Продуктите за киберсигурност трябва да включват надеждна защита на всички етапи от жизнения цикъл на продукта, а доставчикът на киберсигурност трябва да предлага непрекъснати иновации и подобрения през целия жизнен цикъл на продукта. Независимо от това колко внимателни са разработчиците, целият код на софтуера и приложенията неизменно съдържа грешки – някои от тях доброкачествени, но други водещи до уязвимости.
Големият въпрос е какво да се прави, когато се открие грешка.
Реакциите на доставчиците варират в широки граници – от открито оповестяване до мълчаливо отстраняване без признаване на съществуването им. Подобна непоследователна реакция оставя потребителите несъзнателно уязвими и/или принудени да прилагат поправки в кратки срокове.
Макар че съществуват международни и отраслови най-добри практики за създаване на отговорни процеси на оповестяване, които са в съответствие с тези усилия, тези подходи най-често са доброволни, а не задължителни. Гарантирането, че организациите възприемат процеси на отговорно оповестяване, е от решаващо значение за силната позиция в областта на киберсигурността и защитата на потребителите от потенциални уязвимости.
Организациите трябва да настояват да работят с доставчици, ангажирани с отговорни практики за разработване и разкриване на информация, които следват стандартизирани етични правила и най-добри практики за повишаване на киберустойчивостта. Внедряването на критични и навременни поправки, пачове и актуализации е от съществено значение за предпазване на организацията от нови заплахи, които искат да се възползват от нови уязвимости.
Така че, когато оценявате потенциалните доставчици, е изключително важно да зададете следните три въпроса.
Тестването изисква значителни ресурси – време, квалифицирана работна ръка и финансови инвестиции. Някои доставчици бързат с пускането на продуктите на пазара, като се справят с уязвимостите само когато те бъдат открити, често от клиенти или изследователи от трети страни.
Доставчиците може да не разполагат с необходимите финансови, структурни или човешки ресурси за провеждане на надеждно тестване. Срещането на доставчик, който разкрива малко или никакви уязвимости, може да се дължи на тези ограничения.
В същото време е важно да се помни, че броят на уязвимостите на даден доставчик обикновено е свързан с мащаба на неговите операции и продуктова гама. Големият брой уязвимости не означава автоматично, че мерките за сигурност или качеството на продуктите са по-ниски. Критичният фактор се крие в процесите, прилагани за гарантиране на сигурността на продукта през целия цикъл на разработване до края на жизнения му цикъл.
Достоверният доставчик на киберсигурност трябва да вгради стриктно вътрешно и външно тестване във всяка фаза на разработване на продукта. Навременното откриване на уязвимостите – преди злонамерена организация да може да се възползва от тях – е от първостепенно значение.
Това включва такива неща като строг преглед и одит на кода, статично и динамично тестване на сигурността на приложенията (SAST и DAST), тестване за проникване, fuzzing и други подобни усилия за откриване на уязвимости, които могат да бъдат използвани.
В идеалния случай проактивният подход на доставчика към разработването и тестването ще доведе до съотношение на предимно вътрешно открити уязвимости. Това не само означава проактивно усилие за защита на клиентите, но също така демонстрира ангажимента на доставчика за надеждно тестване и разкриване.
Според един скорошен анализ на индустрията средната извадка от софтуерен код съдържа 6000 дефекта на милион реда код. Изследвания, проведени в Института за софтуерно инженерство към Университета Карнеги Мелън, показват, че около пет процента от тези дефекти могат да бъдат използвани. Това означава приблизително три уязвимости, които могат да бъдат експлоатирани, на всеки 10 000 реда код.
В резултат на това компаниите с обширно продуктово портфолио могат да разкрият повече уязвимости просто поради самия размер на тяхната база от кодове. Ето защо е изключително важно да се помни, че цифрите сами по себе си не дават пълна картина.
По-големият брой уязвимости не означава непременно по-ниска степен на сигурност. Вместо това те отразяват по-големия набор от продукти, които подлежат на анализ.
Проактивният подход към отговорното разработване и оповестяване не само идентифицира рисковете, но и улеснява бързото разработване и внедряване на корекции, като по този начин предотвратява потенциална експлоатация.
В допълнение към самооткриването, изследователите на заплахи, индустриалните групи и други активно се занимават с откриването на уязвимости. Това е от решаващо значение, за да се гарантира, че уязвимостите се откриват и отстраняват, преди заплахите да могат да се възползват от тях.
Много доставчици открито работят с външни групи, за да насърчават отговорното разкриване, което позволява да се подготвят поправки и кръпки, преди уязвимостите да бъдат съобщени публично.
Доставчиците трябва да се включат в открита дискусия за практиките за отговорно разкриване. Начинът, по който те работят с външни изследователи, подчертава ангажимента им към сигурността на техните клиенти и на по-широката киберпространствена среда.
Трябва да разберете ангажимента на вашия доставчик по отношение на откриването и оповестяването на уязвимости. Започнете с позоваване на достоверни източници, като например принципите Secure-by-Design на Агенцията за киберсигурност и инфраструктурна сигурност (CISA) или Политиката за разкриване на уязвимости на Алианса за киберзаплахи (CTA).
Според политиката за разкриване на уязвимости на CTA „идентифицирането, докладването и отстраняването на хардуерни и софтуерни уязвимости е съществен компонент от програмата за киберсигурност на всяка организация“.
Отговорното оповестяване гарантира, че заинтересованите страни, като например потребителите, ще бъдат своевременно информирани за откритите уязвимости, което ще позволи предприемането на превантивни действия. Повечето реномирани доставчици поддържат документирани политики за отговорно оповестяване. Трябва да поискате да се запознаете с тях.
Обикновено процесът започва с докладване от изследователите на откритите уязвимости на разработчиците чрез установен процес, като се дава време за отстраняване от страна на доставчика, а в някои случаи и за ограничаване на въздействието върху потребителите, преди да се оповести публично.
Въпреки че подобни процеси са били предмет на значителни дебати в общността за киберсигурност, като някои доставчици са се противопоставяли на разкриването на уязвимости, сега консенсусът в индустрията клони към принципите на отговорното разкриване, които са от полза за потребителите на киберсигурност.
Проактивното и прозрачно оповестяване дава възможност на потребителите да разполагат с информацията, от която се нуждаят, за да защитят ефективно своите активи.
След като разберете основните принципи на отговорното разработване и оповестяване, потърсете доставчици, които си сътрудничат с клиенти, независими изследователи, браншови организации и колеги, за да укрепят мерките за сигурност.
Например CISA наскоро представи обещание за сигурност при проектирането, подписано от повече от 60 доставчици, включително Fortinet, което включва елементи от принципа на „радикална прозрачност“, включително „в духа на радикалната прозрачност производителят се насърчава да документира публично своя подход, за да могат другите да се учат“. Вашият доставчик приел ли е това обещание? Попитайте вашия за съотношението между вътрешните и външно откритите уязвимости.
По-голямата част от докладваните уязвимости трябва да бъдат открити самостоятелно. Отстранените проблеми, независимо дали са вътрешно или външно открити, трябва да бъдат прозрачно оповестени и отговорно разгледани.
Когато става въпрос за киберсигурност и защита на вашите критични цифрови активи, слънчевата светлина е най-добрият дезинфектант.
Aвтор: Карл Уиндзор, главен вицепрезидент „Продукти и технологии“ във Fortinet
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.