NIST发布网络供应链风险管理框架指南

安全 应用安全
近日,美国网络安全和基础设施安全局(CISA)和美国国家标准技术研究院(NIST)联合发布了网络供应链风险管理(C-SCRM)框架和安全软件开发框架(SSDF)指南项目。

近日,美国网络安全和基础设施安全局(CISA)和美国国家标准技术研究院(NIST)联合发布了网络供应链风险管理(C-SCRM)框架和安全软件开发框架(SSDF)指南项目,为网络防御者提供了与供应链攻击相关的趋势和最佳实践。

供应链攻击的最常见技术是:

  • 劫持更新
  • 破坏代码签名
  • 破坏开源代码

在某些情况下,攻击可能会混合使用上述技术来提高其效率。

这些攻击大多数归因于资源丰富的攻击者和APT团体,它们具有很高的技术能力。

报告指出:“软件供应链攻击通常需要强大的技术才能和长期投入,因此通常很难执行。总的来说,高级持续威胁(APT)参与者更有可能、同时有意愿和能力来进行可能危害国家安全的高度技术性和长期性的软件供应链攻击活动。”

报告指出,组织容易受到此类攻击的原因有两个:

  • 许多第三方软件产品需要特权访问
  • 许多第三方软件产品需要卖方网络与位于客户网络上的卖方软件产品之间的频繁通信

该指南包含一系列建议,内容涉及组织如何预防供应链攻击以及在使用此技术交付恶意软件或易受攻击的软件的情况下如何缓解这些攻击。

项目地址:https://csrc.nist.gov/projects/cyber-supply-chain-risk-management

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2022-05-09 11:59:36

网络安全供应链

2022-04-26 10:47:15

智能供应链供应链

2019-08-06 10:17:22

IBM区块链网络

2022-03-14 14:37:53

网络攻击供应链攻击漏洞

2020-05-21 12:21:17

美国CNSS标准

2020-10-12 13:47:58

开源云计算

2023-02-23 07:52:20

2020-12-02 10:29:41

物联网供应链IOT

2024-01-16 14:32:23

2024-04-18 13:07:20

人工智能供应链智能建筑

2023-07-11 14:12:06

2023-09-28 00:09:04

NIST网络安全

2022-06-06 13:58:35

区块链供应链去中心化

2022-09-01 12:15:46

能源系统供应链数字组件

2018-05-29 15:24:00

2018-02-07 05:06:41

2021-06-18 14:36:39

Google软件供应链安全框架

2023-09-18 10:37:36

数字化供应链数字化转型

2022-05-20 13:53:16

医疗保健管理供应商风险
点赞
收藏

51CTO技术栈公众号