จาก Log4j สู่ความเชื่อถือเป็นศูนย์ เอเจนซี่มีปีที่วุ่นวายในโลกไซเบอร์อีกปีหนึ่ง

จาก Log4j สู่ความเชื่อถือเป็นศูนย์ เอเจนซี่มีปีที่วุ่นวายในโลกไซเบอร์อีกปีหนึ่ง

ไม่ต้องแปลกใจ ปี 2022 เป็นอีกปีที่เต็มไปด้วยกิจกรรมสำหรับเจ้าหน้าที่รักษาความปลอดภัยข้อมูลระดับหัวหน้าของรัฐบาลกลางและทีมรักษาความปลอดภัยทางไซเบอร์ทั่วทั้งรัฐบาลเริ่มต้นด้วยการล้างข้อมูลช่องโหว่ของซอฟต์แวร์ Log4j และดำเนินต่อไปด้วยคำแนะนำและความคิดริเริ่มใหม่ๆช่องโหว่ Zero-day ในไลบรารี Java แบบโอเพ่นซอร์สที่เรียกว่า “Log4Shell” ปรากฏขึ้นจริงในช่วงปลายเดือนพฤศจิกายน 2564 และทำให้ทีมรักษาความปลอดภัยยุ่งตลอดช่วงวันหยุด

 วิกฤตของช่องโหว่นี้เกิดจากการใช้งานอย่างแพร่หลายในระบบเครือข่าย 

การแสวงหาผลประโยชน์ที่ง่ายดาย และการเข้าถึงที่สำคัญแก่ผู้โจมตีที่ประสบความสำเร็จ

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานเป็นผู้นำความพยายามในการแก้ไขช่องโหว่ทั่วทั้งเครือข่ายหน่วยงาน ข้อมูลเชิงลึกโดย Ciena และ AT&T: ข้อกำหนดของภารกิจในการรับความเร็วและแบนด์วิธสูงแก่ผู้ใช้ทั่วโลกคือหน่วยงานชั้นนำในการปรับใช้ 5G ดาวเทียมพื้นต่ำ และเทคโนโลยีเครือข่ายที่คล่องตัวอื่นๆ ที่เกิดขึ้นใหม่ เราแบ่งปันรายละเอียดจากความพยายามของ Coast Guard, CBP, CISA และ Energy ในการบรรยายสรุปสำหรับผู้บริหารสุดพิเศษนี้

“เราได้เห็นความสนใจเป็นพิเศษเกี่ยวกับช่องโหว่นี้ในหน่วยงานรัฐบาลกลาง” Eric Goldstein ผู้ช่วยผู้อำนวยการบริหารด้านความปลอดภัยทางไซเบอร์ของ CISA กล่าวเมื่อต้นเดือนมกราคม “ฉันคิดว่าตรงไปตรงมา การมุ่งเน้นที่ทุ่มเทที่สุดที่เราเคยเห็นสำหรับความพยายามเช่นนี้”

ในขณะเดียวกัน เจ้าหน้าที่ CISA กล่าวว่าความพยายามในการแก้ไขยังไม่สิ้นสุด

ในรายงานฉบับแรกคณะกรรมการพิจารณาความปลอดภัยทางไซเบอร์ยังเตือนด้วยว่า Log4j ที่ยังไม่ได้แพตช์จะยังคงเพิ่มขึ้นต่อไปอีกหลายปีข้างหน้า ซึ่งอาจนานถึงหนึ่งทศวรรษ

คำเตือนเหล่านั้นมีผลในเดือนพฤศจิกายน เมื่อCISA เผยแพร่การแจ้งเตือนที่เปิดเผยว่าระหว่างกลางเดือนมิถุนายนถึงกลางเดือนกรกฎาคม พบหลักฐานว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากอิหร่านใช้ Log4shell เพื่อบุกรุกเครือข่ายของหน่วยงานพลเรือนที่ไม่มีชื่อ วอชิงตันโพสต์รายงานในภายหลังว่าหน่วยงานที่เป็นปัญหาคือคณะกรรมการคุ้มครองระบบคุณธรรม

แต่เหตุการณ์ Log4j เน้นย้ำถึงการผลักดันที่ดำเนินการ

ไปแล้วเพื่อเพิ่มความปลอดภัยของซอฟต์แวร์ที่ใช้ข้ามหน่วยงาน การเคลื่อนไหวดังกล่าวเริ่มต้นขึ้นตามคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ในเดือนพฤษภาคม 2564 และส่งผลให้มีแนวทางปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัยใหม่ที่ออกโดย National Institute of Standards and Technology ในช่วงฤดูใบไม้ผลิ

ในเดือนกันยายน สำนักงานบริหารและงบประมาณของทำเนียบขาวได้ออกแนวทางที่คาดหวังไว้สูงว่าหน่วยงานต่างๆ ควรนำแนวทางปฏิบัติของ NIST ไปใช้อย่างไร

คำสั่ง “การเพิ่มความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ผ่านหลักปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัย” ใช้กับการใช้ซอฟต์แวร์ของบุคคลที่สามของหน่วยงาน ซึ่งจะส่งผลกระทบต่อผู้รับเหมาและผู้ผลิตซอฟต์แวร์จำนวนมากในระบบนิเวศการจัดซื้อจัดจ้างของรัฐบาลกลาง

ภายใต้กฎการเข้าซื้อกิจการที่กำลังจะมีขึ้น หน่วยงานต่างๆ จะกำหนดให้ผู้จำหน่ายซอฟต์แวร์ต้องรับรองด้วยตนเองว่าพวกเขากำลังปฏิบัติตามแนวทางการพัฒนาที่ปลอดภัยของ NIST คำแนะนำ OMB ยังเปิดประตูให้เอเจนซีกำหนดการประเมินความปลอดภัยของบุคคลที่สามอีกด้วยนอกจากนี้ยังสนับสนุนให้หน่วยงานต่างๆ ใช้ Software Bills of Material หรือ SBOMs แต่ไม่ต้องการให้ใช้สิ่งที่เรียกว่า “รายการส่วนผสมของซอฟต์แวร์” คณะกรรมการพิจารณาความปลอดภัยทางไซเบอร์ในรายงาน Log4j กล่าวถึงศักยภาพของการใช้ SBOM เพื่อเพิ่มความโปร่งใสของซอฟต์แวร์ ในขณะที่การยอมรับการพัฒนาเพิ่มเติมในเครื่องมือ SBOM และการนำไปใช้นั้นยังจำเป็นอยู่

ในขณะเดียวกัน อุตสาหกรรมเทคโนโลยีก็ประสบความสำเร็จในการโน้มน้าวฝ่ายนิติบัญญัติให้ยกเลิกข้อกำหนด SBOM ใหม่ในร่างกฎหมายอนุญาตกลาโหมปีงบประมาณ 2023 ฉบับสุดท้าย สมาคมอุตสาหกรรมแย้งว่า SBOMs มียูทิลิตี้จำกัดในปัจจุบัน เนื่องจากขาดมาตรฐาน

แต่ประเด็นนี้จะเป็นประเด็นที่ต้องจับตาดูต่อไปในปี 2566 กองทัพกำลังก้าวไปข้างหน้าด้วยการนำ SBOM ที่มีศักยภาพมาใช้ในเครื่องมือการทำสัญญาขนาดใหญ่ และสำนักงานความมั่นคงแห่งชาติและหน่วยงานด้านไซเบอร์ชั้นนำอื่น ๆได้รับรองการใช้งานเช่นกัน

credit: jpbagscoachoutletonline.com
CopdTreatmentsBlog.com
SildenafilBlog.com
maple-leaf-singers.com
faulindesign.com
doodeenarak.com
coachjpoutletbagsonline.com
MigraineTreatmentBlog.com
GymAsTicsWeek.com