7 способов, с помощью которых мы внедряем безопасность в наши продукты и услуги

Автор На чтение 5 мин Просмотров 50 Опубликовано

Во взаимосвязанном мире, сталкивающемся с растущими кибератаками, крайне важно обеспечить устойчивость технологических систем для обеспечения безопасности людей. Уже более 20 лет компания Google является пионером подхода Secure by Design, что означает, что мы внедряем безопасность на каждом этапе жизненного цикла разработки программного обеспечения, а не только в начале или в конце.

Ранее в этом году мы присоединились к США. Агентство кибербезопасности и безопасности инфраструктуры (CISA)и теперь более 200 наших коллег по отрасли, чтобы подписать Обещание безопасности благодаря дизайну — добровольная приверженность конкретным целям безопасности. Сегодня мы публикуем наш официальный документ «Обзор стремления Google обеспечить безопасность благодаря дизайну», в котором рассказывается о том, как мы продолжаем достигать семи целей обязательства. В этом посте представлены основные моменты документа в надежде предоставить полезное отраслевое руководство о том, как начать использовать Secure by Design или внести коррективы для лучшей реализации.

Подход Google к достижению семи целей Secure by Design

  1. Многофакторная аутентификация (MFA): Американцы проиграли 12,5 миллиардов долларов от фишинга и мошенничества в 2023 году, что делает необходимость в таких средствах защиты, как MFA, критической. Опыт Google с MFA начался в 2010 году, когда мы запустили Google Аутентификатор и Двухэтапная аутентификация (2SV) для Google Workspace. С тех пор мы постоянно добились прогресса в нашей работе с Альянс ФИДОПрограмма дополнительной защиты (APP), ключи безопасности и автоматическая регистрация людей в 2SV. Совсем недавно мы участвовали в продвижении входа в систему без пароля с использованием ключей доступа (более безопасная и простая альтернатива паролям), которые использовались для аутентификации пользователей более 1 миллиарда раз.
  2. Пароли по умолчанию: Пароли по умолчанию в программном и аппаратном обеспечении легко найти злоумышленникам, а это означает, что они могут привести к широко распространенному несанкционированному доступу. Вот почему мы рассматриваем обнаруженные пароли по умолчанию как собственные уязвимости и реализуем меры по снижению этого риска во всех наших продуктах. Мы используем систему, которая связывает наши продукты с вашей учетной записью Google, поэтому устройства не полагаются на предварительно настроенные пароли. Поэтому для настройки таких продуктов, как новое устройство умного дома Nest или телефон Google Pixel, вам необходимо войти в систему под своей учетной записью Google. Это похоже на настройку и доступ к нашим программным сервисам. Например, такие службы, как Workspace и Google Cloud, управляются администраторами организации, и процесс установки не требует паролей по умолчанию.
  3. Снижение целых классов уязвимостей: Наш подход к разработке безопасного программного обеспечения начинается с нашей безопасной среды кодирования и безопасной среды разработки, что помогает нам сократить количество целых классов уязвимостей. Google имеет долгую историю масштабного устранения уязвимостей, включая межсайтовый скриптинг (XSS), SQL-инъекцию (SQLi), проблемы безопасности памяти и небезопасное использование криптографии. Мы добились этого, развивая наши методы и используя такие подходы, как Безопасное кодирование.
  4. Исправления безопасности: Поставщики должны стремиться снизить нагрузку на конечных пользователей, максимально упрощая установку обновлений программного обеспечения. Google отдает приоритет этому подходу и сосредотачивается на использовании наших исправлений, уделяя особое внимание быстрому развертыванию, чтобы уменьшить вероятность того, что злоумышленник воспользуется недостатками. ChromeOS является отличным примером, поскольку он использует несколько уровней защиты в сочетании с автоматическим, бесшовным обновления чтобы защитить его от программ-вымогателей и вирусов.
  5. Раскрытие уязвимостей: Сотрудничество в отрасли является ключом к поиску и сообщению об ошибках и уязвимостях. Google уже давно является сторонником прозрачности, а это означает, что мы принимаем упреждающие меры для выявления проблем и приветствуем помощь индустрии безопасности для внешних отчетов. Наш Политика раскрытия уязвимостей и Программы вознаграждения за уязвимости (VRP) связали нас с исследователями безопасности, которые помогли нам защитить наши продукты. С момента запуска VRP мы распределили 18 500 вознаграждений на общую сумму около 59 миллионов долларов США.
  6. Распространенные уязвимости и риски (CVE): CVE призваны помочь выявить исправления, которые не были применены клиентом или пользователем. Google уделяет приоритетное внимание выпуску CVE для продуктов, которые требуют действий для обновления. Мы также предоставляем бюллетени по безопасности для потребителей и предприятий по различным продуктам, в том числе Андроид, Браузер Chrome, ChromeOS и Google Облакоподробное описание уязвимостей и рекомендации по их устранению.
  7. Доказательства вторжения: Как и в случае с вопросами физической безопасности, люди заслуживают того, чтобы их информировали о возможных вторжениях без перегрузки ненужной информацией. Мы делаем это посредством предупреждений о безопасности вашей учетной записи Google и предоставления нашей Проверка безопасности за персональные рекомендации и Оповещения безопасности. Для облака мы используем журналы аудита для записи и предоставления видимости действий в ресурсах Google Cloud клиентов. Облачная регистрация помогает клиентам с централизацией и хранением журналов, начиная с 30 дней, с возможностью продления. В Workspace администраторы домена могут использовать инструмент аудита и расследования и API отчетов для просмотра действий пользователей и администраторов в таких продуктах, как Gmail, Диск, Документы и Чат. Предприятия могут использовать возможности Android Enterprise, такие как Журналы аудита безопасности и Журналы сетевых событий, искать доказательства вторжений.
ЧИТАТЬ  6 гениальных идей для бани, которые мы подсмотрели в очень крутом проекте - INMYROOM

Мы посвятили годы внедрению Secure by Design в Google, но наша работа еще не завершена, и мы с нетерпением ждем возможности поделиться другими способами выполнения обязательств CISA. Сегодняшний технический документ будет первым из серии аналитических материалов, которые мы опубликуем в ближайшие месяцы. Защита нашей цифровой экосистемы — это командный вид спорта, поэтому мы также призываем отраслевых партнеров, политиков и экспертов по безопасности присоединиться к этой важной работе. Более подробную информацию о том, как наша продукция создается с учетом безопасности с самого начала, можно узнать на странице Безопаснее с Google.

Source

Похожие записи:

  1. Бактерии, которых мы заслуживаем: почему ферментированные продукты — новая суперсила — INMYROOM
  2. 5 способов бюджетно обновить интерьер, которые наши герои реализовали самостоятельно — INMYROOM
  3. 5 способов повысить иммунитет с помощью банных процедур. Ванна и другие банные процедуры
  4. 5 прогрессивных интерьеров, в которых все сделано с умом — INMYROOM
безопасность внедряем которых мы наши Никто помощью продукты способов услуги
Оцените статью
( Пока оценок нет )
Строительство. Ремонт. Садоводство
© 2025 Строительство. Ремонт. Садоводство. Запрещено использование материалов сайта без согласия его авторов