Les conseils de l’OMB offrent la possibilité de normaliser la nomenclature logicielle

Écrit par Dave Nyczepir

Les directives à venir du Bureau de la gestion et du budget sur les bonnes pratiques de développement offrent une chance de faire de la nomenclature logicielle la norme pour l’auto-attestation des fournisseurs.

Mais les experts en sécurité affirment que la standardisation du SBOM, un inventaire des composants logiciels de la pile, nécessite des délais pratiques pour les fournisseurs et un processus concret pour utiliser les informations qu’il contient dans toutes les agences.

Les entrepreneurs fédéraux qui s’efforcent de se conformer aux nouvelles réglementations technologiques recherchent souvent autant de certitude que possible auprès des agences gouvernementales pour leur permettre de budgétiser les changements. L’EO de cybersécurité de l’administration Biden en mai de l’année dernière a été largement salué pour avoir introduit un calendrier normalisé pour se conformer à l’adoption de la confiance zéro et à d’autres mesures.

L’OMB a exigé des agences qu’elles se conforment au cadre de développement de logiciels sécurisés (SSDF) de l’Institut national des normes et de la technologie en mars, comme l’exige le décret exécutif sur la cybersécurité publié en mai 2021. Les fournisseurs de logiciels sont censés fournir leur conformité avec SSDF et ils préfèrent l’auto -attestation sur la vérification par un tiers – qui a fait dérailler la première tentative de certification du modèle de maturité de la cybersécurité (CMMC) du Pentagone.

“J’espère vraiment qu’ils iront dans le premier sens, car nous donnons suffisamment d’élan aux différentes parties du décret exécutif derrière ce problème”, a déclaré Jim Richberg, directeur de la sécurité de l’information (CISO) de Fortinet, à FedScoop. “S’ils décident que nous devrons faire face à tout ce régime de conseillers tiers, nous venons de le supprimer dans quelques années.”

Les évaluations tierces nécessitent une infrastructure qui prendra du temps à établir, tandis que les fournisseurs – en particulier ceux autorisés par le programme fédéral de gestion des risques et des autorisations (FedRAMP) – sont habitués à simplement partager leurs cycles de vie de développement logiciel avec des agences pour examen lors des acquisitions.

La standardisation d’un processus permettant aux éditeurs de logiciels de fournir aux agences des artefacts qui établissent la chaîne de traçabilité dans un format numérique est plus facilement réalisable, coûte moins cher et peut être automatisée et plus auditable au fil du temps, a déclaré Tim Brown, CISO chez SolarWinds.

La violation de SolarWinds en 2020 qui a compromis neuf agences fédérales, entre autres incidents, a précipité la création de SSDF et a laissé l’éditeur de logiciels engagé auprès de SBOM pour rétablir la confiance avec les clients. Des parties des neuf agences concernées n’ont jamais quitté SolarWinds ni recommencé à acheter son logiciel au cours de la dernière année et demie.

“Nous pensons que nous comblons ce déficit de confiance”, a déclaré Chip Daniels, responsable des affaires gouvernementales chez SolarWinds. “Mais la seule façon de continuer à le faire est de montrer comment nous adhérons à des choses comme les normes du NIST et l’esprit du décret.”

Les SBOM présentent leurs propres défis. D’une part, les agences ne disposent pas actuellement de personnel pour les évaluer ; les équipes devraient se lever, a déclaré Brown.

Les directives de l’OMB doivent résoudre ce problème, ainsi que le processus de catalogage des informations contenues dans les SBOM, pour que l’auto-attestation du fournisseur fonctionne.

« Certaines choses devraient être en place : comment ces informations sont-elles fournies ? Quelles informations doivent être stockées ? Quelles informations doivent être dynamiques ou statiques ? Envisageons-nous une attestation opportune ou continue ? » dit Brun.

L’OMB a refusé de dire s’il favorisait l’auto-attestation des fournisseurs et comment cela pourrait fonctionner, avant la publication de ses directives.

D’autres experts, tels que Sean Frazier, directeur de la sécurité d’Okta, craignent que si les SBOM “devraient être une priorité”, les directives fédérales fréquentes conduisent à une “cyber fatigue”. Les fondamentaux de la sécurité comme l’authentification multifacteur – dont l’adoption reste à seulement 22 % parmi les clients Microsoft – le chiffrement et la correction devraient être au centre des préoccupations à court terme des agences et des fournisseurs, a déclaré Frazier.

“Si nous ne résolvons pas ce problème de fruits à faible coût, quoi que nous fassions à la chaîne d’approvisionnement, ils attaquent toujours les informations d’identification, donc ils vont continuer à frapper ça toute la journée et deux fois le dimanche parce que ça marche toujours pour eux “, dit-il. Frazier. “Nous ne rendons pas vraiment la tâche plus difficile aux attaquants, où ils doivent vraiment regarder la chaîne d’approvisionnement et dire:” Je veux profiter de cette vulnérabilité et de cette vulnérabilité “, car je peux toujours franchir la porte d’entrée avec un violer les informations d’identification.”

Le SBOM d’Okta, qu’il appelle sa liste de logiciels et de services (LSS), est un “projet à long terme”, a-t-il ajouté.

En tant que fournisseur de services cloud, Okta préfère traiter les questions sur son cycle de vie de développement logiciel via le processus FedRAMP, qui se déroule actuellement, a déclaré Frazier. La prochaine publication spéciale NIST 800-53 Révision 5, les directives comprend une famille de contrôles autour de la chaîne d’approvisionnement que le bureau de gestion de projet FedRAMP prévoit d’adopter et de mesurer ses fournisseurs.

Le CMMC est en cours de révision parce que le processus initial était “ennuyeux” et “subjectif”, a déclaré Richberg. L’identité de l’évaluateur tiers d’un fournisseur a déterminé sa note, qu’il ait réussi ou échoué.

Richberg s’attend à ce que l’OMB exige des fournisseurs qu’ils prouvent la conformité par le biais d’artefacts qui démontrent les fonctions spécifiées dans ses directives, mais qui ne sont pas trop normatifs, se référant au SSDF.

Après le lancement, les orientations seront mises en termes contractuels par les agences, mais le Cyber ​​​​Executive Order souhaitait que le SSDF soit mis en œuvre dans un délai d’un an. En fonction de la date de sortie d’OMB, certaines preuves de concept pourront apparaître avant la fin de l’exercice 2022.

“Je pense que viser la fin de cet exercice est franchement un peu ambitieux, avec cela qui sort maintenant”, a déclaré Richberg.

-Dans cette histoire-

Chip Daniels, Cybersecurity Executive Order, Cybersecurity Maturity Model Certification (CMMC), Department of Defence (DOD), Federal Risk and Authorization Management Program, FedRAMP, Fortinet, Jim Richberg, National Institute of Standards and Technology (NIST), Office of Management and Budget (OMB), Okta, Sean Frazier, Secure Software Development Framework (SSDF), Software Bill of Materials (SBOM), SolarWinds, chaîne d’approvisionnement, Tim Brown

Leave a Comment