Търсене
Close this search box.

Продуктите за киберсигурност трябва да включват надеждна защита на всички етапи от жизнения цикъл на продукта, а доставчикът на киберсигурност трябва да предлага непрекъснати иновации и подобрения през целия жизнен цикъл на продукта. Независимо от това колко внимателни са разработчиците, целият код на софтуера и приложенията неизменно съдържа грешки – някои от тях доброкачествени, но други водещи до уязвимости.

Големият въпрос е какво да се прави, когато се открие грешка.

Реакциите на доставчиците варират в широки граници – от открито оповестяване до мълчаливо отстраняване без признаване на съществуването им. Подобна непоследователна реакция оставя потребителите несъзнателно уязвими и/или принудени да прилагат поправки в кратки срокове.

Макар че съществуват международни и отраслови най-добри практики за създаване на отговорни процеси на оповестяване, които са в съответствие с тези усилия, тези подходи най-често са доброволни, а не задължителни. Гарантирането, че организациите възприемат процеси на отговорно оповестяване, е от решаващо значение за силната позиция в областта на киберсигурността и защитата на потребителите от потенциални уязвимости.

Организациите трябва да настояват да работят с доставчици, ангажирани с отговорни практики за разработване и разкриване на информация, които следват стандартизирани етични правила и най-добри практики за повишаване на киберустойчивостта. Внедряването на критични и навременни поправки, пачове и актуализации е от съществено значение за предпазване на организацията от нови заплахи, които искат да се възползват от нови уязвимости.

Така че, когато оценявате потенциалните доставчици, е изключително важно да зададете следните три въпроса.

1. Провежда ли вашият доставчик задълбочено тестване на продукта? Как се извършва то?

Тестването изисква значителни ресурси – време, квалифицирана работна ръка и финансови инвестиции. Някои доставчици бързат с пускането на продуктите на пазара, като се справят с уязвимостите само когато те бъдат открити, често от клиенти или изследователи от трети страни.

Доставчиците може да не разполагат с необходимите финансови, структурни или човешки ресурси за провеждане на надеждно тестване. Срещането на доставчик, който разкрива малко или никакви уязвимости, може да се дължи на тези ограничения.

В същото време е важно да се помни, че броят на уязвимостите на даден доставчик обикновено е свързан с мащаба на неговите операции и продуктова гама. Големият брой уязвимости не означава автоматично, че мерките за сигурност или качеството на продуктите са по-ниски. Критичният фактор се крие в процесите, прилагани за гарантиране на сигурността на продукта през целия цикъл на разработване до края на жизнения му цикъл.

Достоверният доставчик на киберсигурност трябва да вгради стриктно вътрешно и външно тестване във всяка фаза на разработване на продукта. Навременното откриване на уязвимостите – преди злонамерена организация да може да се възползва от тях – е от първостепенно значение.

Това включва такива неща като строг преглед и одит на кода, статично и динамично тестване на сигурността на приложенията (SAST и DAST), тестване за проникване, fuzzing и други подобни усилия за откриване на уязвимости, които могат да бъдат използвани.

 

2. Какъв е балансът на вашия доставчик между вътрешно и външно откритите уязвимости?

В идеалния случай проактивният подход на доставчика към разработването и тестването ще доведе до съотношение на предимно вътрешно открити уязвимости. Това не само означава проактивно усилие за защита на клиентите, но също така демонстрира ангажимента на доставчика за надеждно тестване и разкриване.

Според един скорошен анализ на индустрията средната извадка от софтуерен код съдържа 6000 дефекта на милион реда код. Изследвания, проведени в Института за софтуерно инженерство към Университета Карнеги Мелън, показват, че около пет процента от тези дефекти могат да бъдат използвани. Това означава приблизително три уязвимости, които могат да бъдат експлоатирани, на всеки 10 000 реда код.

В резултат на това компаниите с обширно продуктово портфолио могат да разкрият повече уязвимости просто поради самия размер на тяхната база от кодове. Ето защо е изключително важно да се помни, че цифрите сами по себе си не дават пълна картина.

По-големият брой уязвимости не означава непременно по-ниска степен на сигурност. Вместо това те отразяват по-големия набор от продукти, които подлежат на анализ.

Проактивният подход към отговорното разработване и оповестяване не само идентифицира рисковете, но и улеснява бързото разработване и внедряване на корекции, като по този начин предотвратява потенциална експлоатация.

3. Как вашият доставчик се справя с докладваните уязвимости?

В допълнение към самооткриването, изследователите на заплахи, индустриалните групи и други активно се занимават с откриването на уязвимости. Това е от решаващо значение, за да се гарантира, че уязвимостите се откриват и отстраняват, преди  заплахите да могат да се възползват от тях.

Много доставчици открито работят с външни групи, за да насърчават отговорното разкриване, което позволява да се подготвят поправки и кръпки, преди уязвимостите да бъдат съобщени публично.

Доставчиците трябва да се включат в открита дискусия за практиките за отговорно разкриване. Начинът, по който те работят с външни изследователи, подчертава ангажимента им към сигурността на техните клиенти и на по-широката киберпространствена среда.

Трябва да разберете ангажимента на вашия доставчик по отношение на откриването и оповестяването на уязвимости. Започнете с позоваване на достоверни източници, като например принципите Secure-by-Design на Агенцията за киберсигурност и инфраструктурна сигурност (CISA) или Политиката за разкриване на уязвимости на Алианса за киберзаплахи (CTA).

Според политиката за разкриване на уязвимости на CTA „идентифицирането, докладването и отстраняването на хардуерни и софтуерни уязвимости е съществен компонент от програмата за киберсигурност на всяка организация“.

Отговорното оповестяване гарантира, че заинтересованите страни, като например потребителите, ще бъдат своевременно информирани за откритите уязвимости, което ще позволи предприемането на превантивни действия. Повечето реномирани доставчици поддържат документирани политики за отговорно оповестяване. Трябва да поискате да се запознаете с тях.

Обикновено процесът започва с докладване от изследователите на откритите уязвимости на разработчиците чрез установен процес, като се дава време за отстраняване от страна на доставчика, а в някои случаи и за ограничаване на въздействието върху потребителите, преди да се оповести публично.

Въпреки че подобни процеси са били предмет на значителни дебати в общността за киберсигурност, като някои доставчици са се противопоставяли на разкриването на уязвимости, сега консенсусът в индустрията клони към принципите на отговорното разкриване, които са от полза за потребителите на киберсигурност.

Практиките за отговорно разработване и оповестяване ви защитават

Проактивното и прозрачно оповестяване дава възможност на потребителите да разполагат с информацията, от която се нуждаят, за да защитят ефективно своите активи.

След като разберете основните принципи на отговорното разработване и оповестяване, потърсете доставчици, които си сътрудничат с клиенти, независими изследователи, браншови организации и колеги, за да укрепят мерките за сигурност.

Например CISA наскоро представи обещание за сигурност при проектирането, подписано от повече от 60 доставчици, включително Fortinet, което включва елементи от принципа на „радикална прозрачност“, включително „в духа на радикалната прозрачност производителят се насърчава да документира публично своя подход, за да могат другите да се учат“. Вашият доставчик приел ли е това обещание? Попитайте вашия за съотношението между вътрешните и външно откритите уязвимости.

По-голямата част от докладваните уязвимости трябва да бъдат открити самостоятелно. Отстранените проблеми, независимо дали са вътрешно или външно открити, трябва да бъдат прозрачно оповестени и отговорно разгледани.

Когато става въпрос за киберсигурност и защита на вашите критични цифрови активи, слънчевата светлина е най-добрият дезинфектант.

Aвтор: Карл Уиндзор, главен вицепрезидент „Продукти и технологии“ във Fortinet

Източник: e-security.bg

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!