Кибербезопасность представляет собой множество серьезных проблем, возможно, самой большой из которых является повышение безопасности программного обеспечения за счет более безопасного проектирования и разработки. С этой целью Агентство кибербезопасности, инфраструктуры и безопасности (CISA) запустило Инициатива Secure by Design направлена на повышение безопасности программного обеспечения у источника: у издателя программного обеспечения. Цель этой инициативы — переложить ответственность за кибербезопасность с клиентов в ее нынешнем виде на компании-разработчики программного обеспечения.
Инициатива Secure by Design основана на трех основных принципах компаний-разработчиков программного обеспечения: ответственность за результаты безопасности клиентов, прозрачность и подотчетность в области безопасности, а также лидерство. Цель состоит в том, чтобы компании-разработчики программного обеспечения улучшили внутреннюю безопасность своих продуктов, следуя нескольким передовым практикам.
В рамках этой инициативы CISA также разработала свою волонтерскую программу. Обязательства по безопасному проектированию которые производители программного обеспечения могут подписать. По состоянию на май 2024 года 68 крупных технологических компаний уже подписали соглашение. приносить присягуВ рамках обязательства взято обязательство работать над достижением семи различных целей с помощью своего программного обеспечения в течение года:
- Многофакторная аутентификация (MFA)В течение года после подписания обязательства продемонстрировать шаги, предпринятые для значительного увеличения использования многофакторной аутентификации в продуктах производителя.
- Пароли по умолчаниюВ течение года после подписания обязательства продемонстрировать измеримый прогресс в сокращении количества паролей по умолчанию на продуктах производителей.
- Сокращение целых категорий уязвимостиВ течение одного года с момента подписания обязательства продемонстрировать шаги, предпринятые для значительного измеримого снижения распространенности одного или нескольких классов уязвимостей в продуктах производителя.
- Исправления безопасностиВ течение одного года после подписания обязательства продемонстрировать шаги, предпринятые для значительного увеличения количества установок обновлений безопасности клиентами.
- Политика раскрытия уязвимостейВ течение одного года после подписания обязательства опубликовать Политику раскрытия уязвимостей (VDP), которая позволяет представителям общественности тестировать продукты, предлагаемые производителем.
- CVE. В течение одного года после подписания обязательства будьте прозрачны в сообщении об уязвимостях, включая точные поля Common Weakness Enumeration (CWE) и Common Platform Enumeration (CPE) в каждую запись Common Vulnerabilities and Exposures (CVE) продуктов производителя. Кроме того, как минимум своевременно публикуйте CVE для всех критических или серьезных уязвимостей (обнаруженных внутри компании или третьей стороной), которые требуют действий со стороны клиента по исправлению или имеют доказательства активной эксплуатации.
- Доказательства вторженийВ течение одного года после подписания обязательства продемонстрировать заметное увеличение возможностей клиентов по сбору доказательств вторжений в кибербезопасность, затрагивающих продукцию производителя.
Если бы больше разработчиков программного обеспечения смогли достичь этих семи целей, качество программного обеспечения улучшилось бы. Согласно недавнему исследованию поставщика защитного программного обеспечения и услуг Sophos, учетные данные и уязвимости являются одними из наиболее распространенных уязвимостей, используемых хакерами для взлома систем.
Со своей стороны, Sophos подписала соглашение CISA Secure by Design. приносить присягу и пообещал регулярно публиковать публичные обновления с подробным описанием прогресса производителя программного обеспечения для обеспечения безопасности в достижении семи целей.
«Это не уникальная инициатива CISA. Это столь необходимое размышление о структурах, которые следует включать в дизайн и архитектуру решений безопасности. Мы приветствуем конструктивные отзывы о том, как мы подходим к семи столпам», — написал в своем блоге Росс Маккерчар, директор по информационной безопасности Sophos.
Компания Sophos упомянула многочисленные шаги, которые она планирует предпринять для выполнения своих обязательств по обеспечению безопасности благодаря дизайну. Например, компания Sophos обязалась интегрировать многофакторную аутентификацию в свою консоль безопасности Sophos Central. Для доступа к Sophos Central по умолчанию потребуется многофакторная аутентификация. Кроме того, клиенты выбирают собственную федеративную многофакторную аутентификацию.
В рамках своих обязательств Sophos обязуется публиковать поддержку ключей доступа в Sophos Central и публиковать статистику внедрения своей новой, более надежной многофакторной аутентификации.
Sophos также обеспечит более безопасное развертывание за счет строгого соблюдения требований по созданию паролей во время настройки устройства.
Основная цель инициативы CISA Secure by Design — улучшить безопасность программного обеспечения за счет повышения внутренней безопасности программного обеспечения (и его безопасной управляемости) сразу после его поставки от производителя. Требуя от компаний-разработчиков программного обеспечения разработки более безопасного кода, внедрения разумных методов обеспечения безопасности и предоставления общественности прозрачной информации о своих методах обеспечения безопасности, безопасность программного обеспечения может только повыситься. В будущем это должно привести к созданию более безопасного и устойчивого бизнеса.
Никто точно не знает, сколько времени это займет.
.jpg)
