DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

服务器防ddos_网站高防_超稳定

06-26 DDOS防御

服务器防ddos_网站高防_超稳定

2021年5月12日,拜登总统签署了关于改善国家网络安全的行政命令。该命令是在破坏性极强的SolarWinds Orion软件供应链违约事件后制定的,指示多个美国联邦政府机构更好地协调预防、检测、,响应和缓解安全事件和违规行为:

本行政命令(EO)建立在先前网络安全相关EOs的基础上,要求机构根据NIST制定统一标准,2022年5月开始实施。

由于本《工程指令》为联邦机构引入了一些新的第三方风险管理要求,因此本篇文章重点关注第4节:增强软件供应链安全。如果软件供应商不能满足这些要求,他们将被从联邦政府的收购条例中删除——这意味着他们不能再向政府出售。联邦政府将在今年晚些时候公布这些要求,防御cc攻击的服务器,包括测试和评估标准。

第三方风险管理如何适用于总统的行政命令

关键的联邦政府IT系统长期以来一直是国家攻击的目标。恶意行为者知道,美国高防cdn多久生效,进入联邦系统的最简单、最不安全的途径往往是通过第三方服务和软件。第三方提供商可能没有必要的流程或控制来检测恶意活动或代码,第三方风险管理技术和流程有助于解决行政命令中要求组织评估和报告软件安全性的准则。EO标准包括对开发商和供应商安全控制的评估,以及证明遵守安全实践的文件。

下表总结了EO中涉及的一些最重要的第三方风险管理要求,以及普华永道评估供应商实践的建议能力。

4(e)(i)(A)-(F)

此类指南应包括以下方面的标准、程序或标准:(i) 安全的软件开发环境,包括以下操作:(A) 使用管理上独立的构建环境;(B) 审计信任关系;(C) 在整个企业内建立多因素、基于风险的认证和有条件访问;(D) 记录并尽量减少对企业产品的依赖,这些产品是用于开发、构建和编辑软件的环境的一部分;(E) 对数据进行加密;和(F) 监控操作和警报,并对未遂和实际网络事件作出响应;

在评估第三方软件安全实践时,利用现有行业公认的标准化风险评估问卷模板,包括标准信息收集(SIG)、NIST、CMMC和相关评估。在您的供应商群中使用单一的标准化评估可确保代理机构能够更有效地比较其供应商的软件安全实践。

注意:代理机构还可以利用exchange网络,包含已完成的安全风险评估,以加快风险识别流程。

4(e)(ii)

(ii)生成并在买方要求时提供证明符合本节第(e)(i)小节所述流程的工件;

在评估第三方的安全软件开发实践时,请确保您能够通过内置任务和验收管理以及强制上载功能集中支持证据。安全的文档存储库确保相关方可以相应地审查文档和工件。

4(e)(iii)

(iii)使用自动化工具或类似流程,维护可信的源代码供应链,从而确保代码的完整性;

参见上文4(e)(i)(A)-(F)

4(e)(iv)

(iv)使用自动化工具或类似流程,检查已知和潜在漏洞并进行补救,这些工具应定期运行,或至少在产品、版本或更新发布之前运行;

第三方必须扫描、筛选和修复其软件和代码中的漏洞,并对此进行验证。但威胁还不止于此。安全团队还应监控互联网和黑暗网络是否存在网络威胁、泄露的凭证或其他泄露迹象,如果不被发现,这些泄露可能会打开进入联邦系统的通道。

4(e)(v)

(v)在买方要求时,华为DDOS攻击防御,执行本节第(e)(iii)和(iv)小节所述工具和过程的工件,并公开这些行动完成时的汇总信息,包括评估和缓解风险的汇总说明;

报告是这里的关键。联邦IT安全团队应能够揭示具有嵌入式机器学习见解的单个供应商或团体的常见行为的风险趋势、状态、补救措施和例外情况。这将使团队能够快速识别评估、任务、风险等中可能需要进一步调查的异常值。

4(e)(vi)

(vi)维护准确和最新的数据、软件代码或组件的来源(即来源),以及对内部和第三方软件组件、工具的控制,以及软件开发过程中的服务,并定期对这些控制进行审计和实施;

联邦IT团队应能够自动将从内部审计收集的信息映射到本工程指令中适用的标准或监管框架(包括NIST、CMMC和其他),以快速可视化和解决重要的控制缺陷,局域网ddos防御方法,并证明实践。

4(e)(vii)

(vii)直接或通过在公共网站上发布向买方提供每种产品的软件材料清单(SBOM)

参见上文4(e)(i)(A)-(F)

4(e)(viii)

(viii)参与漏洞披露计划,包括报告和披露流程;

见上文4(e)(i)(A)-(F)

4(e)(ix)

(ix)证明符合安全软件开发实践;以及

见上文第4(e)(ii)条。

第4(e)(x)条

(x)条在可行的范围内确保并证明,产品任何部分中使用的开源软件的完整性和来源。

见上文第4(e)(vi)条。

建立符合《关于改善国家网络安全的条例》的第三方风险管理计划

随着《关于改善国家网络安全的行政命令》中概述的要求在明年,现在是IT软件公司建立或完善自己的第三方风险管理计划的时候了。关键注意事项应包括:

可以提供帮助。我们提供了一个SaaS解决方案,该解决方案自动化了识别、评估、分析、补救和持续监控供应商生命周期每个阶段的第三方安全、隐私、运营、合规和采购相关风险所需的关键任务。欲了解更多关于普及程度的帮助,请阅读我们的TPRM能力,以改善国家网络安全的行政命令,f5负载均衡防御cc攻击,或联系我们进行今天的战略讨论。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/70334.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9304420访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X