ХЕРШИ, Пенсильвания — Спустя полтора года после запуска своей глобальной инициативы по обеспечению безопасности, Агентство кибербезопасности и безопасности инфраструктуры «в восторге» от прогресса, достигнутого в привлечении поставщиков, и теперь переключает свое внимание на новую программу, направленную на привлечение большего внимания к особенно рискованным практикам создания программного обеспечения.
Рина Ракипи, которая возглавляет стратегическое партнерство и разработку программ уязвимостей в CISA, заявила в понедельник во время конференции ACT-IAC Imagine Nation ELC 2024, что киберагентство обеспечило безопасность более 230 добровольных обязательств от производителей программного обеспечения в рамках кампании. Присоединение к инициативе «Безопасность по дизайну» означает, что эти поставщики обязуются в течение года достичь различных целей в области кибербезопасности — от сокращения количества паролей по умолчанию в продуктах до увеличения использования многофакторной аутентификации и устранения целых классов уязвимости.
«Мы очень рады тому факту, что у нас есть более 230 производителей программного обеспечения, которые добровольно взяли на себя обязательства по этому обязательству», — сказал Ракипи. «Глядя в будущее, мы с нетерпением ждем возможности увидеть в следующем году прогресс, которого добьются все 230 компаний».
Поскольку производители программного обеспечения стремятся выполнить эти обязательства, CISA и ФБР в этом месяце выпустили документ, который служит естественным продолжением концепции разработки, призванной устранять исключительно проблемные проблемы до того, как они попадут в производство.
Агентства Публикация о плохих практиках безопасности продуктов конкретно затрагивает три проблемные области для производителей: свойства продукта, которые включают включение в программное обеспечение паролей по умолчанию, небезопасных для памяти языков, пользовательский ввод в SQL-запрос и командные строки операционной системы, а также известные уязвимости, которые можно использовать; функции безопасности, в том числе отсутствие MFA и невозможность сбора доказательств вторжений; а также организационные процессы и политики, что указывает на неспособность своевременно публиковать CVE и политики раскрытия уязвимостей.
Основная цель документа, по словам Ракипи, — показать поставщикам, «что это за плохая практика» и «чего нам не следует делать». Документ размещено в Федеральном реестре и открыт для общественного обсуждения до 2 декабря.
Килан Суини, руководитель отдела управления ИТ-сектором в CISA, заявил в ходе отдельной дискуссии в понедельник, что наличие языков, безопасных для памяти, в продуктах особенно «неотъемлемо для нашей миссии CISA по обеспечению безопасности». Суини процитировал статистика что примерно от 60% до 70% Большинство уязвимостей можно отнести к языкам, небезопасным для памяти. Для производителей простое определение приоритета включения языков, безопасных для памяти, в разработку продуктов может оказать действительно существенное влияние на безопасность.
«Я постоянно говорю разработчикам: не позволяйте лучшему быть врагом хорошего, верно?» — сказал Суини, указывая на Кейс Google это подчеркнуло существенное сокращение наблюдаемых уязвимостей благодаря приоритету языков, безопасных для памяти. «Я думаю, что такое улучшение все еще стоит отметить».
CISA также призывает компаний-разработчиков программного обеспечения не только включать в свои продукты такие функции, как MFA, но и сделать так, чтобы клиенты «настоятельно не рекомендовали удалять» такую защиту из своих настроек безопасности, сказал Ракипи. Это может принимать форму «предупреждений безопасности: «Эй, вы уверены, что хотите удалить эту функцию безопасности?»». Уведомление о «рискованном поведении» во многом поможет клиенту «действительно осознать, что он удаление из их системы», — добавил Ракипи.
Но в конечном итоге CISA сейчас полностью перекладывает бремя безопасности на производителей программного обеспечения, подталкивая производителей к тому, чтобы их продукты были безопасными с самого начала, чтобы клиенты не оставались в неведении относительно защиты своих систем.
«Если на дороге стоит машина и в ней нет подушки безопасности, то практически невозможно… включить ее постфактум», — сказал Ракипи. «И поэтому мы не хотим делать это с нашим программным обеспечением».
