В кибербезопасности есть много существенных проблем — пожалуй, самая большая из них — улучшение безопасности программного обеспечения за счет более безопасного проектирования и разработки. С этой целью Агентство по кибербезопасности, инфраструктуре и безопасности (CISA) запустило свою Инициатива Secure by Design направлена на то, чтобы в конечном итоге улучшить безопасность программного обеспечения у источника: производителя программного обеспечения. Инициативы направлены на то, чтобы переложить ответственность за кибербезопасность с клиентов, как это происходит сейчас, на производителей программного обеспечения.
Инициатива Secure by Design основана на трех основных принципах для производителей программного обеспечения: владение результатами безопасности клиентов, принятие прозрачности и ответственности, связанных с безопасностью, и руководство сверху. Цель состоит в том, чтобы производители программного обеспечения улучшили внутреннюю безопасность своих продуктов, следуя нескольким лучшим практикам.
В рамках инициативы CISA также разработала свою добровольную Обещание «Безопасность по замыслу» что производители программного обеспечения могут подписать. По состоянию на май 2024 года 68 ведущих технологических компаний уже подписали приносить присягу. Обязательство в рамках обещания заключается в работе над достижением семи отдельных целей с помощью своего программного обеспечения в течение года:
- Многофакторная аутентификация (MFA). В течение года с момента подписания обязательства продемонстрировать действия, предпринятые для заметного увеличения использования многофакторной аутентификации во всей продукции производителя.
- Пароли по умолчанию. В течение года с момента подписания обязательства продемонстрировать ощутимый прогресс в сокращении количества паролей по умолчанию во всех продуктах производителей.
- Сокращение целых классов уязвимости. В течение одного года с момента подписания обязательства продемонстрировать действия, предпринятые для обеспечения существенного измеримого снижения распространенности одного или нескольких классов уязвимости в продукции производителя.
- Исправления безопасности. В течение одного года с момента подписания обязательства продемонстрировать действия, предпринятые для заметного увеличения установки исправлений безопасности клиентами.
- Политика раскрытия информации об уязвимостях. В течение года с момента подписания обязательства опубликуйте политику раскрытия уязвимостей (VDP), которая разрешает представителям общественности проводить тестирование продуктов, предлагаемых производителем.
- CVE. В течение одного года после подписания обязательства продемонстрировать прозрачность в отчетности об уязвимостях, включив точные поля Common Weakness Enumeration (CWE) и Common Platform Enumeration (CPE) в каждую запись Common Vulnerabilities and Exposures (CVE) для продуктов производителя. Кроме того, своевременно выдавайте CVE, как минимум, для всех критических или высокоэффективных уязвимостей (обнаруженных как внутри компании, так и третьей стороной), которые требуют действий клиента для исправления или имеют доказательства активной эксплуатации.
- Доказательства вторжений. В течение одного года с момента подписания обязательства продемонстрировать измеримое увеличение возможностей клиентов собирать доказательства вторжений в систему кибербезопасности, влияющих на продукцию производителя.
Семь целей, если их достигнет большее количество производителей ПО, не могли не улучшить текущее состояние качества ПО. Согласно недавнему опросу, проведенному поставщиком программного обеспечения и услуг безопасности Sophos, плохие учетные данные и уязвимости являются одними из самых распространенных слабостей, которые злоумышленники используют для проникновения.
Со своей стороны, компания Sophos подписала соглашение CISA Secure by Design. приносить присягу и пообещал регулярно публиковать обновления, в которых будет подробно описываться прогресс производителя программного обеспечения безопасности в достижении семи целей.
«Это не разовая инициатива, созданная CISA, — это крайне необходимый способ мышления о структурах, которые должны быть встроены в дизайн и архитектуру решений по безопасности. Мы приветствуем конструктивные отзывы о том, как мы работаем над семью столпами», — написал в своем блоге Росс Маккерчар, директор по информационной безопасности компании Sophos.
Sophos перечислил множество шагов, которые он планирует предпринять для выполнения своего обещания Secure by Design. Например, Sophos пообещал внедрить многофакторную аутентификацию в свою консоль безопасности Sophos Central. Для доступа к Sophos Central по умолчанию потребуется MFA. Кроме того, клиенты выбирают собственную федеративную многофакторную аутентификацию.
В рамках своего обязательства компания Sophos обязуется реализовать поддержку паролей в Sophos Central и опубликовать статистику внедрения своей новой, более надежной многофакторной аутентификации.
Sophos также будет лучше обеспечивать безопасное развертывание за счет строгого соблюдения правил создания паролей во время настройки устройства.
Основная цель инициативы CISA Secure by Design — улучшить безопасность программного обеспечения за счет повышения внутренней безопасности программного обеспечения — и безопасной управляемости — по мере его поставки производителем. Заставляя производителей программного обеспечения разрабатывать более безопасный код, внедрять разумные методы обеспечения безопасности и предоставлять общественности прозрачную информацию о своих методах обеспечения безопасности, безопасность программного обеспечения может только повыситься. Это должно когда-нибудь в будущем привести к созданию более безопасных и устойчивых предприятий.
Никто не знает наверняка, сколько времени это займет.
