的技术支持。
本文件并不是一份放之四海而皆准的清单,而是一个可适应每个组织独特需求的灵活框架。
该出版物是 ASD 的 ACSC、美国网络安全和基础设施安全局 (CISA)、加拿大网络安全中心 (CCCS)、英国国家网络安全中心 (NCSC-UK)、新西兰 NCSC 和韩国国家情报局 (NIS) 合作的成果。
选择安全且可验证的技术
https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/outsourcing-and-procurement/cyber-supply-chains/choosing-secure-and-verifiable-technologies
- 介绍
- 第一部分——了解技术采购的风险
- 第二部分——外部采购考虑因素
- 第三部分 - 内部采购考虑事项
- 附录
我们鼓励高层领导阅读我们的《选择安全和可验证的技术——执行指导出版物》,这是该建议的执行摘要,以便对安全技术做出更明智的评估和决策。
介绍
随着越来越多的网络威胁危及用户的隐私和数据,组织必须确保他们始终选择安全且可验证的技术。客户有责任评估购买和操作数字产品或服务的适用性、安全性和风险。然而,重要的是,客户越来越多地要求制造商采用并提供设计和默认安全的产品和服务。通过这种方式,消费者可以提高他们的弹性,降低风险并降低与修补和事件响应相关的成本。
当组织确定需要采购数字产品或服务时,必须考虑产品或服务是否安全,以及在其指定的生命周期内是否能保持安全。安全性不足或较差可能会使组织面临更多甚至无法控制的风险和更高的运营成本。主动将安全考虑因素纳入采购流程有助于管理和显著降低风险并降低成本。
虽然采购组织应尽力提出本文建议的尽可能多的问题,但制造商可能需要时间来调整其行为和做法以提供充分的答案。最终,采购组织必须确保他们已经收集了足够的信息以做出明智的决定。
澳大利亚信号局的澳大利亚网络安全中心 (ASD 的 ACSC) 和以下国际合作伙伴在本指南中提供了建议,作为选择安全和可验证技术的路线图:
- 网络安全和基础设施安全局 (CISA)
- 加拿大网络安全中心(CCCS)
- 英国国家网络安全中心(NCSC-UK)
- 新西兰国家网络安全中心(NCSC-NZ)
- 韩国国家情报局 (NIS) 和 NIS 国家网络安全中心 (NCSC)
观众
本文针对以下人群撰写:
- 采购和利用数字产品和服务的组织。本文中也称为采购组织、购买者、消费者和客户。
- 数字产品和服务制造商。
应阅读本指南的关键人员包括但不限于组织高管、高级经理、网络安全人员、安全政策人员、产品开发团队、风险顾问和采购专家。
本文旨在供所有读者完整阅读,以便:
- 向组织提供有关采购数字产品和服务的安全设计考虑,从而做出更明智的评估和决策。
- 告知制造商数字产品和服务的安全设计注意事项,从而促进安全技术的开发。本文为制造商提供了关键的安全问题以及他们可以预见到的客户期望。我们并不期望制造商能够回答本文中的所有问题。但是,他们仍应努力提供尽可能多的信息,并适当地协助客户。
本文不是一份清单,不应被理解为提供绝对或完美的数字采购结果。相反,它旨在帮助采购组织在其自身运营环境中做出明智的、基于风险的决策。每个组织的结构和采购方法都是独一无二的,因此,本文中的每一项可能都不相关。此外,组织可能需要考虑本文未涵盖的其他项目,这些项目可能是组织本身或其运营所在的行业或地区所特有的。
本文档假设读者具有中等水平的计算和网络安全知识。
![第三部分:进阶概念 9.错误处理 --[JavaScript 新手村:开启编程之旅的第一步]](https://i-blog.csdnimg.cn/direct/a6a775e370be4eb9a4d75af206f3d32b.png#pic_center)
