Andrew Shikiar,FIDO Alliance执行董事兼首席执行官
网络安全和基础设施安全局(CISA)和联邦调查局发布了新的指南,这是加强软件安全的一项重大举措,各组织可利用该指南要求其软件供应商提供更好的安全性。
按需安全指南 按需安全指南》:软件客户如何推动安全技术生态系统强调了软件客户在数字供应链安全方面发挥的关键作用。 该指南概述了软件开发最初阶段的高优先级安全要求,这是创建 “设计安全 “产品的核心原则。
其中重点强调了作为软件产品默认功能的防网络钓鱼身份验证方法,如通行密钥。 这一新指南于 2024 年 8 月 6 日星期二在美国黑帽大会上公布,标志着美国和全球在确保数字供应链安全方面迈出了至关重要的一步。
因需求而安全,因设计而安全
这一新指南是对 CISA 最近发布的 设计安全指南的补充。 通过关注供应链中的采购环节,新指南建议软件买家要求技术制造商提供现代安全功能,如防网络钓鱼的身份验证和密码。 通过这样做,客户可以推动将安全作为基本功能的需求,并迫使技术制造商遵守安全设计惯例。
该指南还包括评估软件安全和在合同中纳入安全要求的评估。 指南鼓励采取积极主动的采购方法,即买方可以评估制造商的安全性和能力,以减少漏洞并加强复原力。 该指南确立了安全软件采购的最佳做法,并强调了可增强供应链安全性和互操作性的产品安全特性。
通行密钥占据中心舞台
CISA 的指导意见与美国国家标准与技术研究院(NIST)最近在其数字身份认证和生命周期管理指南中提出的指导意见相一致。 在补充指南NIST SP 800-63Bsup1 中,NIST 确认synced passkeys符合身份验证保证级别 2 (AAL2) 要求,device-bound passkeys符合身份验证保证级别 3 (AAL3)。 这两份指导文件强调了安全的重要性,包括整个数字供应链中的数字身份和认证最佳实践。
按需安全 “指南增强了 IT 买家的能力,他们可以推动市场对通行密钥和 FIDO 身份验证等安全软件功能的需求。 自 2022 年以来,80% 的黑客入侵事件都与密码薄弱或密码被盗有关,证书网络钓鱼事件也激增了 967%,有鉴于此,买家可以利用指南中的安全评估来评估软件安全性,包括密码匙功能,并改善供应链中的安全风险管理。 通过该指南,CISA 旨在提高人们对安全软件的认识,推动市场对安全软件的需求。
对软件制造商的主要建议
CISA 的 “按需安全 “指南概述了客户在采购软件时应评估的几项关键要求,其中包括在以下方面评估软件制造商安全能力的问题:
- 身份验证:制造商应支持安全、基于标准的单点登录 (SSO),并在默认情况下实施防网络钓鱼的多因素身份验证 (MFA) 或密码,且无需支付额外费用。
- 消除漏洞:应系统性地解决和预防各类软件缺陷,如 SQL 注入和跨站脚本漏洞。
- 安全默认值:应向客户提供安全日志而不收取额外费用,确保软件安全的透明度和问责制。
- 供应链安全:通过软件物料清单(SBOM)和强大的开源组件集成流程确保第三方依赖关系的出处至关重要。
- 漏洞披露:透明度和及时报告漏洞,包括授权公众进行安全测试,对于维护信任和改善安全成果至关重要。
安全领导人的行动呼吁
对于那些在软件供应链中制造或采购软件的企业来说,其指导意义非常明确:通行密钥可改善第三方供应链,并确保软件采购和开发流程达到更高的安全标准。 通过将密码钥匙集成到身份验证流程中,企业可以加强端到端的数字身份生命周期管理,并显著降低网络钓鱼和社交工程攻击的风险。
要了解有关 CISA 的 “按需安全 “指南的更多信息,请访问https://www.cisa.gov/resources-tools/resources/secure-demand-guide。
准备好使用无密码了吗?
了解如何实施密钥或使用FIDO认证目录和FIDO认证成员展示区寻找密钥部署合作伙伴。
