Търсене
Close this search box.

По време на конференцията RSA 2024 тази седмица марки като Microsoft, Amazon Web Service (AWS), International Business Machines (IBM), Fortinet и други се съгласиха да предприемат стъпки за постигане на набор от седем цели, определени от главния кибернетичен орган на САЩ.

Споразумението е доброволно, не е правно обвързващо, не е необходимо и може да се прилага гъвкаво към всички или само към един от продуктите или услугите на дадена компания. Въпреки това, според подписалите го страни, то може да помогне за раздвижване на инициативата за стимулиране на добри практики и инвестиции в областта на сигурността в различните отрасли.

„Мисля, че това е израз на духа на времето“, казва Грант Гайер, главен оперативен директор на Claroty, един от подписалите споразумението. „Това е признание, че когато повече от нас се съгласят, че ще работят по определен стандарт, това прави по-удобно и отворено за другите да направят същото.“

Няма зъби, няма проблем

Обещанието на CISA „Secure by Design“ се състои от области за подобрение, разделени в седем основни категории: многофакторна автентикация (MFA), пароли по подразбиране, намаляване на цели класове уязвимости, кръпки за сигурност, политика за разкриване на уязвимости, CVE и доказателства за прониквания.

Обещанието не съдържа нищо революционно и няма никаква сила. Но за участващите в него това е без значение.

„Макар че може да нямат пряка власт, мисля, че има косвена власт, като започват да определят какви са очакванията“, казва Крис Хендерсън, старши директор на операциите по заплахите в Huntress, друг подписал ангажимента.

Например, казва той, „в частното пространство има компании, които на практика печелят от инструментите за сигурност в своите продукти. Виждате много компании, които добавят функции за сигурност зад платени стени, защото това се разглежда като лесен начин за увеличаване на приходите. В действителност много от тези функции всъщност не струват допълнителни пари“, добавя Хендерсън.

Той смята, че залогът може да бъде нов подход за насърчаване на публично-частните партньорства без нови регулации.

„Смятам, че обещанието за сигурност по проект е наистина интересен подход чрез частно и правителствено партньорство да се опитаме да стимулираме не регулиране, а промяна на очакванията за „разумно“. Хендерсън казва. „Ако сте продукт, който предлага многофакторна автентикация (MFA) или единично влизане (SSO), но е зад платена стена, и някой от клиентите ви бъде пробит, защото не е плащал за това, ами сега небрежни ли сте?“

Подобно на Хендерсън, Джонатан Трул, CISO на Qualys (също подписал споразумението), смята, че ефектът от споразумението ще бъде предимно икономически. „В търговския сектор има два механизма (за стимулиране). Имате спазване на изискванията, когато те са задължителни и подлежат на изпълнение от Комисията по ценните книжа и фондовите борси (SEC) за публично търгуваните компании“, обяснява Трул. „И след това имате по-мощния (един), който е: Къде ще потекат доларите?“

Надеждата му е тези основни принципи за сигурност да започнат да влияят на купувачите на технологии, добавя Трул.

„Надявам се купувачите да се спрат и да кажат: „Ей, защо не се регистрирахте за това? Дори и да е доброволно“, казва той.

Увеличаване на обхвата отвъд уязвимостите

Независимо от начина, по който компаниите ще се справят с нея, за Гейер от Claroty обещанието е важно само по себе си, тъй като пренасочва разговора към някои основни въпроси на сигурността.

Например, управлението на уязвимостите. Организациите знаят, че трябва да закърпват отделни грешки, когато се появят, но, както CISA отбелязва в своя доклад, „огромното мнозинство от експлоатираните уязвимости днес се дължат на класове уязвимости, които често могат да бъдат предотвратени в голям мащаб“.

В неотдавнашен анализ на повече от 20 милиона активи екипът на Claroty Team82 установи, че 22% и 23% от всички индустриални ОТ и свързани медицински устройства (IoMT) притежават съответно уязвимости с критични CVSS оценки от 9,0 или по-високи. Въпреки това само за 1,3 % и 1,9 % от индустриалните OT и IoMT устройства е установено, че съдържат поне една известна уязвимост, която може да бъде използвана, и комуникират директно с мрежата вместо чрез решение за сигурен достъп.

„Така че, ако възприемете традиционния подход, трябва да патчнете 23% от активите си“, казва Гайер. „Не само че това е огромно число, но и това, което установихме, е, че когато разширите обхвата на риска – от обикновена уязвимост до неща като пароли по подразбиране, ясен текст, комуникации, неща, които са обхванати в този ангажимент – ще трябва да се съсредоточите само върху 1,3 % от активите си.“

„Ако все пак възприемете подхода да обхванете всички 23%, се оказва, че ще пропуснете 43% от най-високите рискове, като например паролите по подразбиране“, добавя Гайер. „Затова е изключително важно CISA да възприема по-широкообхватна гледна точка към риска, а не да се фокусира само върху уязвимостите. Това е традиционната мъдрост, а традиционната мъдрост е погрешна, както по отношение на усилията, така и на въздействието.“

 

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
01/10/2024

FERC очертава правила за си...

Федералната комисия за енергийно регулиране на...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
30/09/2024

Калифорния наложи вето върх...

В неделя губернаторът на Калифорния Гавин...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!