确定的个人漏洞并不是针对复杂的民族国家演员的胜利策略。本文提出了一种新的基于原则的方法来确保软件供应链。
诸如Solarwinds妥协之类的供应链利用不足为奇。自2015年以来,发生了许多供应链攻击。每年花费数十亿美元来防止网络安全和软件安全事件,但这些类型事件的数量和后果继续增加。最近的太阳能剥削可能是最具破坏力的已知迄今为止,启用软件的供应链网络攻击。
确定的个人漏洞并不是针对复杂的民族国家演员的胜利策略。尽管需要各种技术,政策和监管行动才能开始解决明显的缺陷,但重要的是要了解允许对手如此轻松地在大规模执行这些类型的不对称攻击的敏感性的更大原因。为了实现真正的战略路线图,需要一种基于原则的新方法,可以在短期,中,长期战略中利用。
本文介绍了一组此类原则和相关的建议。一些关键原则包括需要减少脆弱性在我们的建筑设计中,通过增加的多样性;需要假设渗透性和层安全;并承认当前实践会产生对平台和服务的信任谬误。这些原则共同解决了现有方法中的关键缺点,并为衡量潜在政策和战略决策提供了现实的基础。
这些原则和建议还与网络空间太阳能委员会呼吁通过提高的弹性,更灵活的信息共享结构以及减少系统性漏洞来否认对手不当的好处。
最后,我们必须认真考虑将现有和未来的安全框架和注意事项扩展到商业企业的提供商,这些框架的提供商只是在许多关键应用程序中,以至于在多个网络安全框架中大部分都被打折。