ХЕРШИ, Пенсильвания — Спустя полтора года после запуска глобальной инициативы Security by Design Агентство кибербезопасности и безопасности инфраструктуры «воодушевлено» прогрессом в привлечении поставщиков и теперь концентрируется на новой программе, направленной на привлечение большего внимания к особенно рискованным практикам создания программного обеспечения. .
Рина Ракипи, которая возглавляет стратегическое партнерство и разработку программ уязвимостей в CISA, заявила в понедельник на конференции ACT-IAC Imagine Nation ELC 2024, что киберагентство получило более 230 добровольных обязательств производителей программного обеспечения в рамках кампании. Подписываясь на инициативу Security by Design, эти поставщики обязуются достичь различных целей в области кибербезопасности в течение года, начиная от сокращения паролей по умолчанию во всех продуктах и заканчивая более широким использованием многофакторной аутентификации и устранением целых классов паролей. уязвимости.
«Мы рады, что более 230 производителей программного обеспечения добровольно взяли на себя это обязательство», — сказал Ракипи. «Заглядывая в будущее, мы с нетерпением ждем прогресса, достигнутого всеми 230 компаниями в следующем году. »
Поскольку производители программного обеспечения работают над выполнением этих обязательств, CISA и ФБР в этом месяце выпустили документ, который является естественным продолжением документа Secure by Design и призван устранить исключительно проблемные проблемы перед переходом к производству.
Агентства Публикация о вредной практике безопасности продукции конкретно решает три проблемные области для производителей: свойства продукта, которые охватывают включение в программное обеспечение паролей по умолчанию, небезопасные языки для памяти, пользовательский ввод в SQL-запросах и цепочки команд операционной системы, а также известные уязвимости, которые можно использовать; функции безопасности, которые включают отсутствие MFA и невозможность сбора доказательств вторжений; а также организационные процессы и политики, которые подчеркивают неспособность своевременно публиковать политики CVE и раскрытия уязвимостей.
Основная цель документа, по словам Ракипи, — показать поставщикам, «что это за плохая практика» и «чего нам не следует делать». Документ опубликовано в Федеральном реестре и открыт для общественного обсуждения до 2 декабря.
Килан Суини, руководитель отдела управления ИТ-отраслью CISA, заявил в понедельник на отдельной дискуссии, что наличие языков с защитой памяти в продуктах особенно «неотъемлемо для нашей миссии по обеспечению безопасности в CISA». Суини процитировал статистический что примерно от 60 до 70% Уязвимости можно отнести к языкам с опасной памятью. Для производителей простое определение приоритета включения языков, безопасных для памяти, в разработку продуктов может оказать действительно существенное влияние на безопасность.
«Я постоянно говорю разработчикам: не позволяйте совершенству быть врагом хорошего, верно?» — сказал Суини, указывая на Пример использования Google который продемонстрировал существенное снижение наблюдаемых уязвимостей благодаря приоритету языков, безопасных для памяти. «Я думаю, что такое улучшение всегда стоит отмечать. »
CISA также стимулирует компании-разработчики программного обеспечения не только встраивать такие функции, как MFA, в свои продукты, но и гарантировать, что клиентам «настоятельно не рекомендуется удалять» такую защиту из своих настроек безопасности, сказал Ракипи. Это может принимать форму «предупреждений системы безопасности: «Эй, вы уверены, что хотите удалить эту функцию безопасности?» » ». Подчеркивание того, что «рискованное поведение» во многом поможет клиенту «действительно осознать, что это такое». удалить из своей системы», — добавил Ракипи.
Но в конечном итоге CISA теперь полностью перекладывает бремя обеспечения безопасности на производителей программного обеспечения, заставляя их с самого начала обеспечивать безопасность своих продуктов, чтобы клиенты не оставались в неведении относительно защиты своих систем.
«Если у вас есть машина на дороге и в ней нет подушки безопасности, почти невозможно… поставить ее постфактум», — сказал Ракипи. «Вот почему мы не хотим делать это с нашим программным обеспечением».
