Waarom verkopers dalk sukkel om "Secure by Design"-momentum te handhaaf
INHOUDSOPGAWE:
Talle tegnologieverkopers het aangesluit by 'n Amerikaanse regering-gesteunde Secure by Design belofte. Maar sal die verbintenis 'n breuk met die verlede en die oënskynlik nimmereindigende siklus van kuberaanvalle aandui? Onafhanklike kundiges, terwyl hulle die inisiatief as waardig prys, bly onseker oor die waarskynlike impak daarvan.
Waaroor gaan dit?
Die Amerikaanse agentskap vir kuberveiligheid en infrastruktuur (CISA) probeer sagtewareverkopers kry om by die belofte aan te sluit as deel van 'n wyer strategie om nasionale kuberveiligheid te verbeter. Dit is vrywillig en nie wetlik bindend nie, maar het ten doel om sagtewareverkopers te dryf om sekuriteit 'n fundamentele deel van hul produkontwikkelingslewensiklus te maak.
Die doelwitte van die belofte val in sewe kategorieë:
⦁ Verhoog die gebruik van multi-faktor verifikasie oor produkte
⦁ Verminder die voorkoms van verstekwagwoorde oor produkte
⦁ Demonstreer 'n beduidende meetbare vermindering in die voorkoms van een of meer kwesbaarheidsklasse oor produkte heen
⦁ Verhoog die installering van sekuriteitskolle deur kliënte
⦁ Publiseer 'n kwesbaarheid-openbaarmakingsbeleid wat openbare toetsing magtig
⦁ Demonstreer deursigtigheid in kwesbaarheidsverslagdoening deur akkurate Common Weakness Enumeration (CWE) en Common Platform Enumeration (CPE) data by kwesbaarheidverslae in te sluit. Reik algemene kwesbaarhede en blootstelling (CVE) rekords vir produkte betyds uit
⦁ Verhoog die vermoë vir kliënte om bewyse in te samel van kuberveiligheidsindringing wat 'n vervaardiger se tegnologieë raak
Sagteware-ontwikkelaars, wolkdienste en SaaS-tegnologie is almal binne die omvang van die belofte, maar fisiese produkte soos IoT-toestelle en verbruikersgoedere is nie. ’n Groep van 68 toonaangewende tegnologiefirmas – insluitend Amazon Web Services, Cisco, Google en Microsoft – het die belofte onderteken toe dit vroeg in Mei bekend gestel is, en hierdie syfer het sedertdien tot meer as 140 verskaffers toegeneem.
CISA hoop openbare verpligtinge van 'n groeiende lys van maatskappye sal deursigtigheid aanmoedig en kliënte in staat stel om verskaffers se vordering met sekuriteitsdoelwitte te evalueer. Vervaardigers word gevra om hul vordering met die bereiking van hul doelwitte binne 'n jaar na ondertekening van die belofte te dokumenteer, deels sodat die breër bedryf uit hul veiligheidsreis kan leer.
Rugsteun die belofte
Verkopers belowe reeds gereeld om hul sekuriteit te verbeter in die nasleep van kuberaanvalle of oortredings, so dit is wettig om te vra hoeveel impak 'n vrywillige belofte waarskynlik sal hê.
"Die belofte self, alhoewel dit noodsaaklik is om bewustheid te verhoog en die nodige maatstaf vir sekuriteitspraktyke te stel, dwing nie verskaffers bo etiese verantwoordelikheid af om hierdie beginsels ten volle in hul ontwikkelingsprosesse te integreer nie," het Keeper Security-VP van sekuriteit en nakoming, Patrick Tiquet, gesê. vertel ISMS.online.
"As sagteware-kliënte egter daarop aandring dat ontwikkelaars hierdie belofte maak, en bevestig dat hulle dit nakom, sal die belofte minder vrywillig word en in 'n basiese verwagting verander."
Taimur Ijlal, 'n tegnologiekundige en inligtingsekuriteitsleier by Netify, is ook versigtig.
"Leiaangewende maatskappye soos Microsoft en Google moet 'n voorbeeld stel en ander aanmoedig om te volg as hulle wil hê dat die belofte beduidende verandering moet bring," sê hy aan ISMS.online. "Sonder markkragte of wetlike eise, kan baie sagtewareverskaffers egter steeds huiwerig wees om deel te neem, selfs met hul ondersteuning."
Baie hang af van die etiese standaard van ondertekenaars, volgens Ijlal, wat byvoeg dat selfs 'n heelhartige verbintenis tot verbeterings geen waarborg vir sukses is nie.
“Kwesbaarhede glip steeds deur selfs in sagteware wat deur betroubare verskaffers vervaardig word,” voer hy aan. "Terwyl die belofte vordering aanmoedig, het dit nie afdwingingsmeganismes om te verseker dat maatskappye hul verpligtinge ten volle nakom nie."
Maria Opre, 'n kuberveiligheidskenner en senior ontleder by EarthWeb, voer aan dat verkopers ekonomiese voordele kan pluk deur die veiligheid van hul produkte te verbeter.
"Vir ondernemings kan sekuriteitsoortredings verwoestende impak hê - regulatoriese boetes, reputasieskade, duur stilstand, om net 'n paar te noem," vertel sy aan ISMS.online. “Om van die begin af veilige koderingspraktyke te volg, verminder tegniese skuld en duur na-die-feit pleister. Dis ’n wyse belegging.”
Kat en Muis
Daar is ook 'n gevaar dat enige vordering wat deur die belofte gemaak word, ondermyn kan word deur veranderinge in die taktiek van bedreigingsakteurs.
John Allison, direkteur van openbare sektorbesigheid by Checkmarx, sê 'n evolusie in bedreigings is te wagte, dus die doel moet wees om sekuriteit voortdurend te verbeter en koste op aanvallers te hef.
"Testanders ontwikkel altyd, maar die doelwit hier is om hulle te dwing om aan te pas, en om die tyd en moeite te belê om gapings in 'n fundamenteel gesonde sekuriteitsargitektuur te vind," sê hy aan ISMS.online. "Ek sou verwag dat die veilige-deur-ontwerp-doelwitte mettertyd sal ontwikkel soos die bedreigings ook ontwikkel."
Netify se Ijlal voer aan dat Secure by Design 'n "voortdurende praktyk" moet word eerder as 'n eenmalige tick box-benadering.
“Ontwikkelaars moet voortdurend nuwe risiko's assesseer en hul praktyke dienooreenkomstig ontwikkel. Statiese sekuriteit sal altyd uiteindelik omseil word,” voeg hy by. “Dit is goed om ontwikkelaars te leer hoe om veilige kode te ontwerp, risikobepalings te doen en bedreigingsmodellering te gebruik. Soos ons prosedures stroomlyn, moet ons ook in mense belê.”
Skuif links
Die bevordering van DevSecOps-praktyke, wat sagteware-ontwikkelaars aanmoedig om “links te skuif” deur van meet af aan veilige koderingspraktyke deel te neem, strook met die doelwitte van die CISA se Secure by Design-belofte.
Dit stel ontwikkelaars in staat om risiko's te verminder voordat dit uitbuitbare kwesbaarhede word. Om dit te bereik, verg egter meer as net beloftes; dit vereis 'n omvattende integrasie van beste sekuriteitspraktyke regdeur die sagteware-ontwikkelingslewensiklus.
"Om 'n weldeurdagte en effektiewe sekuriteitsargitektuur te bou, vereis 'n heel ander vaardighede as wat die meeste sagteware-ontwikkelaars het," volgens Checkmarx se Allison. "In die haas om nuwe produkte op die mark te kry, word sekuriteit dikwels óf heeltemal geïgnoreer óf minimaal gedoen, net genoeg om 'n sertifisering te slaag."
Standards Drive
Sertifisering kan help om veilige deur ontwerp te bevorder deur die balk te verhoog oor watter kontroles in plek gestel moet word en hoe die ouditeure die maatskappy moet assesseer vir die sertifisering. En kenners beweer dat sekuriteitstandaarde soos ISO 27001 ook kan help om 'n sekuriteit-deur-ontwerp-kultuur te bevorder. ISO 27001 bied byvoorbeeld 'n raamwerk vir die bestuur van inligtingsekuriteit wat organisasies help om sekuriteitsrisiko's sistematies aan te spreek.
“Standaards soos ISO 27001 speel 'n deurslaggewende rol in die bevordering van 'n sekuriteit-deur-ontwerp-kultuur. Deur aan sulke standaarde te voldoen, kan maatskappye verseker dat sekuriteit nie 'n nagedagte is nie, maar 'n fundamentele komponent van hul bedrywighede,” sluit Keeper Security's Tiquet af.
"Hierdie standaardisering kan die aanvaarding van veilige ontwikkelingspraktyke dryf en 'n meer veerkragtige sagteware-omgewing bevorder."
