聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些要求的对象是参与涉及大量美国敏感个人信息或与美国政府相关数据的受限交易,尤其是该信息被暴露给“令人担心的国家”或“涉及的人员”。这项提案与行政令14117的执行有关。该行政令由美国总统拜登在今年早些时候签署,旨在解决可影响或放大国家安全风险的严重的数据安全责任。
受影响的组织机构可能包括技术企业如AI开发者和云服务提供商、电信企业、医疗和生物技术组织机构、金融机构以及国防承包商。而“令人担心的国家”通常是指被美国视作敌对势力的国家或者因网络间谍、数据泄露和国家黑客活动的历史而带来安全风险的国家。
安全要求
CISA 提出了组织机构/系统级别以及数据级别的安全措施,如下是其中一些要求简述:
每月维护和更新资产清单,包括IP地址和硬件MAC地址
14天内修复已知遭利用的漏洞
15天内修复严重漏洞(未知利用状态)以及在30天内修复高危漏洞
维护准确的网络拓扑,便于事件识别和响应
在所有关键系统上执行多因素认证机制,密码至少16个字符长,雇佣终止或在组织机构中的角色有变动时,立即删除相关人员权限
阻止未授权硬件如 USB 设备连接到所涉及的系统中。
收集访问日志和安全相关的事件(IDS/IPS、防火墙、数据丢失防御、VPN、登录事件)
减少所收集的数据量或者将其隐藏,阻止未授权访问权限或与美国人员的关联,应用加密,在受限交易过程中保护所涉及数据的安全。
应用多种技术如同质加密或有差别的隐私,阻止来自被处理数据中敏感数据的重构。
CISA 正在寻求公众建议,促成该提案落实为最终表单。
CISA:黑客滥用F5 BIG-IP cookie 映射内部服务器
https://www.bleepingcomputer.com/news/security/cisa-proposes-new-security-requirements-to-protect-govt-personal-data/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh