最新のデジタルインフラの基盤となっているオープンソーステクノロジーの一部を保護するには、マルウェア攻撃の波の中で、いくつかの「困難な決断」が必要になるだろうと、サイバーセキュリティおよびインフラストラクチャセキュリティ機関の長官は木曜日に述べました。
「オープンソースコミュニティは、脆弱性発見の急速な拡大について考え始めるとき、私が特に懸念しているコミュニティです」と、インターネットを支えるキーテクノロジーがしばしば1人のメンテナーによって保守されているという内容の漫画に言及しながら、代理ディレクターのニック・アンダーセンは述べました。
最近の1つの攻撃では、ハッカーが単一のオープンソースプロジェクトメンテナーのアカウントをハイジャックして、ソフトウェア開発者に人気のあるaxiosの悪質なアップデートを公開し、より広く拡散する可能性のある攻撃の可能性を高めました。北朝鮮の疑いのあるハッキンググループであるTeamPCPは、広範な攻撃活動中のオープンソース攻撃に従事しています。
「ここには多くの機会があります。分野を再構築し、不足していたことがわかっている分野に投資し、人々が彼らのリスクプロファイルが実際と異なると考えていた場所で、困難なセキュリティ決定を強制することです」とアンダーセンは述べました。「脆弱性発見から武器化、悪用までの速度、規模、速さの拡大が見られます」
CISAは業界および他の関係者と協力して「脆弱性管理へのアプローチを修正し、調整された脆弱性開示へのアプローチを修正し、治療へのアプローチを修正する」ことに取り組んでいると、ワシントンDCの全米サイバーイノベーションフォーラムで講演したアンダーセンは述べました。「従来のメカニズムを使用してのみは対応できないという明示的な理解があります」
政府と民間企業は協力して最大の脅威を特定し、それらに適切なレベルの注意を与えることができると彼は述べました。連邦政府側では、オープンソーステクノロジーへの依存の程度を完全に把握するための作業を意味します。
全体的に、米国は多くの必要なセキュリティ改善を延期してきたとアンダーセンは述べました。
「民間企業を見ても、政府や支援している公共部門のネットワークとシステムを見ても、多くの技術的負債があります」と彼は述べました。「将来に向けて自分たちを容易に保護するために必要な適切なレベルの投資を行っていません」
