行業新聞與部落格

美國網路安全和基礎設施安全域性 (CISA) 的旗艦計劃之一是 2023 年啟動的“安全設計” (Secure by Design)。現在，該機構正在懇請軟體客戶採取“按需安全”的方法。

這是 CISA 主任 Jen Easterly 在 Black Hat USA 初次演講中傳達的資訊。

“你必須同時考慮供給方和需求方。事實上，採購和部署軟體的組織（幾乎所有組織都是如此）可以在按需安全方面發揮主導作用，”Easterly 說道。

她說：“公司和領導者應該利用他們的購買力，用採購資金來投票。”

CISA 最近釋出了《按需安全指南》，其中列出了購買軟體的組織可以使用的問題和資源，以便更好地瞭解軟體製造商的網路安全方法，並確保製造商將安全設計作為核心考慮因素。

該指南強調了組織如何將產品安全融入採購生命週期的各個階段。

“我們需要提出更多要求。我們需要對技術供應商提出更多要求。以確保我們推進安全設計革命，”她說。

今年 5 月，政府宣佈了一項“安全設計”承諾，鼓勵軟體製造商致力於在一系列安全設計原則方面取得進展。

伊斯特利說，公司領導應該詢問他們的軟體供應商是否簽署了承諾。

她表示，承諾的人數正在不斷增加，目前已有近 200 名簽署者做出承諾。

她評論說，安全設計運動正在獲得發展動力，多因素身份驗證 (MFA) 的使用越來越多，預設密碼的使用越來越少，並且減少或完全消除了那些致力於安全的人員面臨的各類漏洞。

CISA 正在與那些致力於跟蹤進展並透明報告的承諾者合作，以展示該機構如何降低技術生態系統中的風險。