CISA запускает серию “Secure by Design Alert”: защита интерфейсов веб-управления
Кибербезопасность

CISA запускает серию “Secure by Design Alert”: защита интерфейсов веб-управления

admin

Агентство кибербезопасности и безопасности инфраструктуры (CISA) только что представило серию “Оповещение о безопасности по замыслу серия упреждающих действий по выявлению случаев, когда уязвимости или кампании по вторжению могли быть предотвращены поставщиками с помощью принципов безопасного проектирования.

CISA признает, что поставщики выбирают программное обеспечение и средства безопасности в рамках более широких бизнес-решений, и разъясняет, что цель не состоит в том, чтобы возлагать вину на поставщиков. Цель серии – не обвинять, а пролить свет на реальный вред, причиняемый тем, что CISA называет решениями, направленными против безопасности.

SbD-Alert-How-Software-Manufacturers-Can-Shield-Web-Management-Interfaces-From-Malicious-Cyber-Activity_508c-1_0Скачать

В отличие от традиционных обсуждений после кибератак, которые часто фокусируются на действиях жертв, эта серия перенаправляет внимание на то, как решения поставщиков влияют на снижение вреда в глобальном масштабе. Это смещение акцента способствует более активному изучению методов кибербезопасности.

Интерфейсы веб-управления: ландшафт уязвимостей

CISA подчеркивает, что интерфейсы веб-управления остаются благодатной почвой для злоумышленников, ищущих уязвимости и использующих их. Примечательно, что CISA отмечает, что только в этом году она перечислила уязвимости, влияющие на основные интерфейсы веб-управления, в своем каталоге известных эксплуатируемых уязвимостей (KEV):

Несмотря на постоянную угрозу, производители программного обеспечения часто задаются вопросом, почему заказчикам не удается должным образом защитить свои продукты. В ответ на это CISA напоминает, что суть “Защищено ПО замыслу” заключается в том, как производители программного обеспечения конструируют свои продукты для разумной защиты от субъектов угрозы.

Интегрируя меры по снижению рисков в саму структуру своих продуктов, производители могут облегчить бремя кибербезопасности для клиентов, способствуя более надежной защите от потенциальных угроз.

Два ключевых принципа концепции Secure by Design

С выпуском серии предупреждений “Защищено по замыслу” CISA обращает внимание на постоянную угрозу вредоносной кибератаки на интерфейсы веб-управления.

CISA, анализируя непрерывную вредоносную киберактивность против этих цифровых активов, выступает за упреждающий подход среди производителей программного обеспечения. Принимая и внедряя два фундаментальных принципа, производители могут защитить свои продукты от потенциальных угроз, предотвратить угрозу в глобальном масштабе и внести свой вклад в создание более безопасного цифрового ландшафта.

1. Принятие ответственности за результаты обеспечения безопасности клиентов

Этот принцип определяет приоритет стратегических инвестиций в ключевые области безопасности, такие как повышение надежности приложений, функции приложений и настройки по умолчанию. Чтобы соответствовать этому основному принципу защиты по замыслу, производителям рекомендуется тщательно изучать настройки по умолчанию, внедряя устоявшиеся рекомендации непосредственно в свои продукты, а не полагаться на то, что это сделают клиенты.

Практические примеры включают отключение веб-интерфейса продукта по умолчанию, предоставление “руководства по ослаблению” с подробным описанием связанных рисков, настройку продукта таким образом, чтобы избежать уязвимых состояний (таких как прямое подключение к общедоступному Интернету) и введение всплывающих окон с подтверждением для опасных конфигураций.

Кроме того, CISA и адвокатов для производителей, чтобы проводить тщательные полевые испытания , чтобы понять, как клиентам развертывать продукты на различных условиях, преодолении разрыва между застройщиком ожиданий и реальных использование продукта. Эти полевые тесты служат ценным инструментом для определения способов создания продуктов, отвечающих требованиям безопасности клиентов.

Кроме того, для повышения общей безопасности по-прежнему необходимо последовательное применение аутентификации во всем продукте, особенно на критически важных интерфейсах, таких как порталы администраторов. Принимая и воплощая в жизнь принцип “взять ответственность на себя”, производители программного обеспечения, как рекомендовано CISA, могут активно способствовать повышению безопасности клиентов.

2. Радикальная прозрачность и подотчетность

В деле укрепления кибербезопасности, программного обеспечения, производители настоятельно рекомендуется установить приоритет прозрачности при разглашении товара уязвимостей. Центральное место в этой работе является тщательный контроль уязвимости коренных причин и гарантируя, что уязвимость CVE записей носят комплексный характер, включать соответствующие кво поле для обозначения кода ошибки класс, ответственный за уязвимость. Это не только помогает заказчикам понимать и оценивать риски, но и способствует коллективному обучению во всей отрасли, поскольку другие производители извлекают информацию из устраненных ошибок.

Приверженность радикальной прозрачности распространяется на выявление и устранение повторяющихся моделей уязвимостей в продуктах. Продвижение по сложному пути создания продуктов, использующих принципы безопасного проектирования, оказывается сложной и отнимающей много времени работой. Однако, выявляя повторяющиеся ошибки в разработке и настройке программного обеспечения, которые часто приводят к компромиссам, мы можем стратегически направить наши усилия в области, требующие улучшения.

Заключение

Таким образом, запуск серии “Secure by Design Alert” действует как катализатор, побуждая производителей программного обеспечения задуматься о своих жизненных циклах разработки программного обеспечения и о том, как они влияют на результаты обеспечения безопасности клиентов. Применение этих принципов не только укрепляет отдельные продукты, но и повышает общую устойчивость индустрии программного обеспечения, создавая атмосферу постоянного совершенствования и повышая стандарты безопасности.

admin
Author: admin

Hi, I’m admin

Related Posts