NIST อัปเดตคำแนะนำด้านความมั่นคงปลอดภัยในส่วน Software Supply Chain
NIST ได้ให้คำแนะนำพื้นฐานว่าจะรักษาความมั่นคงปลอดภัยให้แก่วงจรการนำซอฟต์แวร์เข้ามาใช้งานได้อย่างไร ความรุนแรงของแฮกเกอร์ได้เพิ่มดีกรีมากขึ้นทุกปี ซึ่งการพยายามแทรกแซงองค์กรไม่ได้มาจากการเจาะที่ตัวองค์กรเท่านั้น แต่ยังอ้อมไปฝังตัวในซอฟต์แวร์ที่องค์กรจะนำมาใช้อีกที และนี่เป็นอีกหนึ่งมาตรการที่ได้รับความสนใจเพิ่มขึ้นจุดประกายมาจากกรณีของ SolarWinds หลังจากนั้นประเด็นเรื่อง Supply Chain ก็เพิ่มขึ้น อย่างไรก็ดีคำสั่งที่ถ่ายทอดจากรัฐบาลสหรัฐฯ ปัจจุบันก็ทำให้ NIST ต้องอัปเดตคำแนะนำเรื่องนี้เพิ่มขึ้น ซึ่งเป็นแนวปฏิบัติพื้นฐาน 4 ข้อดังนี้ 1.) สื่อสารกับผู้ให้บริการซอฟต์แวร์ในมุมของความมั่นคงปลอดภัยด้วยการอ้างอิงกับ Secure Software Development Framework (SSDF) 2.) ผู้นำเสนอหรือผู้พัฒนาจะต้องมีหลักฐานว่าซอฟต์แวร์ได้ถูกพัฒนามาตาม Best Practice ด้านความมั่นคงปลอดภัย 3.) ผู้ใช้งานซอฟต์แวร์สามารถยอมรับหลักฐานในการปฏิบัติตาม SSDF ของผู้นำเสนอหรือผู้พัฒนาได้ เว้นเสียแต่ว่ามีความจำเป็นที่จะต้องประเมินความเสี่ยงเพิ่มจาก 3rd Party 4.) ขอหลักฐานการปฏิบัติตาม Best Practice แบบ High-level เพราะทำให้เห็นภาพรวมได้ดีกว่า และควรหลีกเลี่ยงการวิเคราะห์หลักฐานแบบ Low-level เพราะให้ภาพได้ในมุมแคบๆเท่านั้น นอกจากนี้ยังทำให้ผู้รับต้องใช้ความสามารถมากในการวิเคราะห์เพิ่ม กล่าวคือสร้างงานเพิ่ม แถมเสี่ยงที่จะดูไม่รู้เรื่อง นอกจากนี้ยังเป็นโอกาสให้ตัวแทนจำหน่ายมีข้อมูลละเอียดอ่อนในมือหรือเป็นข้อมูลลิขสิทธิ์ที่อาจนำไปสู่ช่องโหว่ของท่านในอนาคต โดย NIST ย้ำว่านี่เป็นเพียงคำแนะนำพื้นฐานที่นำไปใช้ได้กับทุกซอฟต์แวร์เท่านั้น…
