NIST อัปเดตคำแนะนำด้านความมั่นคงปลอดภัยในส่วน Software Supply Chain

NIST ได้ให้คำแนะนำพื้นฐานว่าจะรักษาความมั่นคงปลอดภัยให้แก่วงจรการนำซอฟต์แวร์เข้ามาใช้งานได้อย่างไร

Credit: ShutterStock.com

ความรุนแรงของแฮ็กเกอร์ได้เพิ่มดีกรีมากขึ้นทุกปี ซึ่งการพยายามแทรกแซงองค์กรไม่ได้มาจากการเจาะที่ตัวองค์กรเท่านั้น แต่ยังอ้อมไปฝังตัวในซอฟต์แวร์ที่องค์กรจะนำมาใช้อีกที และนี่เป็นอีกหนึ่งมาตรการที่ได้รับความสนใจเพิ่มขึ้นจุดประกายมาจากกรณีของ SolarWinds หลังจากนั้นประเด็นเรื่อง Supply Chain ก็เพิ่มขึ้น 

อย่างไรก็ดีคำสั่งที่ถ่ายทอดจากรัฐบาลสหรัฐฯปัจจุบันก็ทำให้ NIST ต้องอัปเดตคำแนะนำเรื่องนี้เพิ่มขึ้น ซึ่งเป็นแนวปฏิบัติพื้นฐาน 4 ข้อดังนี้

1.) สื่อสารกับผู้ให้บริการซอฟต์แวร์ในมุมของความมั่นคงปลอดภัยด้วยการอ้างอิงกับ Secure Software Development Framework (SSDF)

2.) ผู้นำเสนอหรือผู้พัฒนาจะต้องมีหลักฐานว่าซอฟต์แวร์ได้ถูกพัฒนามาตาม Best Practice ด้านความมั่นคงปลอดภัย

3.) ผู้ใช้งานซอฟต์แวร์สามารถยอมรับหลักฐานในการปฏิบัติตาม SSDF ของผู้นำเสนอหรือผู้พัฒนาได้ เว้นเสียแต่ว่ามีความจำเป็นที่จะต้องประเมินความเสี่ยงเพิ่มจาก 3rd Party

4.) ขอหลักฐานการปฏิบัติตาม Best Practice แบบ High-level เพราะทำให้เห็นภาพรวมได้ดีกว่า และควรหลีกเลี่ยงการวิเคราะห์หลักฐานแบบ Low-level เพราะให้ภาพได้ในมุมแคบๆเท่านั้น นอกจากนี้ยังทำให้ผู้รับต้องใช้ความสามารถมากในการวิเคราะห์เพิ่ม กล่าวคือสร้างงานเพิ่ม แถมเสี่ยงที่จะดูไม่รู้เรื่อง นอกจากนี้ยังเป็นโอกาสให้ตัวแทนจำหน่ายมีข้อมูลละเอียดอ่อนในมือหรือเป็นข้อมูลลิขสิทธิ์ที่อาจนำไปสู่ช่องโหว่ของท่านในอนาคต

โดย NIST ย้ำว่านี่เป็นเพียงคำแนะนำพื้นฐานที่นำไปใช้ได้กับทุกซอฟต์แวร์เท่านั้น ในบางกรณีท่านอาจจะเพิ่มความเข้มข้นเพื่อเรียนรู้กับความเสี่ยงที่อาจเกิดขึ้น สามารถอ่านเพิ่มเติมได้ที่ https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/draft 

ที่มา : https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/software-supply-chain-security-guidance-1


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ