编译:奇安信代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同 会中的“虚拟人”,已经成为支撑 会正常运转的最基本元素之一,软件的安全性问题也正在成为当今 会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
该行政令是对最近发生的一系列软件供应链和 络安全事件如 SolarWinds、Codecov、依赖混淆、Microsoft Exchange 和 Colonial Pipeline 事件做出的响应。这些事件表明,美国公私实体遭遇了非常复杂的攻击者实施的恶意活动。
从技术角度理解该行政令较为复杂,牵涉多种关于动机、攻击向量、工程概念以及快速发展的防御战略等因素。好在,从人的角度出发理解该行政令非常简单。实际上,所有我们需要了解的东西都很可能早在幼儿园就了解了。
下面我们就从幼儿园已经学到的知识来拆解这项行政令。
饭前要洗手
在上学前洗澡并不意味着你在吃午饭时手是干净的。在幼儿园,老师会时刻提醒小朋友,我们学习到了“零信任”卫生和定期洗手的重要性。行政令本身就像是一位老师在不断地告知技术提供商关于零信任安全实践的重要性。“饭前要洗手”和“永远都要使用双因素认证”以及“永远要在数据传输过程中和其它过程加密数据”是一样的指南。
吃一堑长一智
如果犯错了,那就吸取教训,不要再犯。IT 组织机构很多时候就像幼儿园的小朋友一样,会重复犯错而不会学到珍贵的经验。如果发生极其糟糕的事情(在幼儿园和 络安全行业均如此),那么相关方必须携手,提出硬核问题,避免类似错误再次发生。学校安全委员会旨在阻止操场受伤情况一而再再而三地发生,同样,该行政令设立了一个由政府和私营行业牵头的 络安全安全审计委员会。该委员会会在严重的数据泄露实践发生时发挥作用,分析所发生的事件并提供具体建议,防止类似事件再次发生。
走廊监控器助力安全提升
假设你现在是一名小学校长。走廊处的监控器就像是另外一双可信任的眼睛,它能最大限度地保护整个 区的安全。这项行政令本身设立了“数字走廊监控器”来改进政府检测所有联邦 络中恶意 络活动的能力。具体而言,这些数字化走廊监控器将观察到政府范围内的端点检测情况,且便于联邦机构之间共享信息,保护国家 络安全。
简言之,安全开发和保护国家软件安全并非复杂伤神的工作。当然,我们可以探讨如何实现行政令中所有内容的细微差别。但是,只要有一点点幼儿园水平的聪明才智,我们就会让世界更美好,且共同提升国家的 络防御能力。
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树首页概览22655 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!