行业新闻与博客

美国网络安全和基础设施安全局 (CISA) 的旗舰计划之一是 2023 年启动的“安全设计” (Secure by Design)。现在，该机构正在恳请软件客户采取“按需安全”的方法。

这是 CISA 主任 Jen Easterly 在 Black Hat USA 初次演讲中传达的信息。

“你必须同时考虑供给方和需求方。事实上，采购和部署软件的组织（几乎所有组织都是如此）可以在按需安全方面发挥主导作用，”Easterly 说道。

她说：“公司和领导者应该利用他们的购买力，用采购资金来投票。”

CISA 最近发布了《按需安全指南》，其中列出了购买软件的组织可以使用的问题和资源，以便更好地了解软件制造商的网络安全方法，并确保制造商将安全设计作为核心考虑因素。

该指南强调了组织如何将产品安全融入采购生命周期的各个阶段。

“我们需要提出更多要求。我们需要对技术供应商提出更多要求。以确保我们推进安全设计革命，”她说。

今年 5 月，政府宣布了一项“安全设计”承诺，鼓励软件制造商致力于在一系列安全设计原则方面取得进展。

伊斯特利说，公司领导应该询问他们的软件供应商是否签署了承诺。

她表示，承诺的人数正在不断增加，目前已有近 200 名签署者做出承诺。

她评论说，安全设计运动正在获得发展动力，多因素身份验证 (MFA) 的使用越来越多，默认密码的使用越来越少，并且减少或完全消除了那些致力于安全的人员面临的各类漏洞。

CISA 正在与那些致力于跟踪进展并透明报告的承诺者合作，以展示该机构如何降低技术生态系统中的风险。