نرمافزاری که امنیت را در اساسیترین سطح خود اولویتبندی میکند، به معنای طراحی سیستم با امنیت مشتری بهعنوان یک هدف کلیدی و نه یک ویژگی پیوسته است. و این مفهوم - ایمن از نظر طراحی - به طور فزاینده ای حیاتی می شود زیرا مهاجمان شروع به هدف قرار دادن زنجیره های تامین بیشتر می کنند.
توماس پیس، مدیرعامل NetRise می گوید: «آنها می دانند که می توانند با بهره برداری موفقیت آمیز از زنجیره تأمین تأثیر بیشتری داشته باشند. او میگوید از آنجایی که راهحلهای امنیتی سنتی مانند EDR، فایروالها و فیلترهای هرزنامه در جلوگیری از حملات رودررو به خوبی عمل کردهاند، مهاجمان باید به دنبال دریچههای بیشتر در زنجیره باشند.
و سیستم های چسبانده شده دقیقاً این نوع باز شدن را فراهم می کنند. دیوید بروملی، مدیر عامل ForAllSecure می گوید: «وقتی کسب و کارها و فروشندگان سعی می کنند امنیت را بعد از این واقعیت تقویت کنند، حملات سایبری آسان تر می شود. "این مانند قرار دادن یک استریو پس از فروش در ماشین شما است - دقیقاً درست کار نمی کند."
برای افزایش امنیت نرمافزار در سطح جهانی، آژانس امنیت سایبری و امنیت زیرساخت (CISA) ابتکاری را با هدف ایجاد تحول در شیوههای توسعه با پذیرش اصول "ایمن با طراحی" در چرخه عمر توسعه نرمافزار پیشنهاد کرد. این نشان دهنده یک تغییر اساسی به سمت اقدامات امنیتی پیشگیرانه است.
La درخواست اطلاعات بر رسیدگی به آسیبپذیریهای نرمافزاری مکرر، تقویت فناوری عملیاتی و ارزیابی تأثیر شیوههای ایمن بر هزینهها تمرکز دارد. فراخوان اظهار نظر، که تا 20 فوریه 2024 باز است، همچنین بر مسئولیت جمعی تولید کنندگان و مصرف کنندگان فناوری در پرورش آینده ای که در آن فناوری ذاتاً ایمن و امن است، تأکید می کند.
براملی توضیح میدهد: «ایمنی با طراحی به این معناست که امنیت بخشی از نحوه ساخت نرمافزار از پایه است. "این بدان معناست که در برابر حملات بسیار مقاوم تر است."
سطح اساسی امنیت
کن دانهام، مدیر تهدیدات سایبری در واحد تحقیقات Qualys Threat، توضیح میدهد که طراحی ایمن با اصول معماری و مدیریت ریسک در عملیات قبل از مهاجرت یا شروع استفاده از سازمان به ابر آغاز میشود.
او میگوید: «این یک عنصر حیاتی از زیرساختهای ترکیبی مدرن و پیچیده است. «در دنیایی با مسئولیت مشترک، سازمانها باید تصمیم بگیرند که چه ریسکی قابل قبول است تا با اشخاص ثالث در مقابل ریسکهایی که به طور کامل تحت مالکیت و مدیریت داخلی است، به اشتراک گذاشته شود، و به طور بالقوه در معرض خطر بالاتری است.»
او اشاره میکند که چرخه عمر تولید نرمافزار به طور فزایندهای پیچیده است، با بسیاری از ذینفعان که همگی برای کاهش ریسک باید ایمن باشند. دانهام میپرسد، «آیا توسعهدهندگان شما که به عملکرد و تجربیات کاربر اهمیت میدهند، در اصول کدنویسی امن، حملات امروزی، اقدامات متقابل امنیتی و SecOps مهارت دارند؟»
انتظارات امنیتی سازمانی، تیمی را تحت فشار قرار میدهد که به درستی نرمافزار را در معماری کسبوکار پیادهسازی، پیکربندی و نظارت کند. «سرویسهای اطلاعاتی پاسخ به حوادث و تهدیدات سایبری شما چقدر بالغ هستند؟» او می پرسد. "آیا در دنیای ابری ترکیبی که ممکن است با یک حمله نفوذی پیچیده با سرعت فوق العاده روبرو شوید به آنها اعتماد دارید؟"
براملی موافق است: «هنگامی که افراد مناسب را داشته باشید، فرآیند به خوبی درک می شود. «شما محصول را با دفاع عمیق طراحی میکنید، مطمئن میشوید که وابستگیها و نرمافزار شخص ثالث شما بهروز هستند و از تکنیک مدرنی مانند fuzzing برای یافتن آسیبپذیریهای ناشناخته استفاده میکنید».
برای بروملی، ایمن به طور پیشفرض به معنای طراحی امنیتی است که با نحوه استفاده مردم از نرمافزار کار میکند. او توضیح میدهد: «اصول طراحی وجود دارد که اصول متعددی را در بر میگیرد – درست مانند زمانی که یک آسمانخراش میسازید، باید در مورد همه چیز از پشتیبانی ساختاری گرفته تا تهویه مطبوع فکر کنید».
تغییر پارادایم در امنیت فناوری اطلاعات مورد نیاز است
دانهام اشاره می کند که سال 2023 بود پر از مثال جایی که شرایط مسابقه برای روز صفر وجود داشت - آسیبپذیریها معکوس شدند و توسط بازیگران بد سریعتر از سازمان ها می توانند آنها را وصله کنند.
او خاطرنشان میکند: «هنوز برخی از سازمانها هستند که پس از این همه زمان برای اصلاح آسیبپذیریهای Log4J تلاش میکنند.
او میگوید که سازمانها باید سطح حمله خود را، داخلی و خارجی شناسایی کنند و بر این اساس داراییها و مدیریت ریسک را اولویتبندی کنند تا در صورت افزایش خطر حمله و بهرهبرداری مرتبط با آسیبپذیری، جلوتر باشند.
از دیدگاه پیس، صنعت امنیت فناوری اطلاعات باید در نحوه در نظر گرفتن ریسک و بهترین اولویت بندی آن دستخوش تغییر پارادایم شود – و این تنها با دیده شدن در زنجیره تامین می تواند اتفاق بیفتد. او نمونهای را به اشتراک گذاشت که در آن یک «سازمان بسیار بزرگ» نمیدانست سیستم امنیتیاش چه وابستگیهایی دارد، وقتی که بهطور وظیفهشناسانه آن سیستم را بهروزرسانی کرد. "پس از به روز رسانی توسط یک اسکنر آسیب پذیری اسکن شد و مشخص شد که اخیرا آسیب پذیری حیاتی Apache Struts حضور داشت.» او می گوید. اکنون این سازمان یک خطر جدی برای سازمان خود ایجاد کرده است.
طراحی ایمن در عصر اینترنت اشیا
جان گالاگر، معاون آزمایشگاه Viakoo در Viakoo، میگوید یکی از چالشهای کلیدی طراحی امنیت در دستگاههایی با عمر طولانی مانند آن دسته از بخشهایی از اینترنت اشیا (IoT) است که ممکن است در ابتدا امنیت را به عنوان یک ملاحظات طراحی نداشته باشند.
او میگوید: «این به آزمایشهای گستردهتری نیاز دارد و ممکن است به منابع مهندسی جدید نیاز داشته باشد. به همین ترتیب، ایجاد ویژگیهای امنیتی جدید راهی برای معرفی آسیبپذیریهای امنیتی جدید است.»
گالاگر میگوید تولیدکنندگان نرمافزار باید استفاده از صورتحسابهای مواد نرمافزاری (SBOM) را برای یافتن و رفع آسیبپذیریها سریعتر بپذیرند. او خاطرنشان می کند که شرکت ها شیوه های طراحی ایمن را در محصولات جدید ترکیب می کنند، که در نهایت یک عامل رقابتی در بازار خواهد بود.
او میگوید: «علاوه بر MFA و امتیازات دسترسی محدود، اقدامات دیگری مانند حذف رمزهای عبور پیشفرض و ارائه مکانیسمهایی برای بهروزرسانی آسانتر و سریعتر میانافزار در محصولات طراحی شدهاند».
گالاگر اشاره می کند که اجتناب از "امنیت از طریق ابهام" یکی دیگر از اصول طراحی ایمن است. به عنوان مثال، SBOM ها و نرم افزارهای منبع باز، با ارائه شفافیت در اطراف کد نرم افزار، امنیت را فراهم می کنند.
پیس میگوید یکی از زمینههایی که بیشتر به آن علاقه دارد زیرا به صورت پیشفرض و ایمن از نظر طراحی مربوط میشود، دید بهتر در زنجیره تامین نرمافزار است. او میگوید: «هنگامی که بتوان به این دید دست یافت، میتوانیم شروع کنیم به درک واقعی مشکلات ما از سطح پایه و سپس شروع به اولویتبندی آنها به روشی منطقی کنیم.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 20
- 2023
- 2024
- 7
- a
- درباره ما
- قابل قبول
- دسترسی
- بر این اساس
- دست
- بازیگران
- اضافه
- خطاب به
- ماهر
- پس از
- نمایندگی
- موافق است
- هدف
- AIR
- معرفی
- همچنین
- an
- و
- و زیرساخت
- دیگر
- آپاچی
- معماری
- هستند
- مناطق
- دور و بر
- AS
- ارزیابی
- دارایی
- At
- حمله
- حمله
- بد
- BE
- زیرا
- تبدیل شدن به
- قبل از
- شروع
- بودن
- بهترین
- بهتر
- بزرگتر
- اسکناس
- شعله ور
- پیچ
- ساختن
- بنا
- کسب و کار
- کسب و کار
- by
- صدا
- CAN
- ماشین
- اهميت دادن
- مدیر عامل شرکت
- زنجیر
- زنجیر
- به چالش
- ابر
- رمز
- برنامه نویسی
- Collective - Dubai Hills Estate
- توضیح
- شرکت
- رقابتی
- پیچیده
- مفهوم
- توجه
- در نظر می گیرد
- مصرف کنندگان
- هزینه
- میتوانست
- بحرانی
- بسیار سخت
- مشتری
- سایبر
- حملات سایبری
- امنیت سایبری
- چرخه
- تاریخ
- داود
- روز
- روز
- تصمیم گیری
- به طور پیش فرض
- دفاع
- وابستگی
- عمق
- طرح
- اصول طراحی
- طراحی
- طراحی
- مشخص
- توسعه دهندگان
- پروژه
- دستگاه ها
- DID
- مدیر
- do
- ندارد
- پایین
- آسان تر
- به آسانی
- عنصر
- از بین بردن
- در اغوش گرفتن
- در آغوش گرفتن
- تأکید می کند
- مهندسی
- بالا بردن
- همه چیز
- کاملا
- مثال
- برانگیخته
- انتظارات
- تجارب
- توضیح می دهد
- بهره برداری
- بهره برداری از
- وسیع
- خارجی
- واقعیت
- عامل
- سریعتر
- ویژگی
- امکانات
- فوریه
- فیلترها برای تصفیه آب
- پیدا کردن
- فایروال ها
- تمرکز
- برای
- پرورش دادن
- بنیادین
- غالبا
- از جانب
- جلو
- کاملا
- قابلیت
- بیشتر
- آینده
- دریافت کنید
- در سطح جهانی
- هدف
- خوب
- زمین
- بود
- رخ دادن
- آیا
- he
- بالاتر
- چگونه
- چگونه
- HTTPS
- ترکیبی
- شناسایی
- تأثیر
- in
- حادثه
- پاسخ حادثه
- گنجاندن
- افزایش
- به طور فزاینده
- صنعت
- شالوده
- ذاتا
- در ابتدا
- ابتکار عمل
- اطلاعات
- داخلی
- اینترنت
- اینترنت از چیزهایی که
- به
- معرفی
- معرفی
- اینترنت اشیا
- IT
- امنیت آن است
- ITS
- تنها
- کلید
- نوع
- دانستن
- آزمایشگاه
- بزرگ
- سطح
- زندگی
- wifecycwe
- پسندیدن
- قفل
- log4j
- نگاه کنيد
- ساخت
- باعث می شود
- اداره می شود
- مدیریت
- تولید کنندگان
- تولید
- بسیاری
- بازار
- مصالح
- بالغ
- ممکن است..
- به معنی
- معیارهای
- مکانیسم
- MFA
- مهاجرت می کند
- مدرن
- مانیتور
- بیش
- اکثر
- بسیار
- چندگانه
- باید
- نیاز
- جدید
- محصولات جدید
- یادداشت
- اکنون
- of
- ارائه
- on
- شبانه روزی
- یک بار
- ONE
- فقط
- به سوی
- باز کن
- منبع باز
- افتتاح
- دهانه ها
- قابل استفاده
- عملیات
- or
- سفارش
- کدام سازمان ها
- سازمان های
- دیگر
- ما
- خارج
- متعلق به
- سرعت
- نمونه
- بخش
- احزاب
- کلمه عبور
- وصله
- مردم
- چشم انداز
- محوری
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- بالقوه
- شیوه های
- در حال حاضر
- رئيس جمهور
- فشار
- جلوگیری
- از اصول
- اولویت بندی
- اولویت بندی می کند
- امتیازات
- بلادرنگ
- مشکلات
- روند
- محصول
- محصولات
- به درستی
- پیشنهاد شده
- ارائه
- ارائه
- قرار دادن
- قرار دادن
- به سرعت
- نسبتا
- اخیر
- كاهش دادن
- بازتاب می دهد
- مربوط
- نیاز
- ضروری
- نیاز
- تحقیق
- منابع
- پاسخ
- مسئوليت
- منحصر
- انقلابی
- راست
- خطر
- مدیریت ریسک
- تنومند
- نورد
- s
- امن
- می گوید:
- امن
- تیم امنیت لاتاری
- اقدامات امنیتی
- حس
- خدمات
- شدید
- به اشتراک گذاشته شده
- تغییر
- باید
- به طور قابل توجهی
- آسمان خراش
- نرم افزار
- توسعه نرم افزار
- زنجیره تامین نرم افزار
- مزایا
- برخی از
- منبع
- اسپم
- محدوده
- سرعت
- سهامداران
- شروع می شود
- هنوز
- ساختاری
- تلاش
- موفقیت
- چنین
- عرضه
- زنجیره تامین
- زنجیره تامین
- پشتیبانی
- مطمئن
- سطح
- سیستم
- سیستم های
- هدف گذاری
- تیم
- تکنیک
- پیشرفته
- تست
- نسبت به
- که
- La
- شان
- آنها
- سپس
- آنجا.
- آنها
- اشیاء
- فکر می کنم
- سوم
- اشخاص ثالث
- شخص ثالث
- این
- کسانی که
- تهدید
- از طریق
- زمان
- به
- نسبت به
- سنتی
- شفافیت
- صادقانه
- اعتماد
- امتحان
- در نهایت
- تحت تاثیر قرار می گیرد
- فهمیدن
- فهمید
- واحد
- ناشناخته
- تا
- بروزرسانی
- به روز شده
- استفاده کنید
- کاربر
- با استفاده از
- فروشندگان
- در مقابل
- بسیار
- معاون
- معاون رئیس جمهور
- دید
- آسیب پذیری ها
- آسیب پذیری
- بود
- مسیر..
- we
- خوب
- بود
- چی
- چه زمانی
- که
- WHO
- اراده
- با
- در داخل
- مهاجرت کاری
- با این نسخهها کار
- جهان
- شما
- شما
- زفیرنت
- صفر
