По време на конференцията RSA 2024 тази седмица марки като Microsoft, Amazon Web Service (AWS), International Business Machines (IBM), Fortinet и други се съгласиха да предприемат стъпки за постигане на набор от седем цели, определени от главния кибернетичен орган на САЩ.
Споразумението е доброволно, не е правно обвързващо, не е необходимо и може да се прилага гъвкаво към всички или само към един от продуктите или услугите на дадена компания. Въпреки това, според подписалите го страни, то може да помогне за раздвижване на инициативата за стимулиране на добри практики и инвестиции в областта на сигурността в различните отрасли.
„Мисля, че това е израз на духа на времето“, казва Грант Гайер, главен оперативен директор на Claroty, един от подписалите споразумението. „Това е признание, че когато повече от нас се съгласят, че ще работят по определен стандарт, това прави по-удобно и отворено за другите да направят същото.“
Обещанието на CISA „Secure by Design“ се състои от области за подобрение, разделени в седем основни категории: многофакторна автентикация (MFA), пароли по подразбиране, намаляване на цели класове уязвимости, кръпки за сигурност, политика за разкриване на уязвимости, CVE и доказателства за прониквания.
Обещанието не съдържа нищо революционно и няма никаква сила. Но за участващите в него това е без значение.
„Макар че може да нямат пряка власт, мисля, че има косвена власт, като започват да определят какви са очакванията“, казва Крис Хендерсън, старши директор на операциите по заплахите в Huntress, друг подписал ангажимента.
Например, казва той, „в частното пространство има компании, които на практика печелят от инструментите за сигурност в своите продукти. Виждате много компании, които добавят функции за сигурност зад платени стени, защото това се разглежда като лесен начин за увеличаване на приходите. В действителност много от тези функции всъщност не струват допълнителни пари“, добавя Хендерсън.
Той смята, че залогът може да бъде нов подход за насърчаване на публично-частните партньорства без нови регулации.
„Смятам, че обещанието за сигурност по проект е наистина интересен подход чрез частно и правителствено партньорство да се опитаме да стимулираме не регулиране, а промяна на очакванията за „разумно“. Хендерсън казва. „Ако сте продукт, който предлага многофакторна автентикация (MFA) или единично влизане (SSO), но е зад платена стена, и някой от клиентите ви бъде пробит, защото не е плащал за това, ами сега небрежни ли сте?“
Подобно на Хендерсън, Джонатан Трул, CISO на Qualys (също подписал споразумението), смята, че ефектът от споразумението ще бъде предимно икономически. „В търговския сектор има два механизма (за стимулиране). Имате спазване на изискванията, когато те са задължителни и подлежат на изпълнение от Комисията по ценните книжа и фондовите борси (SEC) за публично търгуваните компании“, обяснява Трул. „И след това имате по-мощния (един), който е: Къде ще потекат доларите?“
Надеждата му е тези основни принципи за сигурност да започнат да влияят на купувачите на технологии, добавя Трул.
„Надявам се купувачите да се спрат и да кажат: „Ей, защо не се регистрирахте за това? Дори и да е доброволно“, казва той.
Независимо от начина, по който компаниите ще се справят с нея, за Гейер от Claroty обещанието е важно само по себе си, тъй като пренасочва разговора към някои основни въпроси на сигурността.
Например, управлението на уязвимостите. Организациите знаят, че трябва да закърпват отделни грешки, когато се появят, но, както CISA отбелязва в своя доклад, „огромното мнозинство от експлоатираните уязвимости днес се дължат на класове уязвимости, които често могат да бъдат предотвратени в голям мащаб“.
В неотдавнашен анализ на повече от 20 милиона активи екипът на Claroty Team82 установи, че 22% и 23% от всички индустриални ОТ и свързани медицински устройства (IoMT) притежават съответно уязвимости с критични CVSS оценки от 9,0 или по-високи. Въпреки това само за 1,3 % и 1,9 % от индустриалните OT и IoMT устройства е установено, че съдържат поне една известна уязвимост, която може да бъде използвана, и комуникират директно с мрежата вместо чрез решение за сигурен достъп.
„Така че, ако възприемете традиционния подход, трябва да патчнете 23% от активите си“, казва Гайер. „Не само че това е огромно число, но и това, което установихме, е, че когато разширите обхвата на риска – от обикновена уязвимост до неща като пароли по подразбиране, ясен текст, комуникации, неща, които са обхванати в този ангажимент – ще трябва да се съсредоточите само върху 1,3 % от активите си.“
„Ако все пак възприемете подхода да обхванете всички 23%, се оказва, че ще пропуснете 43% от най-високите рискове, като например паролите по подразбиране“, добавя Гайер. „Затова е изключително важно CISA да възприема по-широкообхватна гледна точка към риска, а не да се фокусира само върху уязвимостите. Това е традиционната мъдрост, а традиционната мъдрост е погрешна, както по отношение на усилията, така и на въздействието.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.