Oprogramowanie, które priorytetowo traktuje bezpieczeństwo na najbardziej podstawowym poziomie, oznacza projektowanie systemu, w którym bezpieczeństwo klienta będzie głównym celem, a nie dodaną funkcją. Koncepcja ta — bezpieczna z założenia — staje się coraz ważniejsza, w miarę jak napastnicy coraz częściej zaczynają atakować łańcuchy dostaw.
„Rozumieją, że mogą wywrzeć większy wpływ, skutecznie wykorzystując łańcuch dostaw” – mówi Thomas Pace, dyrektor generalny NetRise. Ponieważ tradycyjne rozwiązania zabezpieczające, takie jak EDR, zapory ogniowe i filtry spamu, skutecznie zapobiegają bezpośrednim atakom, napastnicy muszą szukać luk na dalszych etapach łańcucha.
A systemy sklejone zapewniają właśnie taki rodzaj otwarcia. „Cyberataki są łatwiejsze, gdy firmy i dostawcy próbują „wzmocnić” zabezpieczenia po fakcie” – mówi David Brumley, dyrektor generalny ForAllSecure. „To tak, jakbyś umieścił w samochodzie zestaw stereo z rynku wtórnego – po prostu nie działa dokładnie tak, jak powinien”.
Aby zwiększyć bezpieczeństwo oprogramowania na całym świecie, Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) zaproponowała inicjatywę mającą na celu zrewolucjonizowanie praktyk programistycznych poprzez przyjęcie zasad „bezpieczeństwa od samego początku” w cyklu życia oprogramowania. Odzwierciedla to kluczową zmianę w kierunku proaktywnych środków bezpieczeństwa.
Połączenia Wniosek o udzielenie informacji koncentruje się na usuwaniu powtarzających się luk w oprogramowaniu, wzmacnianiu technologii operacyjnej i ocenie wpływu bezpiecznych praktyk na koszty. Zaproszenie do zgłaszania komentarzy, które można komentować do 20 lutego 2024 r., podkreśla również zbiorową odpowiedzialność producentów technologii i konsumentów za wspieranie przyszłości, w której technologia jest z natury bezpieczna.
„Bezpieczeństwo z założenia oznacza, że bezpieczeństwo jest częścią procesu tworzenia oprogramowania od podstaw” – wyjaśnia Brumley. „Oznacza to, że jest znacznie bardziej odporny na ataki”.
Podstawowy poziom bezpieczeństwa
Ken Dunham, dyrektor ds. zagrożeń cybernetycznych w Qualys Threat Research Unit, wyjaśnia, że bezpieczeństwo od samego początku zaczyna się od architektury i zasad zarządzania ryzykiem w operacjach, zanim organizacja migruje do chmury lub zacznie z niej korzystać.
„To kluczowy element nowoczesnej, złożonej infrastruktury hybrydowej” – mówi. „W świecie wspólnej odpowiedzialności organizacje muszą zdecydować, jakie ryzyko można dzielić ze stronami trzecimi – i które potencjalnie wiąże się z większym ryzykiem – w porównaniu z ryzykiem, które jest w całości własnością firmy i jest zarządzane wewnętrznie”.
Zwraca uwagę, że cykl życia wytwarzania oprogramowania jest coraz bardziej złożony i obejmuje wielu interesariuszy, którzy muszą zapewnić bezpieczeństwo, aby zmniejszyć ryzyko. Dunham pyta: „Czy Twoi programiści, którym zależy na funkcjonalności i wygodzie użytkownika, są biegli w zakresie zasad bezpiecznego kodowania, współczesnych ataków, środków zaradczych bezpieczeństwa i SecOps?”
Oczekiwania dotyczące bezpieczeństwa organizacji wywierają presję na zespół wdrażający, aby prawidłowo wdrażał, konfigurował i monitorował oprogramowanie w architekturze biznesowej. „Jak dojrzałe są Wasze usługi w zakresie reagowania na incydenty i analizy zagrożeń cybernetycznych?” On pyta. „Czy ufasz im w świecie chmur hybrydowych, w którym możesz mieć złożony atak włamaniowy z niesamowitą szybkością?”
„Kiedy już dysponuje się właściwymi ludźmi, proces jest dobrze zrozumiany” – zgadza się Brumley. „Projektujesz produkt z dogłębną ochroną, upewniasz się, że Twoje zależności i oprogramowanie innych firm są aktualne, a także korzystasz z nowoczesnych technik, takich jak fuzzing, w celu znalezienia nieznanych luk w zabezpieczeniach”.
Dla Brumleya bezpieczeństwo domyślnie oznacza projektowanie uwzględniające bezpieczeństwo, które współpracuje ze sposobem, w jaki ludzie korzystają z oprogramowania. „Istnieją zasady projektowania, które obejmują wiele zasad — tak jak przy budowie drapacza chmur należy wziąć pod uwagę wszystko, od wsparcia konstrukcyjnego po klimatyzację” – wyjaśnia.
Wymagana zmiana paradygmatu w bezpieczeństwie IT
Dunham zauważa, że był to rok 2023 pełen przykładów gdzie warunki wyścigu istniało przez zero dni — luki zostały odwrócone i wykorzystane przez złych aktorów szybciej niż organizacje mogłyby je załatać.
„Po tak długim czasie niektóre organizacje nadal mają trudności z załataniem luk w zabezpieczeniach Log4J” – zauważa.
Mówi, że organizacje muszą zidentyfikować powierzchnię ataku, wewnętrzną i zewnętrzną, oraz odpowiednio ustalić priorytety zasobów i zarządzania ryzykiem, aby wyjść na prowadzenie, gdy wzrasta ryzyko wykorzystania i ataku związane z luką.
Z perspektywy Pace’a branża bezpieczeństwa IT musi przejść zmianę paradygmatu w sposobie postrzegania ryzyka i najlepszego ustalania jego priorytetów – a może to nastąpić jedynie przy zapewnieniu wglądu w łańcuch dostaw. Podał przykład, w którym „bardzo duża organizacja” nie wiedziała, jakie zależności ma jej system bezpieczeństwa, gdy sumiennie go aktualizowała. „Po aktualizacji został on przeskanowany przez skaner podatności i ustalono, że najnowsza krytyczna luka w zabezpieczeniach Apache Struts był obecny – mówi. „Teraz ta organizacja wprowadziła dla swojej organizacji poważne ryzyko”.
Bezpieczne projektowanie w erze IoT
John Gallagher, wiceprezes Viakoo Labs w firmie Viakoo, twierdzi, że jednym z kluczowych wyzwań jest zaprojektowanie zabezpieczeń w urządzeniach o długiej żywotności, takich jak te stanowiące część Internetu rzeczy (IoT), w przypadku których początkowo projekt nie uwzględniał bezpieczeństwa.
„Wymaga to bardziej szczegółowych testów i może wymagać nowych zasobów inżynieryjnych” – mówi. „Podobnie wbudowanie nowych funkcji zabezpieczeń jest sposobem na wprowadzenie nowych luk w zabezpieczeniach”.
Gallagher twierdzi, że producenci oprogramowania powinni wdrożyć zestawienia komponentów oprogramowania (SBOM), aby szybciej znajdować i usuwać luki w zabezpieczeniach. Zauważa, że firmy włączają bezpieczne praktyki projektowe do nowych produktów, które ostatecznie staną się czynnikiem konkurencyjnym na rynku.
„Oprócz MFA i ograniczonych uprawnień dostępu w produktach projektowane są inne środki, takie jak eliminacja domyślnych haseł i zapewnianie mechanizmów umożliwiających łatwiejszą i szybszą aktualizację oprogramowania sprzętowego” – mówi.
Gallagher podkreśla, że unikanie „bezpieczeństwa poprzez zaciemnienie” to kolejna zasada bezpieczeństwa z założenia. Na przykład SBOM i oprogramowanie typu open source zapewniają bezpieczeństwo, oferując przejrzystość kodu oprogramowania.
Pace twierdzi, że jednym z obszarów, który go najbardziej ekscytuje w kontekście bezpieczeństwa domyślnego i bezpiecznego z założenia, jest znacznie lepszy wgląd w łańcuch dostaw oprogramowania. „Kiedy uda nam się osiągnąć tę widoczność, będziemy mogli zacząć naprawdę rozumieć, gdzie leżą nasze problemy, od poziomu podstawowego, a następnie zacząć ustalać priorytety w sposób, który ma sens” – mówi.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 20
- 2023
- 2024
- 7
- a
- O nas
- do przyjęcia
- dostęp
- odpowiednio
- osiągnięty
- aktorzy
- dodatek
- adresowanie
- zwolennik
- Po
- agencja
- Zgadza się
- wymierzony
- AIR
- Wszystkie kategorie
- również
- an
- i
- i infrastruktura
- Inne
- Apache
- architektura
- SĄ
- obszary
- na około
- AS
- oceniając
- Aktywa
- At
- atakować
- Ataki
- Łazienka
- BE
- bo
- staje
- zanim
- rozpocząć
- jest
- BEST
- Ulepsz Swój
- większe
- Banknoty
- PŁONĄCY
- Bolt
- budować
- Budowanie
- biznes
- biznes
- by
- wezwanie
- CAN
- wózek
- który
- ceo
- łańcuch
- więzy
- wyzwanie
- Chmura
- kod
- Kodowanie
- Collective
- komentarz
- Firmy
- konkurencyjny
- kompleks
- pojęcie
- wynagrodzenie
- rozważa
- Konsumenci
- Koszty:
- mógłby
- krytyczny
- istotny
- klient
- cyber
- cyberataki
- Bezpieczeństwo cybernetyczne
- cykl
- Data
- David
- dzień
- Dni
- zdecydować
- Domyślnie
- Obrona
- Zależności
- głębokość
- Wnętrze
- zasady projektowania
- zaprojektowany
- projektowanie
- ustalona
- deweloperzy
- oprogramowania
- urządzenia
- ZROBIŁ
- Dyrektor
- do
- robi
- na dół
- łatwiej
- z łatwością
- element
- eliminując
- objąć
- ogarnięcie
- podkreśla
- Inżynieria
- wzmacniać
- wszystko
- dokładnie
- przykład
- podniecony
- oczekiwania
- Doświadczenia
- Objaśnia
- eksploatacja
- wykorzystywanie
- rozległy
- zewnętrzny
- fakt
- czynnik
- szybciej
- Cecha
- Korzyści
- luty
- filtry
- Znajdź
- Zapory
- koncentruje
- W razie zamówieenia projektu
- wychowanie
- podstawowy
- często
- od
- z przodu
- w pełni
- Funkcjonalność
- dalej
- przyszłość
- otrzymać
- Globalnie
- cel
- dobry
- Ziemia
- miał
- zdarzyć
- Have
- he
- wyższy
- W jaki sposób
- How To
- HTTPS
- Hybrydowy
- zidentyfikować
- Rezultat
- in
- incydent
- reakcja na incydent
- włączenie
- Zwiększenia
- coraz bardziej
- przemysł
- Infrastruktura
- właściwie
- początkowo
- inicjatywa
- Inteligencja
- wewnętrzny
- Internet
- Internet przedmiotów
- najnowszych
- przedstawiać
- wprowadzono
- Internet przedmiotów
- IT
- to bezpieczeństwo
- JEGO
- właśnie
- Klawisz
- Uprzejmy
- Wiedzieć
- Labs
- duży
- poziom
- życie
- wifecycwe
- lubić
- zablokować
- log4j
- Popatrz
- robić
- WYKONUJE
- zarządzane
- i konserwacjami
- Producenci
- produkcja
- wiele
- rynek
- materiały
- dojrzały
- Może..
- znaczy
- środków
- Mechanizmy
- MSZ
- migruje
- Nowoczesne technologie
- monitor
- jeszcze
- większość
- dużo
- wielokrotność
- musi
- Potrzebować
- Nowości
- Nowe produkty
- Uwagi
- już dziś
- of
- oferuje
- on
- Wprowadzenie
- pewnego razu
- ONE
- tylko
- na
- koncepcja
- open source
- otwarcie
- otwory
- operacyjny
- operacje
- or
- zamówienie
- organizacja
- organizacji
- Inne
- ludzkiej,
- na zewnątrz
- własność
- Pokój
- paradygmat
- część
- strony
- hasła
- Łata
- Ludzie
- perspektywa
- kluczowy
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- potencjalnie
- praktyki
- teraźniejszość
- prezydent
- nacisk
- zapobieganie
- Zasady
- Priorytet
- ustala priorytety
- przywileje
- Proaktywne
- problemy
- wygląda tak
- Produkt
- Produkty
- prawidłowo
- zaproponowane
- zapewniać
- że
- położyć
- Putting
- szybko
- raczej
- niedawny
- zmniejszyć
- odzwierciedla
- związane z
- wymagać
- wymagany
- Wymaga
- Badania naukowe
- Zasoby
- odpowiedź
- odpowiedzialność
- ograniczony
- Rewolucjonizujący
- prawo
- Ryzyko
- Zarządzanie ryzykiem
- krzepki
- Rolka
- s
- "bezpiecznym"
- mówią
- bezpieczne
- bezpieczeństwo
- Środki bezpieczeństwa
- rozsądek
- Usługi
- ciężki
- shared
- przesunięcie
- powinien
- znacznie
- drapacz chmur
- Tworzenie
- rozwoju oprogramowania
- łańcuch dostaw oprogramowania
- Rozwiązania
- kilka
- Źródło
- spam
- rozpiętość
- prędkość
- interesariusze
- rozpocznie
- Nadal
- strukturalny
- Walka
- Z powodzeniem
- taki
- Dostawa
- łańcuch dostaw
- Dostarczać łańcuchy
- wsparcie
- pewnie
- Powierzchnia
- system
- systemy
- kierowania
- zespół
- technika
- Technologia
- Testowanie
- niż
- że
- Połączenia
- ich
- Im
- następnie
- Tam.
- one
- rzeczy
- myśleć
- Trzeci
- osoby trzecie
- innych firm
- to
- tych
- groźba
- Przez
- czas
- do
- w kierunku
- tradycyjny
- Przezroczystość
- naprawdę
- Zaufaj
- próbować
- Ostatecznie
- przejść
- zrozumieć
- zrozumiany
- jednostka
- nieznany
- aż do
- Aktualizacja
- zaktualizowane
- posługiwać się
- Użytkownik
- za pomocą
- sprzedawców
- Przeciw
- początku.
- wice
- Wiceprezes
- widoczność
- Luki w zabezpieczeniach
- wrażliwość
- była
- Droga..
- we
- DOBRZE
- były
- Co
- jeśli chodzi o komunikację i motywację
- który
- KIM
- będzie
- w
- w ciągu
- Praca
- działa
- świat
- You
- Twój
- zefirnet
- zero