在最基本的层面上优先考虑安全性的软件意味着在设计系统时将客户安全作为关键目标,而不是附加功能。随着攻击者开始更频繁地针对供应链,这一概念(设计安全)变得越来越重要。
NetRise 首席执行官托马斯·佩斯 (Thomas Pace) 表示:“他们知道,通过成功利用供应链,他们可以产生更大的影响。”他说,由于 EDR、防火墙和垃圾邮件过滤器等传统安全解决方案已经能够很好地防止正面攻击,因此攻击者必须在链条的更上游寻找漏洞。
粘贴在一起的系统就提供了这种开口。 ForAllSecure 首席执行官 David Brumley 表示:“当企业和供应商试图在事后‘加强’安全时,网络攻击就会变得更容易。” “这就像在你的车里装了一个售后音响——它只是不能完全正常工作。”
为了增强全球软件安全性,网络安全和基础设施安全局 (CISA) 提出了一项倡议,旨在通过在软件开发生命周期中采用“设计安全”原则来彻底改变开发实践。它反映了向主动安全措施的关键转变。
索取资料 重点关注解决反复出现的软件漏洞、强化运营技术以及评估安全实践对成本的影响。征求意见截止日期为 20 年 2024 月 XNUMX 日,该征求意见还强调了技术制造商和消费者在培育技术本质安全的未来方面的集体责任。
“设计上的安全意味着安全是从头开始构建软件的一部分,”Brumley 解释道。 “这意味着它对攻击的抵抗能力要强得多。”
基础安全级别
Qualys 威胁研究部门的网络威胁总监 Ken Dunham 解释说,在组织迁移到或开始使用云之前,安全设计始于运营中的架构和风险管理原则。
“这是现代复杂混合基础设施的关键要素,”他说。 “在共同责任的世界中,组织必须决定哪些风险可以接受与第三方分担,哪些风险可能更高,而不是由内部完全拥有和管理的风险。”
他指出,软件制造的生命周期越来越复杂,许多利益相关者都必须保持安全以降低风险。 Dunham 问道:“关心功能和用户体验的开发人员是否擅长安全编码原则、现代攻击、安全对策和 SecOps?”
组织的安全期望给入职团队带来了压力,要求他们在业务架构中正确部署、配置和监控软件。 “你们的事件响应和网络威胁情报服务有多成熟?”他问。 “在混合云世界中,您可能会以极快的速度遭受复杂的入侵攻击,您是否信任他们?”
“一旦找到了合适的人,整个流程就很好理解了,”布鲁姆利表示同意。 “您可以通过深度防御来构建产品,确保您的依赖项和第三方软件是最新的,并使用模糊测试等现代技术来查找未知漏洞。”
对于 Brumley 来说,默认安全意味着安全设计符合人们使用软件的方式。 “有些设计原则涵盖了多种原则——就像建造摩天大楼时一样,你需要考虑从结构支撑到空调的一切,”他解释道。
IT 安全需要转变范式
邓纳姆指出,2023 年是 充满了例子 哪里 比赛条件 存在了零天——漏洞被不良行为者逆转并武器化的速度比 组织可以修补它们.
“这么长时间以来,仍有一些组织在努力修复 Log4J 漏洞,”他指出。
他表示,组织必须确定其内部和外部的攻击面,并相应地确定资产和风险管理的优先级,以便在与漏洞相关的利用和攻击风险增加时脱颖而出。
从 Pace 的角度来看,IT 安全行业必须在如何考虑风险以及如何最好地确定风险优先级方面经历范式转变,而这只有在供应链可见性的情况下才能实现。他分享了一个例子,其中一个“非常大的组织”在尽职尽责地更新该系统时不知道其安全系统有哪些依赖关系。 “更新后,通过漏洞扫描程序进行了扫描,确定最近的漏洞 Apache Struts 严重漏洞 当时就在场,”他说。 “现在这个组织给他们的组织带来了严重的风险。”
物联网时代的安全设计
Viakoo 实验室副总裁 John Gallagher 表示,一个关键挑战是为长寿命设备(例如物联网 (IoT) 的那些部分)设计安全性,这些设备最初可能没有将安全性作为设计考虑因素。
“这需要更广泛的测试,并且可能需要新的工程资源,”他说。 “同样,构建新的安全功能也是引入新安全漏洞的一种方式。”
加拉格尔表示,软件制造商应该拥抱使用软件物料清单(SBOM)来更快地发现和修复漏洞。他指出,公司正在将安全设计实践融入新产品中,这最终将成为市场上的竞争因素。
“除了 MFA 和限制访问权限之外,产品中还设计了其他措施,例如消除默认密码和提供更轻松、更快速地更新固件的机制,”他说。
加拉格尔指出,避免“通过模糊实现安全”是设计安全的另一个原则。例如,SBOM 和开源软件通过提供软件代码的透明度来提供安全性。
佩斯表示,他最感兴趣的领域之一是软件供应链的可视性显着提高,因为这与默认安全和设计安全有关。 “一旦实现这种可见性,我们就可以开始从根本上真正了解我们的问题出在哪里,然后开始以有意义的方式优先考虑它们,”他说。
- :具有
- :是
- :不是
- :在哪里
- $UP
- 20
- 2023
- 2024
- 7
- a
- 关于
- 可接受
- ACCESS
- 因此
- 实现
- 演员
- 增加
- 解决
- 拿手
- 后
- 机构
- 同意
- 针对
- 加拿大航空
- 所有类型
- 还
- an
- 和
- 和基础设施
- 另一个
- 阿帕奇
- 架构
- 保健
- 地区
- 围绕
- AS
- 评估
- 办公室文员:
- At
- 攻击
- 攻击
- 坏
- BE
- 因为
- 成为
- before
- 开始
- 作为
- 最佳
- 更好
- 大
- 票据
- 炽烈
- 博尔特
- 建立
- 建筑物
- 商业
- 企业
- by
- 呼叫
- CAN
- 汽车
- 关心
- CEO
- 链
- 链
- 挑战
- 云端技术
- 码
- 编码
- 集体
- 评论
- 公司
- 竞争的
- 复杂
- 概念
- 考虑
- 考虑
- 消费者
- 成本
- 可以
- 危急
- 关键
- 顾客
- 网络
- 网络攻击
- 网络安全
- 周期
- 日期
- David
- 天
- 一年中的
- 决定
- 默认
- 国防
- 依赖
- 深度
- 设计
- 设计原则
- 设计
- 设计
- 决心
- 开发
- 研发支持
- 设备
- DID
- 副总经理
- do
- 不会
- 向下
- 更容易
- 容易
- element
- 消除
- 拥抱
- 拥抱
- 强调
- 工程师
- 提高
- 一切
- 究竟
- 例子
- 兴奋
- 期望
- 体验
- 介绍
- 开发
- 利用
- 广泛
- 外部
- 事实
- 因素
- 快
- 专栏
- 特征
- 二月
- 过滤器
- 找到最适合您的地方
- 防火墙
- 重点
- 针对
- 培养
- 基础
- 频繁
- 止
- 前
- 充分
- 功能
- 进一步
- 未来
- 得到
- 在全球范围内
- 目标
- 非常好
- 陆运
- 民政事务总署
- 发生
- 有
- he
- 更高
- 创新中心
- How To
- HTTPS
- 杂交种
- 鉴定
- 影响力故事
- in
- 事件
- 事件响应
- 结合
- 增加
- 日益
- 行业中的应用:
- 基础设施
- 本质
- 原来
- 倡议
- 房源搜索
- 内部
- 网络
- 物联网
- 成
- 介绍
- 介绍
- 物联网
- IT
- 它的安全性
- 它的
- 只是
- 键
- 类
- 知道
- 实验室
- 大
- Level
- 生活
- 生命周期
- 喜欢
- 锁
- 日志4j
- 看
- 使
- 制作
- 管理
- 颠覆性技术
- 制造商
- 制造业
- 许多
- 市场
- 物料
- 成熟
- 可能..
- 手段
- 措施
- 机制
- 外交部
- 迁移
- 现代
- 显示器
- 更多
- 最先进的
- 许多
- 多
- 必须
- 需求
- 全新
- 新产品
- 现在
- of
- 提供
- on
- 前期洽谈
- 一旦
- 一
- 仅由
- 到
- 打开
- 开放源码
- 开放
- 开口
- 操作
- 运营
- or
- 秩序
- 组织
- 组织
- 其他名称
- 我们的
- 输出
- 拥有
- 步伐
- 范例
- 部分
- 各方
- 密码
- 打补丁
- 员工
- 透视
- 关键的
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 可能
- 做法
- 当下
- 总统
- 压力
- 预防
- 原则
- 优先
- 优先
- 权限
- 主动
- 问题
- 过程
- 产品
- 核心产品
- 正确
- 建议
- 提供
- 优
- 放
- 把
- 很快
- 宁
- 最近
- 减少
- 反映
- 有关
- 要求
- 必须
- 需要
- 研究
- 资源
- 响应
- 责任
- 受限
- 革命性
- 右
- 风险
- 变更管理
- 健壮
- 滚
- s
- 安全
- 说
- 安全
- 保安
- 保安措施
- 感
- 特色服务
- 严重
- 共用的,
- 转移
- 应该
- 显著
- 摩天大楼
- 软件
- 软件开发
- 软件供应链
- 解决方案
- 一些
- 来源
- 垃圾邮件
- 跨度
- 速度
- 利益相关者
- 启动
- 仍
- 结构
- 奋斗的
- 顺利
- 这样
- 供应
- 供应链
- 供应链
- SUPPORT
- 肯定
- 磁化面
- 系统
- 产品
- 瞄准
- 团队
- 技术
- 专业技术
- 测试
- 比
- 这
- 其
- 他们
- 然后
- 那里。
- 他们
- 事
- 认为
- 第三
- 第三者
- 第三方
- Free Introduction
- 那些
- 威胁
- 通过
- 次
- 至
- 对于
- 传统
- 用户评论透明
- 真正
- 信任
- 尝试
- 最终
- 经历
- 理解
- 了解
- 单元
- 不明
- 直到
- 更新
- 更新
- 使用
- 用户
- 运用
- 厂商
- 与
- 非常
- 副
- 副总裁
- 能见度
- 漏洞
- 漏洞
- 是
- 方法..
- we
- 井
- 为
- 什么是
- ,尤其是
- 这
- WHO
- 将
- 中
- 工作
- 合作
- 世界
- 完全
- 您一站式解决方案
- 和风网
- 零