Търсене
Close this search box.

Беззъбо ли е обещанието на CISA за сигурност при проектирането?

По време на конференцията RSA 2024 тази седмица марки като Microsoft, Amazon Web Service (AWS), International Business Machines (IBM), Fortinet и други се съгласиха да предприемат стъпки за постигане на набор от седем цели, определени от главния кибернетичен орган на САЩ.

Споразумението е доброволно, не е правно обвързващо, не е необходимо и може да се прилага гъвкаво към всички или само към един от продуктите или услугите на дадена компания. Въпреки това, според подписалите го страни, то може да помогне за раздвижване на инициативата за стимулиране на добри практики и инвестиции в областта на сигурността в различните отрасли.

„Мисля, че това е израз на духа на времето“, казва Грант Гайер, главен оперативен директор на Claroty, един от подписалите споразумението. „Това е признание, че когато повече от нас се съгласят, че ще работят по определен стандарт, това прави по-удобно и отворено за другите да направят същото.“

Няма зъби, няма проблем

Обещанието на CISA „Secure by Design“ се състои от области за подобрение, разделени в седем основни категории: многофакторна автентикация (MFA), пароли по подразбиране, намаляване на цели класове уязвимости, кръпки за сигурност, политика за разкриване на уязвимости, CVE и доказателства за прониквания.

Обещанието не съдържа нищо революционно и няма никаква сила. Но за участващите в него това е без значение.

„Макар че може да нямат пряка власт, мисля, че има косвена власт, като започват да определят какви са очакванията“, казва Крис Хендерсън, старши директор на операциите по заплахите в Huntress, друг подписал ангажимента.

Например, казва той, „в частното пространство има компании, които на практика печелят от инструментите за сигурност в своите продукти. Виждате много компании, които добавят функции за сигурност зад платени стени, защото това се разглежда като лесен начин за увеличаване на приходите. В действителност много от тези функции всъщност не струват допълнителни пари“, добавя Хендерсън.

Той смята, че залогът може да бъде нов подход за насърчаване на публично-частните партньорства без нови регулации.

„Смятам, че обещанието за сигурност по проект е наистина интересен подход чрез частно и правителствено партньорство да се опитаме да стимулираме не регулиране, а промяна на очакванията за „разумно“. Хендерсън казва. „Ако сте продукт, който предлага многофакторна автентикация (MFA) или единично влизане (SSO), но е зад платена стена, и някой от клиентите ви бъде пробит, защото не е плащал за това, ами сега небрежни ли сте?“

Подобно на Хендерсън, Джонатан Трул, CISO на Qualys (също подписал споразумението), смята, че ефектът от споразумението ще бъде предимно икономически. „В търговския сектор има два механизма (за стимулиране). Имате спазване на изискванията, когато те са задължителни и подлежат на изпълнение от Комисията по ценните книжа и фондовите борси (SEC) за публично търгуваните компании“, обяснява Трул. „И след това имате по-мощния (един), който е: Къде ще потекат доларите?“

Надеждата му е тези основни принципи за сигурност да започнат да влияят на купувачите на технологии, добавя Трул.

„Надявам се купувачите да се спрат и да кажат: „Ей, защо не се регистрирахте за това? Дори и да е доброволно“, казва той.

Увеличаване на обхвата отвъд уязвимостите

Независимо от начина, по който компаниите ще се справят с нея, за Гейер от Claroty обещанието е важно само по себе си, тъй като пренасочва разговора към някои основни въпроси на сигурността.

Например, управлението на уязвимостите. Организациите знаят, че трябва да закърпват отделни грешки, когато се появят, но, както CISA отбелязва в своя доклад, „огромното мнозинство от експлоатираните уязвимости днес се дължат на класове уязвимости, които често могат да бъдат предотвратени в голям мащаб“.

В неотдавнашен анализ на повече от 20 милиона активи екипът на Claroty Team82 установи, че 22% и 23% от всички индустриални ОТ и свързани медицински устройства (IoMT) притежават съответно уязвимости с критични CVSS оценки от 9,0 или по-високи. Въпреки това само за 1,3 % и 1,9 % от индустриалните OT и IoMT устройства е установено, че съдържат поне една известна уязвимост, която може да бъде използвана, и комуникират директно с мрежата вместо чрез решение за сигурен достъп.

„Така че, ако възприемете традиционния подход, трябва да патчнете 23% от активите си“, казва Гайер. „Не само че това е огромно число, но и това, което установихме, е, че когато разширите обхвата на риска – от обикновена уязвимост до неща като пароли по подразбиране, ясен текст, комуникации, неща, които са обхванати в този ангажимент – ще трябва да се съсредоточите само върху 1,3 % от активите си.“

„Ако все пак възприемете подхода да обхванете всички 23%, се оказва, че ще пропуснете 43% от най-високите рискове, като например паролите по подразбиране“, добавя Гайер. „Затова е изключително важно CISA да възприема по-широкообхватна гледна точка към риска, а не да се фокусира само върху уязвимостите. Това е традиционната мъдрост, а традиционната мъдрост е погрешна, както по отношение на усилията, така и на въздействието.“

 

Източник: DARKReading

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
Бъдете социални
Още по темата
12/06/2024

Кибератака парализира админ...

Град Кливланд, Охайо, се сблъсква с...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
23/05/2024

САЩ отпускат 50 млн. долара...

Агенцията за авангардни изследователски проекти в...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!