Programska oprema, ki daje prednost varnosti na njeni najosnovnejši ravni, pomeni načrtovanje sistema z varnostjo strank kot ključnim ciljem in ne z lastno funkcijo. In ta koncept – varen po zasnovi – postaja vse bolj ključen, saj napadalci vse pogosteje ciljajo na dobavne verige.
"Razumejo, da imajo lahko večji vpliv z uspešnim izkoriščanjem dobavne verige," pravi Thomas Pace, izvršni direktor NetRise. Ker so tradicionalne varnostne rešitve, kot so EDR, požarni zidovi in filtri za neželeno pošto, postale dobre pri preprečevanju neposrednih napadov, pravi, morajo napadalci iskati odprtine višje v verigi.
In zlepljeni sistemi zagotavljajo prav takšno odpiranje. »Kibernetski napadi so lažji, ko podjetja in prodajalci poskušajo 'priviti' varnost naknadno,« pravi David Brumley, izvršni direktor ForAllSecure. "To je tako, kot da bi v avto postavili poprodajni stereo - preprosto ne deluje pravilno."
Za izboljšanje varnosti programske opreme na svetovni ravni je Agencija za kibernetsko varnost in infrastrukturno varnost (CISA) predlagala pobudo, katere cilj je revolucioniranje razvojnih praks z vključitvijo načel »varnega po zasnovi« v življenjski cikel razvoja programske opreme. Odraža ključni premik k proaktivnim varnostnim ukrepom.
O prošnja za informacije se osredotoča na obravnavanje ponavljajočih se ranljivosti programske opreme, krepitev operativne tehnologije in ocenjevanje vpliva varnih praks na stroške. Razpis za komentarje, ki je odprt do 20. februarja 2024, prav tako poudarja skupno odgovornost proizvajalcev tehnologije in potrošnikov pri spodbujanju prihodnosti, v kateri je tehnologija sama po sebi varna in varna.
»Varnost po zasnovi pomeni, da je varnost del tega, kako programsko opremo zgradite od začetka,« pojasnjuje Brumley. "To pomeni, da je veliko bolj robusten pred napadi."
Temeljna raven varnosti
Ken Dunham, direktor kibernetskih groženj pri Qualys Threat Research Unit, pojasnjuje, da se varno po zasnovi začne z arhitekturo in načeli upravljanja s tveganji v operacijah, preden se organizacija preseli v oblak ali ga začne uporabljati.
»To je ključni element sodobne, kompleksne hibridne infrastrukture,« pravi. »V svetu deljene odgovornosti se morajo organizacije odločiti, katero tveganje je sprejemljivo deliti s tretjimi osebami in kakšno tveganje je potencialno večje, v primerjavi s tistim, ki je v celoti v lasti in upravljanju znotraj podjetja.«
Poudarja, da je življenjski cikel izdelave programske opreme vse bolj zapleten, s številnimi deležniki, ki morajo biti vsi varni, da zmanjšajo tveganje. Dunham sprašuje: »Ali so vaši razvijalci, ki skrbijo za funkcionalnost in uporabniško izkušnjo, vešči načel varnega kodiranja, sodobnih napadov, varnostnih protiukrepov in SecOps?«
Organizacijska varnostna pričakovanja pritiskajo na ekipo za vkrcanje, da pravilno uvede, konfigurira in spremlja programsko opremo znotraj poslovne arhitekture. »Kako zrele so vaše službe za odzivanje na incidente in obveščanje o kibernetskih grožnjah?« je vprašal. "Ali jim zaupate v svetu hibridnih oblakov, kjer lahko doživite zapleten napad z vdorom z bliskovito hitrostjo?"
»Ko imate prave ljudi, je postopek dobro razumljen,« se strinja Brumley. "Izdelek oblikujete s poglobljeno obrambo, zagotovite, da so vaše odvisnosti in programska oprema tretjih oseb posodobljeni, in uporabite sodobno tehniko, kot je fuzzing, da poiščete neznane ranljivosti."
Za Brumleyja privzeto varno pomeni oblikovanje varnosti, ki deluje glede na to, kako ljudje uporabljajo programsko opremo. "Obstajajo načela oblikovanja, ki zajemajo več načel - tako kot pri gradnji nebotičnika morate razmišljati o vsem, od strukturne podpore do klimatskih naprav," pojasnjuje.
Pri varnosti IT je potrebna sprememba paradigme
Dunham ugotavlja, da je bilo leto 2023 poln primerov Kje dirkaški pogoji obstajala nič dni - slabi igralci so ranljivosti odpravili in oborožili hitreje kot organizacije bi jih lahko popravile.
"Po vsem tem času se še vedno nekatere organizacije trudijo popraviti ranljivosti Log4J," poudarja.
Pravi, da morajo organizacije identificirati svojo površino napada, notranjo in zunanjo, ter temu primerno razvrstiti sredstva in upravljanje s tveganji, da bi lahko stopile v ospredje, ko se poveča tveganje izkoriščanja in napada, povezano z ranljivostjo.
S Paceovega vidika mora industrija varnosti IT doživeti spremembo paradigme glede tega, kako upošteva tveganje in kako mu najbolje razvrstiti prednost - to pa se lahko zgodi le z vpogledom v dobavno verigo. Delil je primer, v katerem "zelo velika organizacija" ni vedela, kakšne odvisnosti ima njen varnostni sistem, ko je vestno posodobila ta sistem. »Po posodobitvi je bil pregledan s skenerjem ranljivosti in ugotovljeno je bilo, da je nedavna kritična ranljivost Apache Struts je bil prisoten,« pravi. "Ta organizacija je zdaj resno tvegala njihovo organizacijo."
Varno oblikovanje v dobi IoT
John Gallagher, podpredsednik Viakoo Labs pri Viakoo, pravi, da je eden od ključnih izzivov načrtovanje varnosti v napravah z dolgo življenjsko dobo, kot so tisti deli interneta stvari (IoT), ki na začetku morda niso upoštevali varnosti.
»To zahteva obsežnejše testiranje in lahko zahteva nove inženirske vire,« pravi. "Prav tako je vgradnja novih varnostnih funkcij način za uvedbo novih varnostnih ranljivosti."
Gallagher pravi, da bi morali proizvajalci programske opreme sprejeti uporabo seznamov materialov programske opreme (SBOM) za hitrejše iskanje in odpravljanje ranljivosti. Opaža, da podjetja v nove izdelke vključujejo prakse varnega oblikovanja, ki bodo na koncu konkurenčni dejavnik na trgu.
»Poleg MFA in privilegijev omejenega dostopa se v izdelke načrtujejo drugi ukrepi, kot je odprava privzetih gesel in zagotavljanje mehanizmov za enostavnejšo in hitrejšo posodobitev vdelane programske opreme,« pravi.
Gallagher poudarja, da je izogibanje "varnosti skozi nejasnost" še eno načelo zasnove varnega. SBOM in odprtokodna programska oprema na primer zagotavljata varnost s preglednostjo kode programske opreme.
Pace pravi, da je eno od področij, ki ga najbolj veseli, saj se nanaša na privzeto in zasnovano varno, znatno boljša vidljivost v dobavni verigi programske opreme. "Ko je mogoče doseči to prepoznavnost, lahko začnemo resnično razumeti, kje so naše težave na temeljni ravni, in jim nato začnemo dajati prednost na smiseln način," pravi.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
- :ima
- : je
- :ne
- :kje
- $GOR
- 20
- 2023
- 2024
- 7
- a
- O meni
- sprejemljiv
- dostop
- ustrezno
- doseže
- akterji
- Poleg tega
- naslavljanje
- spreten
- po
- agencija
- se strinja
- Namerjen
- AIR
- vsi
- Prav tako
- an
- in
- in infrastrukturo
- Še ena
- Apache
- Arhitektura
- SE
- območja
- okoli
- AS
- Ocenjevanje
- Sredstva
- At
- napad
- Napadi
- Slab
- BE
- ker
- postajajo
- pred
- začetek
- počutje
- BEST
- Boljše
- večji
- Računov
- BLEMEČE
- Bolt
- izgradnjo
- Building
- poslovni
- podjetja
- by
- klic
- CAN
- voziček
- ki
- ceo
- verige
- verige
- izziv
- Cloud
- Koda
- Kodiranje
- Kolektivna
- komentar
- Podjetja
- konkurenčno
- kompleksna
- Koncept
- premislek
- meni
- Potrošniki
- stroški
- bi
- kritično
- ključnega pomena
- stranka
- cyber
- kibernetski napadi
- Cybersecurity
- cikel
- Datum
- David
- dan
- Dnevi
- odloča
- privzeto
- Defense
- odvisnosti
- globina
- Oblikovanje
- Načela oblikovanja
- zasnovan
- oblikovanje
- določi
- Razvijalci
- Razvoj
- naprave
- DID
- Direktor
- do
- ne
- navzdol
- lažje
- enostavno
- element
- odstranjevanje
- objem
- objame
- poudarja
- Inženiring
- okrepi
- vse
- točno
- Primer
- razburjen
- pričakovanja
- Doživetja
- Pojasni
- izkoriščanje
- izkoriščanje
- obsežen
- zunanja
- Dejstvo
- Faktor
- hitreje
- Feature
- Lastnosti
- februar
- Filtri
- Najdi
- požarni zidovi
- Osredotoča
- za
- gojenje
- temeljno
- pogosto
- iz
- spredaj
- v celoti
- funkcionalnost
- nadalje
- Prihodnost
- dobili
- Globalno
- Cilj
- dobro
- Igrišče
- imel
- se zgodi
- Imajo
- he
- več
- Kako
- Kako
- HTTPS
- Hybrid
- identificirati
- vpliv
- in
- nesreča
- odziv na incident
- vključujoč
- Poveča
- vedno
- Industrija
- Infrastruktura
- inherentno
- na začetku
- pobuda
- Intelligence
- notranji
- Internet
- Internet stvari
- v
- uvesti
- Uvedeno
- Internet stvari
- IT
- varnost
- ITS
- samo
- Ključne
- Otrok
- Vedite
- Labs
- velika
- Stopnja
- življenje
- življenski krog
- kot
- zaklepanje
- log4j
- Poglej
- Znamka
- IZDELA
- upravlja
- upravljanje
- Proizvajalci
- proizvodnja
- več
- tržnica
- materiali
- zrel
- Maj ..
- pomeni
- ukrepe
- Mehanizmi
- MZZ
- se seli
- sodobna
- monitor
- več
- Najbolj
- veliko
- več
- morajo
- Nimate
- Novo
- novi izdelki
- Opombe
- zdaj
- of
- ponujanje
- on
- Na vkrcanje
- enkrat
- ONE
- samo
- na
- odprite
- open source
- o odprtju
- odprtine
- operativno
- operacije
- or
- Da
- Organizacija
- organizacije
- Ostalo
- naši
- ven
- v lasti
- Pace
- paradigma
- del
- Stranke
- gesla
- Patch
- ljudje
- perspektiva
- ključno
- platon
- Platonova podatkovna inteligenca
- PlatoData
- točke
- potencialno
- vaje
- predstaviti
- Predsednik
- tlak
- preprečevanje
- Načela
- Prednost
- daje prednost
- privilegiji
- Proaktivna
- Težave
- Postopek
- Izdelek
- Izdelki
- pravilno
- predlagano
- zagotavljajo
- zagotavljanje
- dal
- Dajanje
- hitro
- precej
- nedavno
- zmanjša
- odseva
- povezane
- zahteva
- obvezna
- zahteva
- Raziskave
- viri
- Odgovor
- Odgovornost
- omejeno
- Revolucioniranje
- Pravica
- Tveganje
- upravljanje s tveganji
- robusten
- Roll
- s
- varna
- pravi
- zavarovanje
- varnost
- Varnostni ukrepi
- Občutek
- Storitve
- huda
- deli
- premik
- shouldnt
- bistveno
- nebotičnik
- Software
- Razvoj programske opreme
- dobavna veriga programske opreme
- rešitve
- nekaj
- vir
- spam
- span
- hitrost
- interesne skupine
- začne
- Še vedno
- strukturno
- Boriti se
- Uspešno
- taka
- dobavi
- dobavne verige
- Napajalne verige
- podpora
- Preverite
- Površina
- sistem
- sistemi
- ciljanje
- skupina
- tehnika
- Tehnologija
- Testiranje
- kot
- da
- O
- njihove
- Njih
- POTEM
- Tukaj.
- jih
- stvari
- mislim
- tretja
- tretje osebe
- tretjih oseb
- ta
- tisti,
- Grožnja
- skozi
- čas
- do
- proti
- tradicionalna
- Preglednost
- resnično
- Zaupajte
- poskusite
- Konec koncev
- opravi
- razumeli
- razumel
- Enota
- neznan
- dokler
- Nadgradnja
- posodobljeno
- uporaba
- uporabnik
- uporabo
- prodajalci
- Proti
- zelo
- vice
- Podpredsednica
- vidljivost
- Ranljivosti
- ranljivost
- je
- način..
- we
- Dobro
- so bili
- Kaj
- kdaj
- ki
- WHO
- bo
- z
- v
- delo
- deluje
- svet
- Vi
- Vaša rutina za
- zefirnet
- nič
