Perangkat lunak yang memprioritaskan keamanan pada tingkat paling mendasar berarti merancang sistem dengan keamanan pelanggan sebagai tujuan utama, bukan sebagai fitur utama. Dan konsep tersebut โ aman secara desain โ menjadi semakin penting karena penyerang mulai lebih sering menargetkan rantai pasokan.
โMereka memahami bahwa mereka dapat memberikan dampak yang lebih besar jika berhasil mengeksploitasi rantai pasokan,โ kata Thomas Pace, CEO NetRise. Karena solusi keamanan tradisional seperti EDR, firewall, dan filter spam sudah cukup baik dalam mencegah serangan langsung, katanya, penyerang harus mencari celah lebih jauh lagi.
Dan sistem yang ditempelkan memberikan bukaan seperti itu. โSerangan siber lebih mudah terjadi ketika bisnis dan vendor mencoba โmenyerangโ keamanan setelah kejadian tersebut terjadi,โ kata David Brumley, CEO ForAllSecure. โIni seperti memasang stereo purna jual di mobil Anda โ namun tidak berfungsi dengan baik.โ
Untuk meningkatkan keamanan perangkat lunak secara global, Badan Keamanan Siber dan Infrastruktur (CISA) mengusulkan sebuah inisiatif yang bertujuan merevolusi praktik pembangunan dengan menerapkan prinsip โaman berdasarkan desainโ dalam siklus hidup pengembangan perangkat lunak. Hal ini mencerminkan pergeseran penting menuju langkah-langkah keamanan yang proaktif.
Grafik permintaan informasi berfokus pada mengatasi kerentanan perangkat lunak yang berulang, memperkuat teknologi operasional, dan menilai dampak praktik aman terhadap biaya. Panggilan untuk memberikan komentar, yang dibuka hingga 20 Februari 2024, juga menekankan tanggung jawab kolektif produsen dan konsumen teknologi dalam menciptakan masa depan di mana teknologi pada dasarnya aman dan terjamin.
โAman menurut desain berarti keamanan adalah bagian dari cara Anda membangun perangkat lunak dari awal,โ jelas Brumley. โItu berarti negara ini jauh lebih kuat dari serangan.โ
Tingkat Keamanan Dasar
Ken Dunham, direktur ancaman siber di Qualys Threat Research Unit, menjelaskan bahwa keamanan berdasarkan desain dimulai dengan arsitektur dan prinsip-prinsip manajemen risiko dalam operasi sebelum suatu organisasi bermigrasi ke atau mulai menggunakan cloud.
โIni adalah elemen penting dari infrastruktur hibrida yang modern dan kompleks,โ katanya. โDalam dunia tanggung jawab bersama, organisasi harus memutuskan risiko apa yang dapat diterima untuk ditanggung bersama, dan berpotensi berisiko lebih tinggi, dengan pihak ketiga dibandingkan dengan risiko yang sepenuhnya dimiliki dan dikelola sendiri.โ
Dia menunjukkan bahwa siklus hidup pembuatan perangkat lunak semakin kompleks, dan banyak pemangku kepentingan harus merasa aman untuk mengurangi risiko. Dunham bertanya, โApakah pengembang Anda, yang peduli dengan fungsionalitas dan pengalaman pengguna, mahir dalam prinsip pengkodean yang aman, serangan modern, penanggulangan keamanan, dan SecOps?โ
Ekspektasi keamanan organisasi memberi tekanan pada tim orientasi untuk meluncurkan, mengonfigurasi, dan memantau perangkat lunak dengan benar dalam arsitektur bisnis. โSeberapa matang badan intelijen Anda dalam menanggapi insiden dan ancaman dunia maya?โ dia bertanya. โApakah Anda memercayai mereka di dunia cloud hybrid di mana Anda mungkin mengalami serangan intrusi kompleks dengan kecepatan sangat tinggi?โ
โSetelah Anda mendapatkan orang yang tepat, prosesnya akan dipahami dengan baik,โ Brumley setuju. โAnda merancang produk dengan pertahanan mendalam, memastikan dependensi dan perangkat lunak pihak ketiga Anda mutakhir, dan menggunakan teknik modern seperti fuzzing untuk menemukan kerentanan yang tidak diketahui.โ
Bagi Brumley, aman secara default berarti merancang keamanan yang sesuai dengan cara orang menggunakan perangkat lunak. โAda prinsip-prinsip desain yang mencakup banyak prinsip โ sama seperti ketika membangun gedung pencakar langit, Anda perlu memikirkan segala hal mulai dari dukungan struktural hingga pendingin udara,โ jelasnya.
Pergeseran Paradigma Diperlukan dalam Keamanan TI
Dunham mencatat bahwa tahun 2023 adalah penuh dengan contoh dimana kondisi balapan ada selama nol hari - kerentanan dibalik dan dijadikan senjata oleh pelaku kejahatan lebih cepat dari itu organisasi dapat menambalnya.
โMasih ada beberapa organisasi yang berjuang untuk menambal kerentanan Log4J setelah sekian lama,โ jelasnya.
Ia mengatakan organisasi harus mengidentifikasi permukaan serangan mereka, baik internal maupun eksternal, serta memprioritaskan aset dan manajemen risiko agar dapat menjadi yang terdepan ketika risiko eksploitasi dan serangan yang terkait dengan kerentanan meningkat.
Dari sudut pandang Pace, industri keamanan TI harus mengalami perubahan paradigma dalam cara mereka mempertimbangkan risiko dan cara terbaik untuk memprioritaskannya โ dan hal ini hanya dapat terjadi jika ada visibilitas dalam rantai pasokan. Dia memberikan contoh di mana โorganisasi yang sangat besarโ tidak mengetahui ketergantungan apa yang dimiliki sistem keamanannya ketika mereka dengan patuh memperbarui sistem tersebut. โSetelah pembaruan, itu dipindai oleh pemindai kerentanan dan ditentukan bahwa itu terbaru kerentanan kritis Apache Struts hadir,โ katanya. โSekarang organisasi ini telah menimbulkan risiko besar bagi organisasi mereka.โ
Desain Aman di Era IoT
John Gallagher, wakil presiden Viakoo Labs di Viakoo, mengatakan salah satu tantangan utama adalah merancang keamanan ke dalam perangkat yang berumur panjang seperti bagian dari Internet of Things (IoT) yang mungkin tidak mempertimbangkan keamanan sebagai pertimbangan desain pada awalnya.
โIni memerlukan pengujian yang lebih ekstensif dan mungkin memerlukan sumber daya teknik baru,โ katanya. โDemikian pula, membangun fitur keamanan baru adalah cara untuk menimbulkan kerentanan keamanan baru.โ
Gallagher mengatakan produsen perangkat lunak harus memanfaatkan penggunaan software bill of material (SBOM) untuk menemukan dan memulihkan kerentanan dengan lebih cepat. Dia mencatat bahwa perusahaan memasukkan praktik desain yang aman ke dalam produk baru, yang pada akhirnya akan menjadi faktor kompetitif di pasar.
โSelain MFA dan hak akses terbatas, langkah-langkah lain seperti menghilangkan kata sandi default dan menyediakan mekanisme untuk memperbarui firmware dengan lebih mudah dan cepat sedang dirancang dalam produk,โ katanya.
Menghindari โkeamanan melalui ketidakjelasanโ adalah prinsip lain dari secure by design, kata Gallagher. SBOM dan perangkat lunak sumber terbuka, misalnya, memberikan keamanan dengan menawarkan transparansi seputar kode perangkat lunak.
Pace mengatakan salah satu bidang yang paling dia minati terkait dengan keamanan secara default dan keamanan berdasarkan desain adalah visibilitas yang jauh lebih baik ke dalam rantai pasokan perangkat lunak. โSetelah visibilitas ini dapat dicapai, kita dapat mulai benar-benar memahami permasalahan kita dari tingkat dasar dan kemudian mulai memprioritaskannya dengan cara yang masuk akal,โ katanya.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 20
- 2023
- 2024
- 7
- a
- Tentang Kami
- diterima
- mengakses
- demikian
- dicapai
- aktor
- tambahan
- menangani
- mahir
- Setelah
- badan
- setuju
- ditujukan
- UDARA
- Semua
- juga
- an
- dan
- dan infrastruktur
- Lain
- Apache
- arsitektur
- ADALAH
- daerah
- sekitar
- AS
- Menilai
- Aktiva
- At
- menyerang
- Serangan
- Buruk
- BE
- karena
- menjadi
- sebelum
- mulai
- makhluk
- TERBAIK
- Lebih baik
- lebih besar
- Uang kertas
- TERIK
- Bolt
- membangun
- Bangunan
- bisnis
- bisnis
- by
- panggilan
- CAN
- mobil
- yang
- ceo
- rantai
- rantai
- menantang
- awan
- kode
- Pengkodean
- Kolektif
- komentar
- Perusahaan
- kompetitif
- kompleks
- konsep
- pertimbangan
- menganggap
- Konsumen
- Biaya
- bisa
- kritis
- sangat penting
- pelanggan
- maya
- cyberattacks
- Keamanan cyber
- siklus
- Tanggal
- David
- hari
- Hari
- memutuskan
- Default
- Pertahanan
- ketergantungan
- kedalaman
- Mendesain
- prinsip desain
- dirancang
- merancang
- ditentukan
- pengembang
- Pengembangan
- Devices
- MELAKUKAN
- Kepala
- do
- doesn
- turun
- mudah
- mudah
- elemen
- menghilangkan
- merangkul
- merangkul
- menekankan
- Teknik
- mempertinggi
- segala sesuatu
- persis
- contoh
- gembira
- harapan
- Pengalaman
- Menjelaskan
- eksploitasi
- mengeksploitasi
- luas
- luar
- fakta
- faktor
- lebih cepat
- Fitur
- Fitur
- Februari
- filter
- Menemukan
- firewall
- berfokus
- Untuk
- membina
- dasar
- sering
- dari
- depan
- sepenuhnya
- fungsi
- lebih lanjut
- masa depan
- mendapatkan
- Secara global
- tujuan
- baik
- Tanah
- memiliki
- terjadi
- Memiliki
- he
- lebih tinggi
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- Hibrida
- mengenali
- Dampak
- in
- insiden
- respon insiden
- menggabungkan
- Meningkatkan
- makin
- industri
- Infrastruktur
- secara inheren
- mulanya
- Prakarsa
- Intelijen
- intern
- Internet
- internet hal-hal
- ke
- memperkenalkan
- diperkenalkan
- idiot
- IT
- itu keamanan
- NYA
- hanya
- kunci
- Jenis
- Tahu
- Labs
- besar
- Tingkat
- Hidup
- siklus hidup
- 'like'
- mengunci
- log4j
- melihat
- membuat
- MEMBUAT
- berhasil
- pengelolaan
- Produsen
- pabrik
- banyak
- pasar
- bahan
- dewasa
- Mungkin..
- cara
- ukuran
- mekanisme
- MFA
- bermigrasi
- modern
- Memantau
- lebih
- paling
- banyak
- beberapa
- harus
- Perlu
- New
- produk baru
- Catatan
- sekarang
- of
- menawarkan
- on
- Onboarding
- sekali
- ONE
- hanya
- ke
- Buka
- open source
- pembukaan
- bukaan
- operasional
- Operasi
- or
- urutan
- organisasi
- organisasi
- Lainnya
- kami
- di luar
- dimiliki
- Perdamaian
- pola pikir
- bagian
- pihak
- password
- tambalan
- Konsultan Ahli
- perspektif
- sangat penting
- plato
- Kecerdasan Data Plato
- Data Plato
- poin
- berpotensi
- praktek
- menyajikan
- presiden
- tekanan
- mencegah
- prinsip-prinsip
- Prioritaskan
- memprioritaskan
- hak
- Proaktif
- masalah
- proses
- Produk
- Produk
- tepat
- diusulkan
- memberikan
- menyediakan
- menempatkan
- Puting
- segera
- agak
- baru
- menurunkan
- mencerminkan
- terkait
- membutuhkan
- wajib
- membutuhkan
- penelitian
- Sumber
- tanggapan
- tanggung jawab
- terbatas
- Merevolusi
- benar
- Risiko
- manajemen risiko
- kuat
- Menggulung
- s
- aman
- mengatakan
- aman
- keamanan
- Pengamanan
- rasa
- Layanan
- parah
- berbagi
- bergeser
- harus
- signifikan
- pencakar langit
- Perangkat lunak
- pengembangan perangkat lunak
- rantai pasokan perangkat lunak
- Solusi
- beberapa
- sumber
- Spam
- merentang
- kecepatan
- stakeholder
- dimulai
- Masih
- struktural
- Berjuang
- berhasil
- seperti itu
- menyediakan
- supply chain
- Rantai pasokan
- mendukung
- yakin
- Permukaan
- sistem
- sistem
- penargetan
- tim
- teknik
- Teknologi
- pengujian
- dari
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- Sana.
- mereka
- hal
- berpikir
- Ketiga
- Pihak ketiga
- pihak ketiga
- ini
- itu
- ancaman
- Melalui
- waktu
- untuk
- terhadap
- tradisional
- Transparansi
- benar-benar
- Kepercayaan
- mencoba
- Akhirnya
- menjalani
- memahami
- dipahami
- satuan
- tidak dikenal
- sampai
- Memperbarui
- diperbarui
- menggunakan
- Pengguna
- menggunakan
- vendor
- Lawan
- sangat
- wakil
- Wakil Presiden
- jarak penglihatan
- Kerentanan
- kerentanan
- adalah
- Cara..
- we
- BAIK
- adalah
- Apa
- ketika
- yang
- SIAPA
- akan
- dengan
- dalam
- Kerja
- bekerja
- dunia
- Kamu
- Anda
- zephyrnet.dll
- nol