2021年5月12日,拜登总统签署了《加强国家网络安全行政命令》。该命令是在SolarWinds Orion软件供应链遭受重大破坏性攻击后制定的,要求美国多个联邦政府机构通过以下方式加强协调,以预防、检测、应对和缓解安全事件及漏洞:
- 消除威胁信息共享的障碍
- 现代化联邦政府网络安全技术与实践
- 增强软件供应链安全
- 建立并规范联邦政府漏洞与事件响应手册
- 提升联邦政府网络中网络安全漏洞与事件的检测能力
- 提升联邦政府的调查与补救能力
本行政命令(EO)在先前网络安全相关行政命令的基础上,要求各机构依据美国国家标准与技术研究院(NIST)制定统一标准,并自2022年5月起开始实施。
鉴于该行政令为联邦机构引入了多项新的第三方风险管理要求,本文将重点阐述第4节"加强软件供应链安全"。若软件供应商无法满足这些要求,将被移出联邦政府采购条例——这意味着他们将丧失向政府供货的资格。联邦政府将于今年晚些时候公布这些要求,包括测试与评估标准。
第三方风险管理如何适用于总统行政命令
关键联邦政府信息技术系统长期以来一直是国家攻击的目标。恶意行为者深知,进入联邦系统的最便捷且最不安全的途径往往是通过第三方服务和软件。第三方供应商可能缺乏检测恶意活动或代码的必要流程或控制措施,且可能导致大量敏感信息泄露。
第三方风险管理技术与流程可协助组织落实行政命令中关于评估和报告软件安全的指导方针。该行政命令的评估标准涵盖对开发者和供应商安全控制措施的审查,以及证明遵循安全实践的文件记录。
下表总结了行政命令中涉及的若干最重要的第三方风险管理要求,以及Prevalent公司为评估供应商实践所推荐的功能。
| EO指导 | 推荐能力 |
|---|---|
| 4 (e) (i) (A)至(F)
此类指导应包含关于以下方面的标准、程序或准则: |
在评估第三方软件安全实践时,应充分利用现有行业认可的标准化风险评估问卷模板,包括标准信息收集(SIG)、NIST、CMMC及相关评估工具。通过在供应商体系中采用统一的标准化评估方案,可确保各机构更高效地比较供应商的软件安全实践水平。
注:各机构还可利用交换网络,该网络包含已完成的安全风险评估,从而加速风险识别流程。 |
| 4 (e) (ii)
(ii) 生成并应购买方要求提供证明文件,以证明符合本节(e)(i)款所述流程; |
在评估第三方安全软件开发实践时,请确保具备集中管理支持证据的能力,包括内置的任务与验收管理功能以及强制上传特性。安全文档存储库可确保相关方能够及时查阅文档及开发成果。 |
| 4 (e) (iii)
(iii) 采用自动化工具或类似流程来维护可信源代码供应链,从而确保代码的完整性; |
参见上文第4(e)(i)(A)-(F)项。 |
| 4 (e) (iv)
(iv) 采用自动化工具或类似流程,定期检查已知及潜在漏洞并进行修复,该流程至少应在产品、版本或更新发布前运行; |
第三方必须对其软件和代码中的漏洞进行扫描、分级处理和修复,并提供相应证明。但威胁并未就此终结。安全团队还应持续监测互联网和暗网中的网络威胁、泄露凭证或其他入侵迹象——若未能及时发现,这些威胁都可能成为入侵联邦系统的通道。 |
| 4 (e) (v)
(v) 应购买方要求,提供本节(e)(iii)和(iv)款所述工具及流程的执行记录,并在完成上述操作后公开相关摘要信息,其中应包含对已评估及缓解风险的简要说明; |
报告机制至关重要。联邦IT安全团队应能借助嵌入式机器学习洞察,揭示供应商或供应商群体的风险趋势、现状、整改措施及异常行为。这将使团队能够快速识别评估、任务、风险等环节中的异常值,从而确定需要进一步调查的对象。 |
| 4 (e) (vi)
(vi) 维护准确且最新的数据、软件代码或组件的来源(即起源),并对软件开发流程中存在的内部及第三方软件组件、工具和服务实施管控,并定期对这些管控措施进行审计和执行; |
联邦信息技术团队应能够自动将内部审计收集的信息映射至本行政令适用的标准或监管框架(包括NIST、CMMC等),从而快速可视化并解决关键控制缺陷,同时验证相关实践。构建符合《提升国家网络安全行政令》要求的第三方风险管理计划。 |
| 4 (e) (vii)
(vii) 向购买者提供每款产品的软件物料清单(SBOM),可直接提供或通过在公共网站上发布实现; |
参见上文第4(e)(i)(A)-(F)项。 |
| 4 (e) (viii)
(viii) 参与包含报告和披露流程的漏洞披露计划; |
参见上文第4(e)(i)(A)-(F)项。 |
| 4 (e) (ix)
(ix) 证明符合安全软件开发实践;以及 |
参见上文第4(e)(ii)条。随着《关于加强国家网络安全的行政命令》所列要求在未来一年逐步落实,当前正是信息技术软件公司建立或完善自身第三方风险管理计划的时机。关键考量因素应包括: |
| 4 (e) (x)
(x) 在可行的范围内,确保并证明产品任何部分所使用的开源软件的完整性与来源。 |
参见上文第4(e)(vi)条。确定哪些供应商被视为关键供应商,并将评估重点放在那些对贵公司运营构成最大固有风险的供应商上。 |
- 定期评估为最终构建提供代码或更新的关键第三方在安全软件开发生命周期实践方面的表现
- 持续监控暗网、黑客讨论区及其他相关论坛,以追踪与贵方第三方相关的活动动态。
- 评估与监测结果的分级处理及补救措施
- 为审计师集中管理文档和报告
Prevalent 可助您一臂之力。我们提供 SaaS 解决方案,能够自动化执行关键任务,涵盖供应商生命周期各阶段的第三方安全、隐私、运营、合规及采购相关风险的识别、评估、分析、整改与持续监控。若需了解 Prevalent 如何提供支持,请查阅我们针对《改善国家网络安全行政命令》的第三方风险管理能力说明,或立即联系我们进行战略探讨。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
