Три ключа к реализации проектной безопасности

В октябре 2023 года Агентство по кибербезопасности и безопасности инфраструктуры (CISA), а также 17 американских и международных партнеров объявили о второй версии своего технического документа по проектированию безопасности «Сдвиг баланса рисков кибербезопасности: принципы и подходы к программному обеспечению, обеспечивающему безопасность благодаря дизайну».

Цель документа – побудить производителей программного обеспечения встраивать безопасность в свои продукты. В прошлом безопасность была неравномерной. В то время как некоторые производители сосредоточили на этом внимание, для других безопасность была реактивной; уязвимости были устранены только после того, как клиенты развернули продукты, что заставляло потребителей нести ответственность за применение исправлений. Рекомендации по проектированию безопасности направлены на то, чтобы сделать безопасность основным приоритетом бизнеса и основой процесса разработки программного обеспечения, охватывая две взаимосвязанные концепции:

Продукты с «защищенной конструкцией» созданы для защиты от злоумышленников-киберпреступников, чтобы они не могли получить доступ к устройствам, данным или подключенной инфраструктуре. Производители должны включать средства защиты, учитывающие развивающуюся среду киберугроз, и инвестировать ресурсы на каждый уровень проектирования и разработки продукта.

Продукты с «безопасностью по умолчанию» настроены на защиту от наиболее распространенных угроз и уязвимостей «из коробки», без необходимости принятия конечными пользователями дополнительных мер для их защиты. Безопасность включена в базовый продукт без каких-либо дополнительных затрат, подобно тому, как ремни безопасности входят в комплект всех новых автомобилей. Продукты с защитой по умолчанию предназначены для того, чтобы клиенты четко осознавали, что отклонение от безопасных значений по умолчанию увеличивает вероятность компрометации, если они не предпримут дополнительные компенсационные меры.

Последнее обновление официального документа расширяет три основных принципа оригинальной публикации:

Возьмите на себя ответственность за результаты в области безопасности клиентов. Продукты должны развиваться так, чтобы ответственность за безопасность не всегда ложилась на потребителя, точно так же, как производители автомобилей разрабатывают автомобили, чтобы они стали более безопасными по своей сути, даже несмотря на то, что конечная ответственность за безопасную эксплуатацию по-прежнему ложится на водителя.

Примите радикальную прозрачность и подотчетность. Производители программного обеспечения должны стремиться предоставлять безопасные и надежные продукты, в том числе поощрять обнаружение и обмен информацией о проблемах, таких как распространенные уязвимости и риски (CVE).

Создайте организационную структуру и лидерство для достижения этих целей. Старшие руководители должны уделять приоритетное внимание безопасности при разработке продуктов в рамках всей организации и в партнерстве с клиентами.

Этот документ применим не только к традиционным производителям программного обеспечения; это также относится к производителям программных систем и моделей искусственного интеллекта (ИИ). Хотя ИИ может отличаться от традиционного программного обеспечения, к системам и моделям ИИ должны применяться одни и те же основные принципы обеспечения безопасности. Недавний указ о безопасном и заслуживающем доверия искусственном интеллекте воплощает ту же философию.

Три ключевых вывода для директоров по информационной безопасности

Рекомендации в отчете предоставляют производителям программного обеспечения инструменты, которые они могут использовать, чтобы продемонстрировать свою приверженность проектной безопасности. Это также дает клиентам возможность оценить свой прогресс. Аналогия с ремнями безопасности здесь также уместна. Точно так же, как никто не станет покупать автомобиль без ремней безопасности, продукты, которые трудно закрепить, станут менее желанными для потребителей. Соблюдение принципов безопасности при проектировании может дать производителям программного обеспечения конкурентное преимущество.

На этом этапе каждый должен знать о наиболее здравых рекомендациях по обеспечению безопасности, таких как исключение паролей по умолчанию и обязательная двухфакторная аутентификация. Но если выйти за рамки очевидного, что же означают принципы «безопасности при проектировании» для директоров по информационной безопасности и руководителей бизнеса? Как они могут осуществить изменения и обеспечить безопасность своих организаций? Я сузил рекомендации, приведенные в официальном документе, до трех ключевых выводов, которые легко донести до всех и сделать применимыми на всех этапах — от высшего руководства до разработчиков продуктов.

1. Обеспечьте безопасность

Вместо того, чтобы добавлять безопасность в последнюю очередь или «прикручивать ее» позже, безопасность должна быть встроена в продукты. Усиление защиты приложений защищает программное обеспечение от попыток взлома. Добавление протоколов и процедур защиты приложений помогает продуктам противостоять атакам злоумышленников и может улучшить общее качество, поскольку ошибки кода являются частым средством атаки. Построение безопасности включает в себя использование таких тактик, как обеспечение проверки и очистки вводимых пользователем данных, а не их ввод непосредственно в код. Другие тактики включают использование безопасного для памяти языка программирования, строгое управление жизненным циклом разработки программного обеспечения и аппаратное управление криптографическими ключами.

Еще одним элементом повышения безопасности является повышение прозрачности записей CVE, гарантируя их правильность и полноту, насколько это возможно. Поле перечисления общих уязвимостей, которое определяет основную причину уязвимостей, особенно важно, поскольку отрасль может отслеживать прогресс в приложениях безопасности и определять наиболее распространенные уязвимости.

2. Постоянный стресс. Хорошая кибергигиена.

Каждый играет свою роль в обеспечении безопасности и защищенности организации, поэтому производители программного обеспечения должны гарантировать, что их приложения включают функции, связанные с кибербезопасностью. Несколько примеров включают поддержку безопасности транспортного уровня для всех сетевых подключений, поддержку единого входа, поддержку многофакторной аутентификации, ведение журнала аудита событий безопасности, управление доступом на основе ролей и управление доступом на основе атрибутов.

3. Оцените настройки приложения по умолчанию.

По умолчанию приложения должны быть безопасными «из коробки». Десятилетия опыта показывают, что многие клиенты, как крупные предприятия, так и частные лица, часто используют ИТ-продукты в конфигурации по умолчанию. Мы можем использовать это поведение, чтобы изменить настройки по умолчанию, чтобы клиенты должны были изменить настройки, чтобы явно снизить свою безопасность, а не повысить ее, и включить соответствующие предупреждения о последствиях для безопасности их изменений. Настройки приложений по умолчанию исторически были источником риска, поскольку производители выбирают настройки по умолчанию, исходя из простоты использования, а не безопасности. Но это увеличивает поверхность атаки для клиентов, которым не нужны или не нужны функции и протоколы, включенные по умолчанию. Во многих случаях элементы управления безопасностью отключены по умолчанию или требуют от клиентов определить, как настроить свои приложения для повышения безопасности.

Купить продукцию можно на сайте официального поставщика в России.