Keamanan Melalui Kualitas: menavigasi pesanan eksekutif cybersecurity terbaru

Lanskap keamanan siber untuk lembaga federal berada dalam keadaan evolusi yang terus -menerus, didorong oleh peningkatan ancaman dan pergeseran arahan kebijakan. Perintah eksekutif baru -baru ini dari administrasi Trump, sambil memodifikasi beberapa persyaratan sebelumnya, menggarisbawahi kebenaran penting: lembaga masih memikul tanggung jawab yang tidak berubah untuk melindungi misi dan data.

Dengan lebih dari 25 tahun di dunia open source dan perangkat lunak di ruang federal, saya telah menyaksikan secara langsung dorongan dan tarikan yang konstan antara kepatuhan dan keamanan praktis. EO baru ini, yang terutama mendukung beberapa persyaratan pengesahan dan artefak yang lebih ketat dari administrasi sebelumnya, tampaknya memberi sinyal pergeseran. Ini kurang tentang pola pikir pertama kepatuhan dan lebih banyak tentang pendekatan praktik-pertama-yang menekankan menguasai dasar-dasar pengembangan perangkat lunak yang aman, prinsip inti dari Kerangka Pengembangan Perangkat Lunak Aman NIST (SSDF).

Inti yang tidak berubah: kualitas dan transparansi

Bahkan dengan perubahan ini, prinsip -prinsip inti dari keamanan siber yang kuat tidak tergoyahkan. Para pemimpin federal terpintar akan terus menuntut standar kualitas yang tinggi dari mitra perangkat lunak mereka, memprioritaskan transparansi. Ini berarti terus meminta tagihan perangkat lunak material (SBOM) dan mengharuskan vendor untuk membuktikan praktik pengembangan yang aman. Vendor yang bertanggung jawab akan dengan mudah memberikan informasi ini.

Proses SBOMS dan SSDF tetap menjadi alat vital bagi lembaga untuk mencapai otorisasi untuk beroperasi (ATOS) untuk segala sesuatu mulai dari perangkat lunak hak milik komersial (COTS) hingga komponen open source pihak ketiga dan kode aplikasi yang dikembangkan secara internal. Mereka mendasar bagi siklus pengembangan perangkat lunak yang aman, membantu mengidentifikasi dan mengurangi kerentanan secara terus menerus.

Dari “Shift Left” ke “Mulai Kiri”: Menanamkan Keamanan dalam Pembangunan

Prinsip utama yang saya advokat untuk bergerak melampaui “shift kiri” ke “mulai ke kiri” – mengintegrasikan kualitas kode dan keamanan langsung ke tangan pengembang sejak awal. Keamanan perangkat lunak yang benar bukanlah audit satu kali atau renungan; Ini praktik yang berkelanjutan. Sementara artefak dan persyaratan kepatuhan dapat berubah, tujuan utamanya adalah untuk menanamkan keamanan sebagai bagian normal dari proses pengembangan. Ini selaras dengan penekanan SSDF pada prinsip -prinsip “Keamanan dengan Desain” dan “Perbaikan Berkelanjutan”. Kunci di sini adalah pendekatan kualitas dan keamanan bersama; Anda tidak dapat memiliki keamanan tanpa kualitas.

Penekanan administrasi sebelumnya pada pengesahan dan artefak, sementara mungkin rumit dalam implementasinya, menyoroti kebutuhan kritis untuk memahami seluruh tumpukan perangkat lunak Anda. SBOM, singkatnya, hanyalah daftar komprehensif semua komponen dalam aplikasi perangkat lunak. Mengetahui komponen pihak ketiga apa yang Anda miliki adalah yang terpenting untuk remediasi dan manajemen risiko yang efektif. Idealnya, konsorsium yang diminta dalam EO baru akan membantu membakukan dan mengotomatiskan pengiriman dan konsumsi informasi penting ini, bergerak melampaui “dokumen” hanya ke validasi berteknologi tinggi.

Menavigasi masa depan: AI dan praktik berkelanjutan

EO baru juga menyentuh penggunaan AI dalam keamanan siber. Sementara itu menarik kembali berbagai inisiatif untuk mengeksplorasi penggunaan AI untuk pertahanan dunia maya dan prioritas penelitian AI oleh lembaga federal, ini secara bersamaan mendorong inovasi yang bertanggung jawab dengan mempertahankan beberapa arahan dari EO 14144. Selanjutnya, kebijakan baru-baru ini (25,21 dan 25,22) mengalamatkan agen-agen yang menggunakan coding ai-ai-ai-ai-ai-coding coding ai-ai-ai-assisted coding ai-codinged codinged codinged coding ai-codinged codinged coding AI-ACELing.

Melihat gambaran yang lebih besar, agensi harus dilanjutkan dengan hati -hati tetapi juga memanfaatkan AI secara efektif di mana ia dapat meningkatkan inspeksi kode dan mempercepat pengembangan yang aman. Namun, AI dalam pengembangan perangkat lunak tidak meniadakan praktik dasar SSDF atau SBOM; itu memperkuat mereka. Ini khususnya meningkatkan kebutuhan untuk verifikasi independen konten kode, terutama dengan output yang dihasilkan AI yang berpotensi buram.

Untuk benar -benar memanfaatkan potensi AI sambil mengurangi risiko, agensi harus mematuhi beberapa pedoman utama:

1. Letakkan struktur pendukung di tempat: Menetapkan infrastruktur dan tata kelola yang diperlukan untuk mengelola risiko AI, terutama terkait dengan keamanan informasi dan privasi.
2. Kelola Akuntabilitas dan Risiko AI: Menerapkan penilaian dampak AI yang komprehensif, pemantauan berkelanjutan, dan pengawasan manusia.
3. Menguji dan memvalidasi model – secara teratur: Melakukan pengujian pra-penempatan dan validasi berkelanjutan kinerja model AI, terutama di lingkungan dunia nyata.
4. Monitor dan Ukur Penggunaan: Lacak bagaimana aplikasi dan alat AI digunakan untuk mengidentifikasi risiko, peluang yang terlewatkan, atau misalignment.
5. Refresh Kebijakan: Perbarui kebijakan internal di seluruh infrastruktur TI, data, keamanan siber, dan privasi untuk secara efektif mengintegrasikan AI.
6. Kasus penggunaan yang terdokumentasi dengan baik: Mendukung penggunaan alat AI yang konsisten dan dorongan yang tepat untuk adopsi yang lebih cepat, ditambah ikuti mandat sebagaimana diuraikan dalam EO 13960 dan selanjutnya diklarifikasi oleh memorandum OMB M-24-10.
7. Keterampilan tenaga kerja: Memprioritaskan perekrutan, perekrutan, pelatihan, dan mempertahankan bakat teknis dalam peran AI, dan menumbuhkan literasi AI di seluruh tim.

Pada akhirnya, terlepas dari arahan kebijakan spesifik, lembaga federal harus memprioritaskan analisis dan peninjauan kode berkelanjutan. Baik melalui SBOM atau kemampuan lain, mempertahankan pemahaman terkini tentang karya-karya yang membentuk perangkat lunak Anda sangat penting untuk responsif dan ketahanan. Mentalitas devsecops, didukung oleh alat yang tepat, tetap menjadi bintang penuntun. Prinsip -prinsip SSDF NIST mendasar bertahan; Pertanyaannya sekarang adalah bagaimana agensi akan menerapkan proses dan alat untuk memenuhi audit di masa depan dan menunjukkan bar tinggi untuk integritas cyber di dunia yang semakin otomatis dan saling berhubungan.

Sementara jalan untuk mencapai postur cyber yang benar -benar kuat mungkin memiliki beberapa belokan baru dengan perintah eksekutif ini, tujuan tetap sama. Lembaga harus terus fokus ke dalam, menumbuhkan budaya pembangunan yang kuat yang menanamkan keamanan sejak awal, dan menuntut standar tertinggi dari mitra perangkat lunak mereka. Lansekap ancaman tidak akan menunggu debat kebijakan, dan komitmen kami juga tidak boleh mengamankan perangkat lunak.