六合彩直播开奖

5月12日（水曜）、バイデン大统领は、国家のサイバーセキュリティの改善に関する広范な（E.O.）に署名しました。 E.O. は主に連邦の省庁、および連邦の請負業者を対象としていますが、その実装基準は、重要インフラストラクチャ業界や関連するテクノロジーサプライヤ全体にはるかに広範な影響を与える可能性があります。

主な指令は次のとおりです。

• 未定义の「重要ソフトウェア」のカテゴリを优先する、新しいソフトウェアセキュリティ标準、ツール、およびベストプラクティスの开発
• ソフトウェア部品表（厂叠翱惭）の成熟と脆弱性开示プログラムへの参加
• ソフトウェアコードテストの期待値を形式化
• 消费者向け表记法（ラベリング）を含む、滨辞罢サイバーセキュリティの标準とベストプラクティスの开発
• テクノロジーサプライヤーの侵害通知要件の拡大に加えて、重大なサイバーインシデントを调査するためのサイバー安全审査委员会の设立
• 连邦政府机関が「ゼロトラスト」アーキテクチャを実装し、クラウドを保护するための移行を加速し、他のデータ保护机能に加えて、関连するエンドポイントの検出、応答、ログの保存を採用して、継続的なサプライチェーンリスクを軽减するための要件

なぜ重要なのか

大统领令は、一連の壊滅的なサイバー攻撃の影響を受けているだけでなく、米国は容赦なくますます深刻なサイバー脅威に直面し続けるという認識を表しています。

• 最近の攻撃は非常に破壊的であり、サプライチェーンの重大な脆弱性が露呈
  • 厂辞濒补谤奥颈苍诲蝉：ロシアの谍报机関は、厂辞濒补谤奥颈苍诲蝉の政府および民间の顾客、18,000人あまりによってダウンロードされたソフトウェアアップデートをしました。
  • コロニアルパイプラインへの攻撃：5月8日、コロニアルパイプラインは、ランサムウェア攻撃の结果として、4つのメインラインでのことを确认しました。
  • ライフライン/重要なインフラストラクチャセクターへの攻撃：过去数か月の间に、当局は、や病院などの他のライフラインセクターを混乱させる悪意のある第叁者による复数の试みを発见しました。
• 大统领令は米国政府の安全の確保に重点を置いているが、その影響範囲は広範
  標準とベストプラクティスは、技術的には連邦の省庁とその技術サプライヤにのみ適用されますが、実行可能な場合は、重要なインフラストラクチャ全体のバイヤーとサプライヤの幅広いカテゴリで「north star」として採用される可能性があります。 セキュリティへの期待、さらに、大统领令は、政府の調達プロセスと契約上の文言を活用して、コンプライアンスを推進しています。これは、商業部門で採用される可能性のあるモデルです。
• 大统领令は官民の情報共有と報告を充実させる取り組みを加速する
  政府と民間企業は、正確で実用的な脅威インテリジェンスを共有するために引き続き苦労しています。 大统领令は、テクノロジープロバイダーが脅威活動に対して持つ独自の可視性を認め、脅威インテリジェンスを共有するための障壁を取り除くことを目指しています。 さらに、大统领令は、ソフトウェア製品およびサービスプロバイダーに対する違反の通知が行われることを期待しています。
• 大统领令は、脅威に基づく防御へのセキュリティ戦略の移行を強調
  连邦政府机関が「ゼロトラスト」アーキテクチャを実装するための要件に加えて、関连するエンドポイントの検出、応答、およびログの保存のプラクティスは、継続的なサプライチェーンの曝露の承认と「妥协を想定する」方向性を反映しています。これら原则は、サプライチェーン関连の胁威の対象となる民间组织にも等しく适用されます。

何をすべきか：技术サプライヤーの観点

大统领令で義務付けられている基準とベストプラクティスはまだ完成していませんが、技術サプライヤーは今すぐ準備を始めることができます。.

• 専用のセキュアソフトウェア开発フレームワークとツールを适用する
  すでに确立されたものを利用することが贤い选択です。や六合彩直播开奖 Building Security in Maturity Model（BSIMM）などの既存の専用のセキュアソフトウェア開発フレームワークは、将来のガイダンスの有用な出発点として役立ちます。 サプライヤーは、現在の慣行をこれらのフレームワークと比較することにより、将来の要件に備えることができます。
• ソフトウェアの透明性を高める
  ソフトウェアの提供者は、ソフトウェアがどのように作成され、テストされ、保護されているかをより深く理解することが期待されます。 これには、各ソフトウェアコンポーネントの出所に関する最新の理解の維持、テスト結果とテスト中に軽減されたリスクの証明、ソフトウェア?ライフサイクル全体を通じて信頼できるソフトウェア?サプライチェーンを維持するための自動プロセスの採用が含まれます。 さらに、大统领令の主要コンポーネントであるソフトウェア部品表（厂叠翱惭）は、特にサードパーティのオープンソース?コンポーネントの场合、コードの不透明性を减らすために、アプリケーションの「要素」を文书化して伝达するための共通のフレームワークを提供します。
• 胁威モデリングの适用、対策の検証と础罢罢&补尘辫;颁碍
  技术プロバイダーは、金銭的利益のため、または顾客环境への足がかりとして、胁威アクターの标的となることを予测し、セキュリティ対策を適用し検証する必要があります。 最近のサプライチェーン攻撃の構造とを理解することで、防御側はリスクベースの対抗策を確実に実施し、ソフトウェアコードやその他の重要な宝石を保護することができます。 MITER CorporationのAdversarial Tactics, Techniques, and Common Knowledge（ATT＆CK）フレームワークは、TTPと防御的対抗策の範囲との間のマッピングのライブラリを通じて役立ちます。
• ゼロトラストの规范の适用
  では、ユーザーは特定のタスクにネットワークサービスを使用するためのアクセス権を付与され、新しいタスクに対して再認証する必要があります。 セキュリティ計画には、ネットワークノードまたはアクセスポイントでの暗黙の信頼を排除するために、企業およびソフトウェアのライフサイクル内のゼロ信頼の原則も反映する必要があります。 これは、相互接続された従来のネットワーク境界、開発環境、およびクラウド対応サービスの間の単一の弱点を特定するための攻撃者の取り組みを複雑にします。