今天HI群里突然一个契机说起了什么是2021年安全业界最重要的安全事件,让我想起了2021年还没来得及记录的两个大事。
一个是CISA在2021年11月3日发布的强制指示令 (BOD) 22-01,以及配套的Known Exploited Vulnerabilities Catalog(已知被利用漏洞目录)
。
另外一个是
2021年5月份漂亮国总统拜登发布的《改进国家网络安全执行指令》(EO-14028)行政令,其中有一项是要求美国商务部在60天内协同美国国家通信和信息管理局 (NTIA) 发布
SBOM
(
软件物料清单
)。
我觉得这两个事是业界需要关注的大事,这是漂亮国的行政机构第一次开始尝试使用技术标准来对国家网络安全问题进行技术标准指导的强制命令,一个为了解决真正有危害的在野安全漏洞问题,一个为了解决供应链安全问题。具体是怎么一回事呢,我来简单解读一下。
Known Exploited Vulnerabilities Catalog(已知被利用漏洞目录)
CISA官方建立维护了一个已知被利用漏洞即我们俗称的在野漏洞列表,涵盖了客户端、服务端、硬件设备等各种重要软硬件设施已经被独立黑客、网络犯罪、APT组织利用的热门安全漏洞,要进入这个列表的漏洞需要满足3个条件:
同时这个列表并不是一次性发布,对于没有收录的漏洞CISA也会征求外界的意见实时更新,这个目录最关键的一个细节是对漏洞的修复提出了明确的截止日期,也就是非常具体的强制性指导意见,如CISA要求联邦机构、不管是政府还是私营机构,在6个月内必须修复
在野漏洞列表
中2021年之前分配CVE号的漏洞。这个强制指示令目前没说明相关的处罚方法,不过这也是第一次看到政府机构以
在野漏洞的技术
评估
标准
给出明确时间期限的强制修复指令,对国家安全和安全业界有太多的积极参考意义。
SBOM(
软件物料清单)
SBOM (软件物料清单) 这个事是因为SolarWinds供应链攻击事件,我们知道这个安全事件中SolarWinds的软件被污染了一个DLL库,这个污染植入后门的过程是在实时编译过程中动态植入的,这就导致许多传统的安全建议无法对抗这种攻击,软件签名已经不安全,审查源代码也不一定可靠,所以
国家需要一种技术标准来管理、响应、检测和减缓这种几乎无解的安全问题
,于是需要各软件厂商提供软件材料清单 (SBOM)。
无独有偶,2021年12月又暴露了log4j2日志库的安全漏洞,这是一个非常复杂的Java生态安全问题,无数的软件开发使用了包含漏洞的log4j2日志库,同时Java打包方式又支持各种嵌套引用,导致这个安全问题在无数产品中隐藏埋雷,业界并没有百分之百可靠的方法去清理这类安全隐患和问题,但如果此时所有的软件厂商都在开发时按严格的技术标准要求维护了软件材料清单 (SBOM),那这种供应链安全问题也就有方便可靠的可操作执行方案,问题也就迎刃而解了。
小结
在我看来,2021年这两件事对于安全业界来说具有里程碑的意义,国家机构第一次尝试使用明确的、可操作的安全技术标准去解决重要的安全漏洞和供应链安全难题实属难得,也值得业界参考学习。
