Информационный бюллетень содержит проблемы безопасности программного обеспечения и рекомендации по улучшению безопасности и управления рисками при использовании OSS поставщиками операционных систем и объектами критической инфраструктуры
ВАШИНГТОН – Агентство по кибербезопасности и инфраструктурной безопасности (CISA), Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ) и Министерство финансов США опубликовали сегодня новое руководство “По повышению безопасности программного обеспечения с открытым исходным кодом (OSS) в операционных технологиях (OT) и системах промышленного контроля (ICS)”, разработанное в сотрудничестве с промышленными и правительственными партнерами в рамках Совместной программы Cyber Defense Collaborative (JCDC) в рамках нашей Инициатива по планированию OSS на 2023 год. Это руководство будет способствовать лучшему пониманию и освещению передовых практик и соображений по безопасному использованию OSS в средах OT / ICS.
Организации критической инфраструктуры, использующие OT / ICS, сталкиваются с повышенными проблемами кибербезопасности из-за потенциально далеко идущих последствий инцидентов и связанных с ними последствий для безопасности жизни, особенно для подключенной инфраструктуры. Применение общеприменимых методов кибергигиены, таких как регулярное обновление программного обеспечения, может быть сложной задачей для организаций, использующих OSS в приложениях OT и ICS.
Данное руководство предназначено для оказания помощи как высшему руководству, так и операционному персоналу поставщиков OT / ICS и объектов критической инфраструктуры в улучшении управления рисками, связанными с использованием OSS в продуктах OT / ICS, для включения цепочки поставок программного обеспечения и повышения устойчивости с использованием имеющихся ресурсов.
“Наши усилия по планированию JCDC объединили различные заинтересованные стороны в экосистеме кибербезопасности, чтобы понять системные риски в OSS, влияющие на среды OT / ICS, и разработать совместные действенные решения. Наша работа по выпуску своевременных и актуальных продуктов зависит от надежного сотрудничества с нашими партнерами ”, – сказал Клейтон Романс,директора CISA. “Это руководство является еще одним положительным результатом нашего партнерства с сообществом OSS, промышленностью и межведомственными партнерами, которые вложили в него свое время и усилия. Мы уверены, что это продолжающееся сотрудничество между государственным и частным секторами по поддержке экосистемы OSS продолжит расширяться и поможет еще больше снизить риски для критически важной инфраструктуры нашей страны ”.
Рекомендации, представленные в руководстве, начинаются с высшего руководства организации и охватывают такие области, как:
- Поддержка поставщиками разработки и обслуживания OSS, включая участие в программах OSS и грантах, партнерство с существующими фондами OSS и поддержку внедрения средств безопасности и передовых практик в жизненном цикле разработки программного обеспечения.
- Управляйте уязвимостями, включая снижение подверженности риску путем запроса бесплатных услуг кибергигиены, и участвуйте в координации уязвимостей, используя доступные рекомендации и ресурсы.
- Управление исправлениями, включающее в себя содействие уникальному пониманию процесса развертывания исправлений для сред OT / ICS и ведение всестороннего обновленного реестра активов для наилучшей идентификации программных и аппаратных продуктов, а также компонентов с открытым исходным кодом как в ИТ, так и в ОТ-средах.
- Улучшают политики аутентификации и авторизации, включая использование учетных записей, которые однозначно и проверяемо идентифицируют отдельных пользователей, внедряют многофакторную аутентификацию и сочетают методы защиты по умолчанию с наименьшими привилегиями.
- Устанавливают общую структуру, включающую разработку и поддержку программного офиса с открытым исходным кодом, поддержку безопасных практик использования открытого исходного кода и ведение инвентаризации программных активов.