ซอฟต์แวร์ที่จัดลำดับความสำคัญด้านความปลอดภัยในระดับพื้นฐานที่สุดหมายถึงการออกแบบระบบโดยคำนึงถึงความปลอดภัยของลูกค้าเป็นเป้าหมายหลักแทนที่จะเป็นคุณลักษณะที่เสริมเข้ามา และแนวคิดดังกล่าว — ปลอดภัยด้วยการออกแบบ — กำลังมีความสำคัญมากขึ้นเรื่อยๆ เมื่อผู้โจมตีเริ่มกำหนดเป้าหมายไปที่ห่วงโซ่อุปทานบ่อยขึ้น
“พวกเขาเข้าใจว่าพวกเขาสามารถสร้างผลกระทบที่ใหญ่กว่าได้หากประสบความสำเร็จในการใช้ประโยชน์จากห่วงโซ่อุปทาน” โทมัส เพซ ซีอีโอของ NetRise กล่าว เนื่องจากโซลูชันการรักษาความปลอดภัยแบบเดิม เช่น EDR ไฟร์วอลล์ และตัวกรองสแปม มีประสิทธิภาพในการป้องกันการโจมตีแบบเผชิญหน้า ผู้โจมตีจึงต้องมองหาช่องเปิดเพิ่มเติมในห่วงโซ่
และระบบที่นำมาวางรวมกันทำให้เกิดช่องเปิดแบบนั้น “การโจมตีทางไซเบอร์จะง่ายขึ้นเมื่อธุรกิจและผู้ขายพยายาม 'โจมตี' การรักษาความปลอดภัยหลังจากเกิดเหตุการณ์ดังกล่าว” David Brumley ซีอีโอของ ForAllSecure กล่าว “มันเหมือนกับการใส่เครื่องเสียงติดตลาดหลังการขายในรถของคุณ เพียงแต่มันไม่ได้ผลดีนัก”
เพื่อเพิ่มความปลอดภัยของซอฟต์แวร์ทั่วโลก หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) เสนอความคิดริเริ่มที่มุ่งปฏิวัติแนวทางปฏิบัติด้านการพัฒนาโดยนำหลักการ "ปลอดภัยด้วยการออกแบบ" มาใช้ในวงจรชีวิตการพัฒนาซอฟต์แวร์ ซึ่งสะท้อนให้เห็นถึงการเปลี่ยนแปลงครั้งสำคัญต่อมาตรการรักษาความปลอดภัยเชิงรุก
พื้นที่ ต้องการข้อมูล มุ่งเน้นไปที่การจัดการช่องโหว่ของซอฟต์แวร์ที่เกิดซ้ำ การเสริมสร้างเทคโนโลยีการดำเนินงาน และการประเมินผลกระทบของแนวทางปฏิบัติที่ปลอดภัยต่อต้นทุน การเรียกร้องให้แสดงความคิดเห็น ซึ่งเปิดรับจนถึงวันที่ 20 กุมภาพันธ์ 2024 ยังเน้นย้ำถึงความรับผิดชอบร่วมกันของผู้ผลิตเทคโนโลยีและผู้บริโภคในการส่งเสริมอนาคตที่เทคโนโลยีมีความปลอดภัยโดยเนื้อแท้
“การรักษาความปลอดภัยด้วยการออกแบบหมายความว่าการรักษาความปลอดภัยเป็นส่วนหนึ่งของวิธีสร้างซอฟต์แวร์ตั้งแต่เริ่มต้น” Brumley อธิบาย “นั่นหมายความว่ามันแข็งแกร่งกว่ามากจากการโจมตี”
ระดับความปลอดภัยขั้นพื้นฐาน
Ken Dunham ผู้อำนวยการด้านภัยคุกคามทางไซเบอร์ที่ Qualys Threat Research Unit อธิบายว่าการรักษาความปลอดภัยด้วยการออกแบบเริ่มต้นด้วยสถาปัตยกรรมและหลักการจัดการความเสี่ยงในการดำเนินงาน ก่อนที่องค์กรจะย้ายไปยังหรือเริ่มใช้ระบบคลาวด์
“นี่เป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานไฮบริดที่ทันสมัยและซับซ้อน” เขากล่าว “ในโลกที่มีความรับผิดชอบร่วมกัน องค์กรต่างๆ จะต้องตัดสินใจว่าจะแบ่งปันความเสี่ยงใดที่ยอมรับได้ และอาจมีความเสี่ยงสูงกว่ากับบุคคลที่สาม เทียบกับความเสี่ยงที่เจ้าของและจัดการโดยสมบูรณ์ภายในองค์กร”
เขาชี้ให้เห็นว่าวงจรการผลิตซอฟต์แวร์มีความซับซ้อนมากขึ้น โดยมีผู้มีส่วนได้ส่วนเสียจำนวนมากที่ต้องปลอดภัยเพื่อลดความเสี่ยง Dunham ถามว่า “นักพัฒนาของคุณที่ใส่ใจเกี่ยวกับฟังก์ชันการทำงานและประสบการณ์ผู้ใช้ เชี่ยวชาญในหลักการเขียนโค้ดที่ปลอดภัย การโจมตียุคใหม่ มาตรการตอบโต้ด้านความปลอดภัย และ SecOps หรือไม่”
ความคาดหวังด้านความปลอดภัยขององค์กรสร้างแรงกดดันให้กับทีมเตรียมความพร้อมในการเปิดตัว กำหนดค่า และตรวจสอบซอฟต์แวร์ภายในสถาปัตยกรรมธุรกิจอย่างเหมาะสม “การตอบสนองต่อเหตุการณ์และบริการข่าวกรองภัยคุกคามทางไซเบอร์ของคุณมีความเป็นผู้ใหญ่แค่ไหน” เขาถาม. “คุณเชื่อใจพวกเขาในโลกคลาวด์แบบไฮบริดที่คุณอาจถูกโจมตีด้วยการบุกรุกที่ซับซ้อนด้วยความเร็วสูงหรือไม่”
“เมื่อคุณมีคนที่เหมาะสมแล้ว กระบวนการต่างๆ ก็เป็นที่เข้าใจกันดี” บรัมลีย์เห็นด้วย “คุณออกแบบผลิตภัณฑ์ด้วยการป้องกันในเชิงลึก ตรวจสอบให้แน่ใจว่าการขึ้นต่อกันและซอฟต์แวร์บุคคลที่สามของคุณทันสมัย และใช้เทคนิคสมัยใหม่ เช่น การคลุมเครือเพื่อค้นหาช่องโหว่ที่ไม่รู้จัก”
สำหรับ Brumley การรักษาความปลอดภัยตามค่าเริ่มต้นหมายถึงการออกแบบความปลอดภัยที่ทำงานร่วมกับวิธีที่ผู้คนใช้ซอฟต์แวร์ “มีหลักการออกแบบที่ครอบคลุมหลักการหลายประการ เช่นเดียวกับการสร้างตึกระฟ้า คุณต้องคิดถึงทุกสิ่งทุกอย่างตั้งแต่การรองรับโครงสร้างไปจนถึงเครื่องปรับอากาศ” เขาอธิบาย
การเปลี่ยนกระบวนทัศน์ที่จำเป็นในการรักษาความปลอดภัยด้านไอที
Dunham ตั้งข้อสังเกตว่าปี 2023 เป็นปี เต็มไปด้วยตัวอย่าง ที่ไหน สภาพการแข่งขัน ดำรงอยู่เป็นเวลาศูนย์วัน — ช่องโหว่ถูกย้อนกลับและติดอาวุธโดยผู้ไม่ประสงค์ดีเร็วกว่า องค์กรสามารถแก้ไขได้.
“ยังคงมีบางองค์กรที่พยายามแก้ไขช่องโหว่ของ Log4J ตลอดเวลานี้” เขาชี้ให้เห็น
เขากล่าวว่าองค์กรต่างๆ จะต้องระบุพื้นผิวการโจมตีทั้งภายในและภายนอก และจัดลำดับความสำคัญของสินทรัพย์และการบริหารความเสี่ยงตามนั้น เพื่อที่จะได้เผชิญหน้าเมื่อความเสี่ยงในการแสวงหาประโยชน์และการโจมตีที่เกี่ยวข้องกับช่องโหว่เพิ่มขึ้น
จากมุมมองของ Pace อุตสาหกรรมการรักษาความปลอดภัยด้านไอทีจะต้องผ่านการเปลี่ยนแปลงกระบวนทัศน์ในการพิจารณาความเสี่ยงและวิธีจัดลำดับความสำคัญให้ดีที่สุด และสิ่งนี้สามารถเกิดขึ้นได้ก็ต่อเมื่อมีการมองเห็นห่วงโซ่อุปทานเท่านั้น เขาแบ่งปันตัวอย่างที่ "องค์กรขนาดใหญ่มาก" ไม่รู้ว่าระบบรักษาความปลอดภัยของตนต้องพึ่งพาอะไรเมื่ออัปเดตระบบนั้นตามหน้าที่ “หลังจากการอัพเดตก็ถูกสแกนโดยเครื่องสแกนช่องโหว่และพบว่าล่าสุด ช่องโหว่ที่สำคัญของ Apache Struts มีอยู่” เขากล่าว “ตอนนี้องค์กรนี้ได้นำความเสี่ยงร้ายแรงมาสู่องค์กรของพวกเขา”
การออกแบบที่ปลอดภัยในยุค IoT
John Gallagher รองประธานของ Viakoo Labs ที่ Viakoo กล่าวว่าความท้าทายสำคัญประการหนึ่งคือการออกแบบความปลอดภัยให้กับอุปกรณ์ที่มีอายุการใช้งานยาวนาน เช่น ส่วนหนึ่งของ Internet of Things (IoT) ที่อาจไม่มีการรักษาความปลอดภัยในการออกแบบในตอนแรก
“การดำเนินการนี้ต้องมีการทดสอบที่ครอบคลุมมากขึ้น และอาจต้องใช้ทรัพยากรทางวิศวกรรมใหม่ๆ” เขากล่าว “ในทำนองเดียวกัน การสร้างฟีเจอร์ความปลอดภัยใหม่ๆ ก็เป็นหนทางที่จะทำให้เกิดช่องโหว่ด้านความปลอดภัยใหม่ๆ”
Gallagher กล่าวว่าผู้ผลิตซอฟต์แวร์ควรยอมรับการใช้รายการวัสดุซอฟต์แวร์ (SBOM) เพื่อค้นหาและแก้ไขช่องโหว่ได้รวดเร็วยิ่งขึ้น เขาตั้งข้อสังเกตว่าบริษัทต่างๆ กำลังผสมผสานการออกแบบที่ปลอดภัยเข้ากับผลิตภัณฑ์ใหม่ ซึ่งท้ายที่สุดแล้วจะเป็นปัจจัยด้านการแข่งขันในตลาด
“นอกเหนือจาก MFA และสิทธิ์การเข้าถึงแบบจำกัดแล้ว มาตรการอื่นๆ เช่น การกำจัดรหัสผ่านเริ่มต้น และการจัดหากลไกในการอัพเดตเฟิร์มแวร์ที่ง่ายและรวดเร็วยิ่งขึ้นกำลังได้รับการออกแบบในผลิตภัณฑ์” เขากล่าว
การหลีกเลี่ยง “การรักษาความปลอดภัยผ่านความสับสน” เป็นอีกหนึ่งหลักการของการรักษาความปลอดภัยด้วยการออกแบบ Gallagher ชี้ให้เห็น ตัวอย่างเช่น SBOM และซอฟต์แวร์โอเพ่นซอร์ส มอบความปลอดภัยโดยให้ความโปร่งใสเกี่ยวกับโค้ดซอฟต์แวร์
Pace กล่าวว่าสิ่งหนึ่งที่เขารู้สึกตื่นเต้นมากที่สุดเกี่ยวกับการรักษาความปลอดภัยตามค่าเริ่มต้นและการรักษาความปลอดภัยด้วยการออกแบบคือการมองเห็นที่ดีขึ้นอย่างมากในห่วงโซ่อุปทานของซอฟต์แวร์ “เมื่อบรรลุการมองเห็นนี้แล้ว เราก็จะเริ่มเข้าใจอย่างแท้จริงว่าปัญหาของเราอยู่ที่ไหนจากระดับพื้นฐาน จากนั้นจึงเริ่มจัดลำดับความสำคัญของปัญหาเหล่านั้นในลักษณะที่สมเหตุสมผล” เขากล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 20
- 2023
- 2024
- 7
- a
- เกี่ยวกับเรา
- ยอมรับได้
- เข้า
- ตาม
- ประสบความสำเร็จ
- นักแสดง
- นอกจากนี้
- ที่อยู่
- เก่ง
- หลังจาก
- บริษัท ตัวแทน
- ตกลง
- มีวัตถุประสงค์เพื่อ
- AIR
- ทั้งหมด
- ด้วย
- an
- และ
- และโครงสร้างพื้นฐาน
- อื่น
- อาปาเช่
- สถาปัตยกรรม
- เป็น
- พื้นที่
- รอบ
- AS
- การประเมิน
- สินทรัพย์
- At
- โจมตี
- การโจมตี
- ไม่ดี
- BE
- เพราะ
- สมควร
- ก่อน
- เริ่ม
- กำลัง
- ที่ดีที่สุด
- ดีกว่า
- ที่ใหญ่กว่า
- ธนบัตร
- สว่าง
- สายฟ้า
- สร้าง
- การก่อสร้าง
- ธุรกิจ
- ธุรกิจ
- by
- โทรศัพท์
- CAN
- รถ
- ซึ่ง
- ผู้บริหารสูงสุด
- โซ่
- ห่วงโซ่
- ท้าทาย
- เมฆ
- รหัส
- การเข้ารหัส
- โดยรวม
- ความเห็น
- บริษัท
- การแข่งขัน
- ซับซ้อน
- แนวคิด
- การพิจารณา
- พิจารณา
- ผู้บริโภค
- ค่าใช้จ่าย
- ได้
- วิกฤติ
- สำคัญมาก
- ลูกค้า
- ไซเบอร์
- cyberattacks
- cybersecurity
- วงจร
- วันที่
- เดวิด
- วัน
- วัน
- ตัดสินใจ
- ค่าเริ่มต้น
- ป้องกัน
- การอ้างอิง
- ความลึก
- ออกแบบ
- หลักการออกแบบ
- ได้รับการออกแบบ
- การออกแบบ
- แน่นอน
- นักพัฒนา
- พัฒนาการ
- อุปกรณ์
- DID
- ผู้อำนวยการ
- do
- doesn
- ลง
- ง่ายดาย
- อย่างง่ายดาย
- ธาตุ
- การกำจัด
- โอบกอด
- กอด
- เน้น
- ชั้นเยี่ยม
- เสริม
- ทุกอย่าง
- เผง
- ตัวอย่าง
- ตื่นเต้น
- ความคาดหวัง
- ประสบการณ์
- อธิบาย
- การแสวงหาผลประโยชน์
- การใช้ประโยชน์จาก
- กว้างขวาง
- ภายนอก
- ความจริง
- ปัจจัย
- เร็วขึ้น
- ลักษณะ
- คุณสมบัติ
- กุมภาพันธ์
- ฟิลเตอร์
- หา
- ไฟร์วอลล์
- มุ่งเน้นไปที่
- สำหรับ
- อุปถัมภ์
- พื้นฐาน
- มัก
- ราคาเริ่มต้นที่
- ด้านหน้า
- อย่างเต็มที่
- ฟังก์ชั่น
- ต่อไป
- อนาคต
- ได้รับ
- ทั่วโลก
- เป้าหมาย
- ดี
- พื้น
- มี
- เกิดขึ้น
- มี
- he
- สูงกว่า
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- เป็นลูกผสม
- แยกแยะ
- ส่งผลกระทบ
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- ผสมผสาน
- เพิ่มขึ้น
- ขึ้น
- อุตสาหกรรม
- โครงสร้างพื้นฐาน
- อย่างโดยเนื้อแท้
- ในขั้นต้น
- Initiative
- Intelligence
- ภายใน
- อินเทอร์เน็ต
- อินเทอร์เน็ตของสิ่งที่
- เข้าไป
- แนะนำ
- แนะนำ
- IOT
- IT
- ความปลอดภัย
- ITS
- เพียงแค่
- คีย์
- ชนิด
- ทราบ
- ห้องปฏิบัติการ
- ใหญ่
- ชั้น
- ชีวิต
- วงจรชีวิต
- กดไลก์
- ล็อค
- log4j
- ดู
- ทำ
- ทำให้
- การจัดการ
- การจัดการ
- ผู้ผลิตยา
- การผลิต
- หลาย
- ตลาด
- วัสดุ
- เป็นผู้ใหญ่
- อาจ..
- วิธี
- มาตรการ
- กลไก
- ไอ้เวรตะไล
- โยกย้าย
- ทันสมัย
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- มาก
- หลาย
- ต้อง
- จำเป็นต้อง
- ใหม่
- ผลิตภัณฑ์ใหม่
- หมายเหตุ / รายละเอียดเพิ่มเติม
- ตอนนี้
- of
- การเสนอ
- on
- การดูแลพนักงานใหม่
- ครั้งเดียว
- ONE
- เพียง
- ไปยัง
- เปิด
- โอเพนซอร์ส
- การเปิด
- เปิด
- การดำเนินงาน
- การดำเนินการ
- or
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- ของเรา
- ออก
- เป็นเจ้าของ
- ก้าว
- ตัวอย่าง
- ส่วนหนึ่ง
- คู่กรณี
- รหัสผ่าน
- ปะ
- คน
- มุมมอง
- เป็นจุดสำคัญ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ที่อาจเกิดขึ้น
- การปฏิบัติ
- นำเสนอ
- ประธาน
- ความดัน
- การป้องกัน
- หลักการ
- จัดลำดับความสำคัญ
- จัดลำดับความสำคัญ
- สิทธิ์
- เชิงรุก
- ปัญหาที่เกิดขึ้น
- กระบวนการ
- ผลิตภัณฑ์
- ผลิตภัณฑ์
- อย่างถูกต้อง
- เสนอ
- ให้
- การให้
- ใส่
- วาง
- อย่างรวดเร็ว
- ค่อนข้าง
- เมื่อเร็ว ๆ นี้
- ลด
- สะท้อนให้เห็นถึง
- ที่เกี่ยวข้อง
- ต้องการ
- จำเป็นต้องใช้
- ต้อง
- การวิจัย
- แหล่งข้อมูล
- คำตอบ
- ความรับผิดชอบ
- หวงห้าม
- ปฏิวัติ
- ขวา
- ความเสี่ยง
- การบริหาจัดการความเสี่ยง
- แข็งแรง
- ม้วน
- s
- ปลอดภัย
- พูดว่า
- ปลอดภัย
- ความปลอดภัย
- มาตรการรักษาความปลอดภัย
- ความรู้สึก
- บริการ
- รุนแรง
- ที่ใช้ร่วมกัน
- เปลี่ยน
- น่า
- อย่างมีความหมาย
- ตึกระฟ้า
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- ห่วงโซ่อุปทานซอฟต์แวร์
- โซลูชัน
- บาง
- แหล่ง
- สแปม
- ระยะ
- ความเร็ว
- ผู้มีส่วนได้เสีย
- เริ่มต้น
- ยังคง
- โครงสร้าง
- การดิ้นรน
- ประสบความสำเร็จ
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- ซัพพลายเชน
- สนับสนุน
- แน่ใจ
- พื้นผิว
- ระบบ
- ระบบ
- กำหนดเป้าหมาย
- ทีม
- เทคนิค
- เทคโนโลยี
- การทดสอบ
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- พวกเขา
- สิ่ง
- คิด
- ที่สาม
- บุคคลที่สาม
- ของบุคคลที่สาม
- นี้
- เหล่านั้น
- การคุกคาม
- ตลอด
- เวลา
- ไปยัง
- ไปทาง
- แบบดั้งเดิม
- ความโปร่งใส
- อย่างแท้จริง
- วางใจ
- ลอง
- ในที่สุด
- ได้รับ
- เข้าใจ
- เข้าใจ
- หน่วย
- ไม่ทราบ
- จนกระทั่ง
- บันทึก
- ให้กับคุณ
- ใช้
- ผู้ใช้งาน
- การใช้
- ผู้ขาย
- กับ
- มาก
- รอง
- Vice President
- ความชัดเจน
- ช่องโหว่
- ความอ่อนแอ
- คือ
- ทาง..
- we
- ดี
- คือ
- อะไร
- เมื่อ
- ที่
- WHO
- จะ
- กับ
- ภายใน
- งาน
- โรงงาน
- โลก
- คุณ
- ของคุณ
- ลมทะเล
- เป็นศูนย์