В сегодняшнем быстро развивающемся цифровом пространстве безопасность программных систем никогда не была более важной. Киберугрозы продолжают использовать системные уязвимости в широко используемых технологиях, что приводит к масштабному ущербу и сбоям. Тем не менее, Агентство США по кибербезопасности и инфраструктуре (CISA) помогли сформировать лучшие практики для технологической отрасли с помощью своих Залог безопасности при проектировании. Cloudflare подписала это обязательство 8 мая 2024 года, подтверждая нашу приверженность созданию устойчивых систем, в которых безопасность является не просто функцией, а основополагающим принципом.
Мы рады поделиться обновленной информацией, соответствующей одной из целей CISA, изложенных в обещании: Для сокращения целых классов уязвимостей. Эта цель согласуется с инициативами программы Cloudflare Product Security, направленной на постоянную автоматизацию превентивного обнаружения и активное предотвращение масштабных уязвимостей.
Приверженность Cloudflare обязательствам CISA отражает нашу приверженность прозрачности и подотчетности перед нашими клиентами. В этом сообщении блога описывается, почему мы уделили приоритетное внимание определенным классам уязвимостей, какие шаги мы предприняли для дальнейшего устранения уязвимостей, а также измеримые результаты нашей работы.
Основная философия, которая продолжается: предотвращать, а не исправлять
Основная философия безопасности Cloudflare заключается в предотвращении проникновения уязвимостей безопасности в производственные среды. Одна из целей команды безопасности продуктов Cloudflare — отстаивать эту философию и гарантировать, что подходы к обеспечению безопасности являются частью разработки продуктов и платформ. За последние шесть месяцев команда Product Security активно добавляла как новые, так и настраиваемые наборы правил, направленные на полное устранение секретов и уязвимостей в коде внедрения. Эти усилия повысили точность обнаружения, сократили количество ложных срабатываний, а также позволили упреждающее обнаружение и блокировку этих двух классов уязвимостей. Практика безопасности Cloudflare по блокированию уязвимостей до того, как они будут введены в код при слиянии или изменении кода, служит для поддержания высокого уровня безопасности и согласуется с обязательством CISA в отношении превентивных мер безопасности.
Инъекционные уязвимости представляют собой критический класс уязвимостей, независимо от продукта или платформы. Это происходит, когда код и данные неправильно смешиваются из-за отсутствия четких границ в результате неадекватной проверки, небезопасных функций и/или неправильной очистки. Уязвимости внедрения считаются серьезно опасными, поскольку они приводят к нарушению конфиденциальности, целостности и доступности задействованных систем. Cloudflare постоянно обнаруживает и предотвращает эти риски посредством проверок безопасности, безопасного сканирования кода и тестирования уязвимостей. Кроме того, постоянные усилия по повышению точности помогают уменьшить количество ложных срабатываний, а также активно обнаруживать и блокировать эти уязвимости в источнике, если инженеры случайно вводят их в код.
Секреты в коде — это еще один класс уязвимостей с высоким уровнем воздействия, поскольку он представляет значительный риск, связанный с утечками конфиденциальной информации, что потенциально может привести к несанкционированному доступу и внутренним угрозам. В 2023 году Cloudflare уделяла приоритетное внимание настройке наших инструментов и систем безопасности, чтобы еще больше улучшить обнаружение и сокращение секретов в коде. Благодаря аудиту и анализу шаблонов использования во всех репозиториях Cloudflare мы еще больше снизили вероятность повторного появления этих уязвимостей в новом коде, написав и включив расширенные правила обнаружения секретов.
Cloudflare стремится устранить эти классы уязвимостей независимо от их критичности. Устранив эти уязвимости в их источнике, Cloudflare значительно сократила поверхность атаки и потенциал для использования в производственных средах. Этот подход установил безопасные настройки по умолчанию, позволив разработчикам полагаться на платформы и инструменты, которые по своей сути отделяют данные или секреты от кода, сводя к минимуму необходимость в реактивных исправлениях. Кроме того, устранение этих уязвимостей на уровне кода «защищает» приложения от будущего, обеспечивая их устойчивость по мере развития ландшафта угроз.
Методы Cloudflare для устранения этих уязвимостей
Чтобы устранить уязвимости, связанные как с внедрением, так и со встроенными секретами, Cloudflare сосредоточилась на создании безопасных настроек по умолчанию, использовании автоматизации и расширении возможностей разработчиков. Чтобы установить безопасные конфигурации по умолчанию, Cloudflare использует платформы, предназначенные для отделения данных от кода. Мы также стали больше полагаться на безопасные системы хранения и инструменты управления секретами, плавно интегрируя их в конвейер разработки.
Непрерывная автоматизация сыграла решающую роль в нашей стратегии. Интеграция инструментов статического анализа с процессом DevOps была дополнена настраиваемыми наборами правил для блокировки проблем на основе наблюдаемых закономерностей и тенденций. Кроме того, наряду со сканированием безопасности, выполняемым при каждом запросе на включение и слияние, были применены меры обеспечения качества программного обеспечения, такие как «прерывание сборки» и «остановка кода». Это предотвратило попадание рисков в производство, когда действительно положительные уязвимости были обнаружены во всех действиях по разработке Cloudflare, независимо от критичности и затронутого продукта. Такой превентивный подход еще больше снизил вероятность попадания этих уязвимостей в производственную среду.
Поддержка разработчиков была еще одним ключевым моментом. Приоритет был отдан поддержке существующего непрерывного образования и обучения инженерных команд путем предоставления дополнительных рекомендаций и передового опыта по предотвращению уязвимостей безопасности, а также автоматизированного использования нашей централизованной платформы секретов. Внедрение этих принципов в повседневные рабочие процессы способствовало развитию культуры совместной ответственности за безопасность во всей организации.
Роль пользовательских наборов правил и «разрыва сборки»
Чтобы реализовать более агрессивные возможности обнаружения и блокировки, команда Cloudflare Product Security написала новые наборы правил обнаружения для своих статическое тестирование безопасности приложений (SAST) инструмент, интегрированный в рабочие процессы CI/CD и ужесточивший критерии безопасности при выпуске кода в производство. Использование инструментов SAST как со стандартными, так и с пользовательскими наборами правил позволяет команде безопасности выполнять комплексное сканирование защищенного кода, секретов и уязвимостей цепочки поставок программного обеспечения, практически исключая уязвимости внедрения и секреты из исходного кода. Это также позволяет команде безопасности выявлять и устранять проблемы на раннем этапе, систематически обеспечивая соблюдение политик безопасности.
Расширение Cloudflare набора инструментов безопасности сыграло решающую роль в стратегии безопасности продуктов компании. Первоначально правила были включены в режиме «только мониторинг», чтобы понять тенденции и потенциальные ложные срабатывания. Затем правила были доработаны, чтобы обеспечить соблюдение и корректировку приоритетов без нарушения рабочих процессов разработки. Используя модели внутренних угроз, команда пишет собственные правила, адаптированные к инфраструктуре Cloudflare. Каждый запрос на вытягивание (PR) и запрос на слияние (MR) был проверен на соответствие этим конкретным наборам правил, включая те, которые нацелены на внедрение и секреты. Точные правила, оптимизированные для высокой точности, затем активируются в режиме блокировки, что приводит к нарушению сборки при обнаружении. Этот процесс обеспечивает устранение уязвимостей на этапе PR/MR.
Усиление этих проверок безопасности непосредственно в конвейере CI/CD обеспечивает применение упреждающей стратегии обеспечения безопасности на жизненном цикле разработки. Такой подход гарантирует обнаружение и устранение уязвимостей на ранних стадиях процесса разработки, еще до того, как они попадут в рабочую среду. Обнаружение и блокирование этих проблем на ранней стадии сокращает усилия по устранению, минимизирует риски и повышает общую безопасность наших продуктов и систем.
Cloudflare продолжает следовать культуре прозрачности, поскольку она обеспечивает более полную видимость основной причины проблемы и, следовательно, позволяет нам улучшать процесс/продукт в масштабе. В результате эти усилия дали ощутимые результаты и продолжают укреплять безопасность всех продуктов Cloudflare.
Во второй половине 2024 года команда активно добавляла новые наборы правил, которые помогали обнаруживать и удалять новые секреты, введенные в репозитории кода. Это привело к сокращению количества секретов в коде на 79% по сравнению с предыдущим кварталом, что подчеркивает приверженность Cloudflare защите кодовой базы компании и конфиденциальной информации. Следуя аналогичному подходу, команда также представила новые наборы правил в режиме блокировки, независимо от уровня критичности для всех уязвимостей внедрения. Эти улучшения привели к дополнительному снижению на 44 % потенциальных уязвимостей, связанных с внедрением SQL и кода.
Хотя инструменты безопасности могут давать ложные срабатывания, индивидуальные наборы правил с истинными срабатываниями с высокой степенью достоверности остаются ключевым шагом для методической оценки и устранения результатов. Эти сокращения отражают эффективность превентивных мер безопасности в уменьшении целых классов уязвимостей в масштабе.
Cloudflare продолжит совершенствовать существующие методы и внедрять принципы безопасности. Некоторые другие методы обеспечения безопасности, которые мы будем продолжать совершенствовать, включают: предоставление безопасных инфраструктур, масштабное моделирование угроз, интеграцию автоматизированных инструментов безопасности на каждом этапе жизненного цикла разработки программного обеспечения (SDLC), а также постоянное ролевое обучение разработчиков передовым стандартам безопасности. Все эти стратегии помогают уменьшить или устранить целые классы уязвимостей.
Независимо от отрасли, если ваша организация занимается разработкой программного обеспечения, мы рекомендуем вам ознакомиться с Принципы CISA «Безопасность благодаря дизайну» и создайте план по их внедрению в вашей компании. Это обязательство основано на семи целях безопасности, в которых приоритет отдается безопасности клиентов.
Обязательство CISA Secure by Design побуждает организации по-другому думать о безопасности. Устранив уязвимости в их источнике, Cloudflare продемонстрировала измеримый прогресс в снижении системных рисков.
Постоянное внимание Cloudflare к устранению классов уязвимостей с помощью описанных выше механизмов предотвращения служит важнейшей основой. Эти усилия обеспечивают безопасность систем, сотрудников и клиентов Cloudflare. Cloudflare инвестирует в постоянные инновации и создание безопасного цифрового мира.
Вы также можете найти больше обновлений на нашем блог по мере того, как мы создаем нашу дорожную карту для достижения всех семи целей CISA Secure by Design к маю 2025 года, таких как наш пост о достижении Цель №5 залога.
Cloudflare, занимающаяся кибербезопасностью, считает безопасность продуктов неотъемлемой частью своей ДНК. Мы твердо верим в принципы CISA, изложенные в Обещание «Безопасность благодаря дизайну»и продолжим поддерживать эти принципы в своей работе.
.jpg)
