Phần mềm ưu tiên bảo mật ở mức cơ bản nhất có nghĩa là thiết kế hệ thống lấy bảo mật khách hàng làm mục tiêu chính chứ không phải là một tính năng bổ sung. Và khái niệm đó – bảo mật theo thiết kế – ngày càng trở nên quan trọng khi những kẻ tấn công bắt đầu nhắm mục tiêu vào chuỗi cung ứng thường xuyên hơn.
Thomas Pace, Giám đốc điều hành của NetRise, cho biết: “Họ hiểu rằng họ có thể có tác động lớn hơn bằng cách khai thác thành công chuỗi cung ứng”. Ông nói, bởi vì các giải pháp bảo mật truyền thống như EDR, tường lửa và bộ lọc thư rác đã hoạt động hiệu quả trong việc ngăn chặn các cuộc tấn công trực diện, nên những kẻ tấn công phải tìm kiếm các lỗ hổng sâu hơn trong chuỗi.
Và các hệ thống được dán lại với nhau chỉ cung cấp kiểu mở đó. David Brumley, Giám đốc điều hành của ForAllSecure cho biết: “Các cuộc tấn công mạng sẽ dễ dàng hơn khi các doanh nghiệp và nhà cung cấp cố gắng ‘tăng cường’ bảo mật sau sự việc. “Nó giống như việc đặt một dàn âm thanh nổi trên thị trường vào ô tô của bạn - nó hoạt động không chính xác.”
Để tăng cường bảo mật phần mềm trên toàn cầu, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã đề xuất một sáng kiến nhằm cách mạng hóa các hoạt động phát triển bằng cách áp dụng các nguyên tắc “an toàn theo thiết kế” trong vòng đời phát triển phần mềm. Nó phản ánh một sự thay đổi then chốt hướng tới các biện pháp an ninh chủ động.
Sản phẩm yêu cầu thông tin tập trung vào việc giải quyết các lỗ hổng phần mềm thường xuyên xảy ra, củng cố công nghệ vận hành và đánh giá tác động của các biện pháp bảo mật đối với chi phí. Lời kêu gọi bình luận kéo dài đến ngày 20 tháng 2024 năm XNUMX cũng nhấn mạnh trách nhiệm tập thể của các nhà sản xuất công nghệ và người tiêu dùng trong việc thúc đẩy một tương lai nơi công nghệ vốn dĩ đã an toàn và bảo mật.
Brumley giải thích: “Bảo mật theo thiết kế có nghĩa là bảo mật là một phần trong cách bạn xây dựng phần mềm từ đầu”. “Điều đó có nghĩa là nó mạnh hơn nhiều trước các cuộc tấn công.”
Mức độ bảo mật cơ bản
Ken Dunham, giám đốc mối đe dọa mạng tại Đơn vị nghiên cứu mối đe dọa Qualys, giải thích rằng thiết kế bảo mật bắt đầu từ kiến trúc và các nguyên tắc quản lý rủi ro trong hoạt động trước khi tổ chức chuyển sang hoặc bắt đầu sử dụng đám mây.
Ông nói: “Đây là một yếu tố quan trọng của cơ sở hạ tầng lai phức tạp, hiện đại. “Trong thế giới chia sẻ trách nhiệm, các tổ chức phải quyết định rủi ro nào có thể chấp nhận được để chia sẻ và có khả năng gặp rủi ro cao hơn với các bên thứ ba so với rủi ro do nội bộ sở hữu và quản lý hoàn toàn.”
Ông chỉ ra rằng vòng đời sản xuất phần mềm ngày càng phức tạp, với nhiều bên liên quan đều phải đảm bảo an toàn để giảm thiểu rủi ro. Dunham hỏi: “Các nhà phát triển của bạn, những người quan tâm đến chức năng và trải nghiệm người dùng, có thông thạo các nguyên tắc mã hóa an toàn, các cuộc tấn công hiện đại, các biện pháp đối phó bảo mật và SecOps không?”
Những kỳ vọng về bảo mật của tổ chức gây áp lực lên nhóm triển khai trong việc triển khai, định cấu hình và giám sát phần mềm trong kiến trúc doanh nghiệp một cách hợp lý. “Các dịch vụ ứng phó sự cố và mối đe dọa mạng của bạn đã trưởng thành đến mức nào?” anh ấy hỏi. “Bạn có tin tưởng họ trong một thế giới đám mây lai, nơi bạn có thể gặp phải một cuộc tấn công xâm nhập phức tạp với tốc độ chóng mặt không?”
“Một khi bạn có đúng người, quy trình sẽ được hiểu rõ,” Brumley đồng ý. “Bạn kiến trúc sản phẩm với khả năng bảo vệ chuyên sâu, đảm bảo các phần phụ thuộc và phần mềm bên thứ ba của bạn được cập nhật, đồng thời sử dụng kỹ thuật hiện đại như làm mờ để tìm các lỗ hổng chưa xác định.”
Đối với Brumley, bảo mật theo mặc định có nghĩa là thiết kế bảo mật phù hợp với cách mọi người sử dụng phần mềm. Ông giải thích: “Có những nguyên tắc thiết kế bao trùm nhiều nguyên tắc - giống như khi xây dựng một tòa nhà chọc trời, bạn cần nghĩ đến mọi thứ, từ hỗ trợ kết cấu đến điều hòa không khí”.
Cần có sự thay đổi mô hình trong bảo mật CNTT
Dunham lưu ý rằng năm 2023 là đầy đủ các ví dụ Ở đâu điều kiện cuộc đua tồn tại trong 0 ngày - các lỗ hổng đã được các tác nhân xấu đảo ngược và vũ khí hóa nhanh hơn các tổ chức có thể vá chúng.
Ông chỉ ra: “Vẫn có một số tổ chức đang gặp khó khăn trong việc vá các lỗ hổng Log4J sau ngần ấy thời gian.
Ông cho biết các tổ chức phải xác định bề mặt tấn công của mình, bên trong và bên ngoài, đồng thời ưu tiên quản lý tài sản và rủi ro phù hợp để vượt lên dẫn đầu khi rủi ro khai thác và tấn công liên quan đến lỗ hổng bảo mật tăng lên.
Theo quan điểm của Pace, ngành bảo mật CNTT phải trải qua một sự thay đổi mô hình về cách xem xét rủi ro và cách ưu tiên nó một cách tốt nhất - và điều này chỉ có thể xảy ra khi có tầm nhìn rõ ràng về chuỗi cung ứng. Anh ấy đã chia sẻ một ví dụ trong đó một “tổ chức rất lớn” không biết hệ thống bảo mật của mình phụ thuộc vào điều gì khi cập nhật hệ thống đó một cách nghiêm túc. “Sau khi cập nhật, nó đã được quét bởi một trình quét lỗ hổng và người ta xác định rằng bản cập nhật gần đây lỗ hổng nghiêm trọng của Apache Struts đã có mặt,” anh nói. “Bây giờ tổ chức này đã gây ra rủi ro nghiêm trọng cho tổ chức của họ.”
Thiết kế an toàn trong kỷ nguyên IoT
John Gallagher, phó chủ tịch Viakoo Labs tại Viakoo, cho biết một thách thức chính là thiết kế bảo mật cho các thiết bị có tuổi thọ lâu dài như một phần của Internet of Things (IoT) mà ban đầu có thể không có bảo mật như tiêu chí thiết kế.
Ông nói: “Điều này đòi hỏi phải thử nghiệm rộng rãi hơn và có thể cần các nguồn lực kỹ thuật mới”. “Tương tự như vậy, việc xây dựng các tính năng bảo mật mới là một cách để tạo ra các lỗ hổng bảo mật mới”.
Gallagher cho biết các nhà sản xuất phần mềm nên tận dụng việc sử dụng bảng kê vật liệu phần mềm (SBOM) để tìm và khắc phục các lỗ hổng nhanh chóng hơn. Ông lưu ý rằng các công ty đang kết hợp các phương pháp thiết kế an toàn vào các sản phẩm mới, điều này cuối cùng sẽ là một yếu tố cạnh tranh trên thị trường.
Ông cho biết: “Ngoài MFA và các đặc quyền truy cập bị hạn chế, các biện pháp khác như loại bỏ mật khẩu mặc định và cung cấp cơ chế để cập nhật chương trình cơ sở dễ dàng và nhanh chóng hơn đang được thiết kế thành các sản phẩm”.
Gallagher chỉ ra rằng việc tránh “bảo mật thông qua sự tối nghĩa” là một nguyên lý khác của thiết kế bảo mật. Ví dụ: SBOM và phần mềm nguồn mở cung cấp bảo mật bằng cách cung cấp tính minh bạch xung quanh mã phần mềm.
Pace cho biết một trong những lĩnh vực mà anh hào hứng nhất vì nó liên quan đến bảo mật theo mặc định và bảo mật theo thiết kế là khả năng hiển thị tốt hơn đáng kể trong chuỗi cung ứng phần mềm. Ông nói: “Sau khi đạt được khả năng hiển thị này, chúng ta có thể bắt đầu thực sự hiểu vấn đề của mình nằm ở đâu từ cấp độ cơ bản và sau đó bắt đầu ưu tiên chúng theo cách hợp lý”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 20
- 2023
- 2024
- 7
- a
- Giới thiệu
- chấp nhận được
- truy cập
- cho phù hợp
- đạt được
- diễn viên
- Ngoài ra
- giải quyết
- lão luyện
- Sau
- cơ quan
- đồng ý
- nhằm vào
- KHÔNG KHÍ
- Tất cả
- Ngoài ra
- an
- và
- và cơ sở hạ tầng
- Một
- Apache
- kiến trúc
- LÀ
- khu vực
- xung quanh
- AS
- Đánh giá
- Tài sản
- At
- tấn công
- Các cuộc tấn công
- Bad
- BE
- bởi vì
- trở thành
- trước
- bắt đầu
- được
- BEST
- Hơn
- lớn hơn
- Hóa đơn
- Rực rỡ
- Bolt
- xây dựng
- Xây dựng
- kinh doanh
- các doanh nghiệp
- by
- cuộc gọi
- CAN
- xe hơi
- mà
- giám đốc điều hành
- chuỗi
- chuỗi
- thách thức
- đám mây
- mã
- Lập trình
- Tập thể
- bình luận
- Các công ty
- cạnh tranh
- phức tạp
- khái niệm
- xem xét
- xem xét
- Người tiêu dùng
- Chi phí
- có thể
- quan trọng
- quan trọng
- khách hàng
- không gian mạng
- Tấn công mạng
- An ninh mạng
- chu kỳ
- Ngày
- David
- ngày
- Ngày
- quyết định
- Mặc định
- Phòng thủ
- phụ thuộc
- chiều sâu
- Thiết kế
- nguyên tắc thiết kế
- thiết kế
- thiết kế
- xác định
- phát triển
- Phát triển
- Thiết bị (Devices)
- ĐÃ LÀM
- Giám đốc
- do
- doesn
- xuống
- dễ dàng hơn
- dễ dàng
- thành phần
- loại bỏ
- ôm hôn
- ôm hôn
- nhấn mạnh
- Kỹ Sư
- nâng cao
- tất cả mọi thứ
- chính xác
- ví dụ
- kích thích
- mong đợi
- Kinh nghiệm
- Giải thích
- khai thác
- khai thác
- mở rộng
- ngoài
- thực tế
- yếu tố
- nhanh hơn
- Đặc tính
- Tính năng
- Tháng Hai
- bộ lọc
- Tìm kiếm
- tường lửa
- tập trung
- Trong
- bồi dưỡng
- nền tảng
- thường xuyên
- từ
- trước mặt
- đầy đủ
- chức năng
- xa hơn
- tương lai
- được
- Toàn cầu
- mục tiêu
- tốt
- Mặt đất
- có
- xảy ra
- Có
- he
- cao hơn
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- Hỗn hợp
- xác định
- Va chạm
- in
- sự cố
- ứng phó sự cố
- kết hợp
- Tăng
- lên
- ngành công nghiệp
- Cơ sở hạ tầng
- vốn có
- ban đầu
- Sáng kiến
- Sự thông minh
- nội bộ
- Internet
- Internet của sự vật
- trong
- giới thiệu
- giới thiệu
- iốt
- IT
- nó bảo mật
- ITS
- chỉ
- Key
- Loại
- Biết
- Phòng thí nghiệm
- lớn
- Cấp
- Cuộc sống
- vòng đời
- Lượt thích
- khóa
- log4j
- Xem
- làm cho
- LÀM CHO
- quản lý
- quản lý
- Các nhà sản xuất
- sản xuất
- nhiều
- thị trường
- nguyên vật liệu
- trưởng thành
- Có thể..
- có nghĩa
- các biện pháp
- cơ chế
- MFA
- di cư
- hiện đại
- Màn Hình
- chi tiết
- hầu hết
- nhiều
- nhiều
- phải
- Cần
- Mới
- sản phẩm mới
- Chú ý
- tại
- of
- cung cấp
- on
- Tiếp nhận nhận việc
- hàng loạt
- ONE
- có thể
- trên
- mở
- mã nguồn mở
- mở
- lỗ mở
- hoạt động
- Hoạt động
- or
- gọi món
- cơ quan
- tổ chức
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- sở hữu
- Hòa bình
- mô hình
- một phần
- các bên tham gia
- Mật khẩu
- Vá
- người
- quan điểm
- quan trọng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điểm
- có khả năng
- thực hành
- trình bày
- Chủ tịch
- áp lực
- ngăn chặn
- nguyên tắc
- Ưu tiên
- ưu tiên
- đặc quyền
- Chủ động
- vấn đề
- quá trình
- Sản phẩm
- Sản phẩm
- đúng
- đề xuất
- cho
- cung cấp
- đặt
- Đặt
- Mau
- hơn
- gần đây
- giảm
- phản ánh
- liên quan
- yêu cầu
- cần phải
- đòi hỏi
- nghiên cứu
- Thông tin
- phản ứng
- trách nhiệm
- hạn chế
- Cách mạng
- ngay
- Nguy cơ
- quản lý rủi ro
- mạnh mẽ
- Lăn
- s
- an toàn
- nói
- an toàn
- an ninh
- Các biện pháp an ninh
- ý nghĩa
- DỊCH VỤ
- nghiêm trọng
- chia sẻ
- thay đổi
- nên
- đáng kể
- tòa nhà chọc trời
- Phần mềm
- phát triển phần mềm
- chuỗi cung ứng phần mềm
- Giải pháp
- một số
- nguồn
- thư rác
- nhịp cầu
- tốc độ
- các bên liên quan
- bắt đầu
- Vẫn còn
- cấu trúc
- Đấu tranh
- Thành công
- như vậy
- cung cấp
- chuỗi cung ứng
- Chuỗi cung ứng
- hỗ trợ
- chắc chắn
- Bề mặt
- hệ thống
- hệ thống
- nhắm mục tiêu
- nhóm
- kỹ thuật
- Công nghệ
- Kiểm tra
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- Đó
- họ
- điều
- nghĩ
- Thứ ba
- các bên thứ ba
- của bên thứ ba
- điều này
- những
- mối đe dọa
- Thông qua
- thời gian
- đến
- đối với
- truyền thống
- Minh bạch
- thực sự
- NIỀM TIN
- thử
- Cuối cùng
- trải qua
- hiểu
- hiểu
- đơn vị
- không xác định
- cho đến khi
- Cập nhật
- cập nhật
- sử dụng
- người sử dang
- sử dụng
- nhà cung cấp
- Versus
- rất
- phó
- Phó Chủ Tịch
- khả năng hiển thị
- Lỗ hổng
- dễ bị tổn thương
- là
- Đường..
- we
- TỐT
- là
- Điều gì
- khi nào
- cái nào
- CHÚNG TÔI LÀ
- sẽ
- với
- ở trong
- Công việc
- công trinh
- thế giới
- Bạn
- trên màn hình
- zephyrnet
- không