拜登的网络安全行政命令中的“关键”软件是什么?
在拜登总统的指导下,美国国家标准与技术研究所最近发布了对供应链中常见的“关键”软件组件构成的最新定义。但据一位网络安全专家称,该语言显示了一个奇怪的遗漏。
供应商 Finite State 的总法律顾问 Eric Greenwald 指出,在提议应将网络安全技术的哪些方面纳入政府行政命令的初始实施阶段以审查和保护国家关键供应链时,NIST 不包括嵌入式软件和固件组件联网设备安全系统。
承认此类组件通常对保护 IT 安全“至关重要”。然而,NIST 认为它们在本质上过于复杂,无法纳入政府工作的早期实施阶段。
NIST 表示,它根据许多其他机构的意见协调了其定义,包括网络安全和基础设施安全局 (CISA)、管理和预算办公室、国家情报总监办公室和国家安全局。作为国土安全部的一部分,CISA 将利用 NIST 的调查结果来设计属于第一阶段审查范围的自己的软件类别列表。
NIST 声称嵌入式软件和固件——设备硬件的基本、低级控制——太复杂而无法立即处理,这包含在“常见问题”的回答中。但格林沃尔德说他对这份简短的声明感到困惑。
“我不知道他们的意思是什么,”他说,并认为 NIST 的定义可能会排除防火墙等真正关键的元素,“仅仅因为它们在设备上而不是基于云。”
>Greenwald 意识到 NIST 最初可能不希望将嵌入在设备芯片组中的软件包含在内。 “但是,当您谈论操作系统或应用层软件时,将其作为一个类别排除在外对我来说是没有意义的。很难理解他们如何在设备软件和固件之间做出有意义的区分。”
他说,“复杂性”不是区分的理由。 “我认为它越复杂,应用更高的安全标准就越重要。”
格林沃尔德承认,NIST 在嵌入式软件和固件上划清界限的一个可能动机是希望在行政命令的初始实施阶段“不要吃得太多”。通过对关键软件的定义过度定义,该机构将冒着劝阻私营科技公司参与联邦政府采购的风险。不过,他表示,这并不是将此类软件排除在早期行动之外的正当理由。
对某些人来说,这种区别可能看起来很学术,但它关系到可以信任哪些技术提供商可以为政府和私营部门提供关键安全系统的核心。国防部最近收紧了自己的采购标准,并颁发了网络安全成熟度模型认证。 CMMC 规定,合格的承包商必须获得第三方认证才能将其软件出售给国防部。
格林沃尔德认为有可能建立一个制度,在严格的合规计划中立即席卷数十万承包商。 “关于究竟谁应该受到这些约束存在疑问,”他说。 “缺乏清晰是魔鬼。”
但是,当谈到 NIST 明显将嵌入式软件和公司视为需要拜登新任命的供应链中断工作组立即关注的关键要素时,缺乏清晰度也是格林沃尔德的担忧。他希望该机构尽快澄清其意图,或者 CISA 将选择将有争议的类别纳入其适用软件的最终清单。
尽管如此,如果两个机构继续为行政命令的第一阶段传递这些组成部分,“我非常有信心将它们包括在第二阶段,”格林沃尔德说。完全忽略它们将严重危及保护系统免受任何形式网络威胁的努力。
工业技术