Hvorfor sælgere kan kæmpe for at bevare "Secure by Design" momentum

Snesevis af teknologileverandører har underskrevet en amerikansk regeringsstøttet Secure by Design løfte. Men vil engagementet markere et brud med fortiden og den tilsyneladende uendelige cyklus af cyberangreb? Selv om uafhængige eksperter roser initiativet som værdigt, er de stadig usikre på dets sandsynlige virkning.

Hvad handler det om?

Det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed (CISA) forsøger at få softwareleverandører til at underskrive løftet som en del af en bredere strategi for at forbedre den nationale cybersikkerheds modstandskraft. Det er frivilligt og ikke juridisk bindende, men har til formål at drive softwareleverandører til at gøre sikkerhed til en grundlæggende del af deres produktudviklingslivscyklus.

Målene for løftet falder i syv kategorier:

⦁ Øge brugen af ​​multi-faktor autentificering på tværs af produkter

⦁ Reducer udbredelsen af ​​standardadgangskoder på tværs af produkter

⦁ Demonstrere en betydelig målbar reduktion i udbredelsen af ​​en eller flere sårbarhedsklasser på tværs af produkter

⦁ Forøg kundernes installation af sikkerhedsrettelser

⦁ Offentliggør en politik for offentliggørelse af sårbarheder, der tillader offentlig testning

⦁ Demonstrer gennemsigtighed i sårbarhedsrapportering ved at inkludere nøjagtige Common Weakness Enumeration (CWE) og Common Platform Enumeration (CPE) data i sårbarhedsrapporter. Udsted Common Vulnerabilities and Exposures (CVE)-poster for produkter rettidigt

⦁ Øge kundernes evne til at indsamle beviser for cybersikkerhedsindtrængen, der påvirker en producents teknologier

Softwareudviklere, cloud-tjenester og SaaS-teknologier er alle inden for løftets rammer, men fysiske produkter såsom IoT-enheder og forbrugsvarer er det ikke. En gruppe på 68 førende teknologivirksomheder – herunder Amazon Web Services, Cisco, Google og Microsoft – underskrev løftet, da det blev lanceret i begyndelsen af ​​maj, og dette tal er siden steget til mere end 140 leverandører.

CISA håber, at offentlige tilsagn fra en voksende liste af virksomheder vil tilskynde til gennemsigtighed og gøre det muligt for kunderne at evaluere leverandørers fremskridt med hensyn til sikkerhedsmål. Producenter bliver bedt om at dokumentere deres fremskridt med at nå deres mål inden for et år efter underskrivelsen af ​​løftet, dels for at den bredere industri kan lære af deres sikkerhedsrejse.

Sikkerhedskopiering af løftet

Leverandører lover allerede rutinemæssigt at forbedre deres sikkerhed i kølvandet på cyberangreb eller brud, så det er legitimt at spørge, hvor stor indflydelse et frivilligt løfte sandsynligvis vil have.

"Selve løftet er afgørende for at øge bevidstheden og sætte det nødvendige benchmark for sikkerhedspraksis, men det håndhæver eller tilskynder ikke leverandører ud over etisk ansvar til fuldt ud at integrere disse principper i deres udviklingsprocesser," siger Keeper Security VP for sikkerhed og compliance, Patrick Tiquet, fortæller ISMS.online.

"Men hvis softwarekunder insisterer på, at udviklere giver dette løfte og bekræfter, at de følger det, vil løftet blive mindre frivilligt og omdannes til en grundlæggende forventning."

Taimur Ijlal, en tech-ekspert og informationssikkerhedsleder hos Netify, er også forsigtig.

"Ledende virksomheder som Microsoft og Google skal være et eksempel og opfordre andre til at følge efter, hvis de ønsker, at løftet skal medføre væsentlige ændringer," siger han til ISMS.online. "Uden markedskræfter eller juridiske krav kunne mange softwareudbydere dog stadig være tilbageholdende med at deltage, selv med deres opbakning."

Meget afhænger af underskrivernes etiske standard, ifølge Ijlal, der tilføjer, at selv et helhjertet engagement i forbedringer ikke er nogen garanti for succes.

"Sårbarheder slipper stadig igennem selv i software produceret af velrenommerede leverandører," argumenterer han. "Selvom løftet tilskynder til fremskridt, mangler det håndhævelsesmekanismer til at sikre, at virksomheder fuldt ud lever op til deres forpligtelser."

Maria Opre, en cybersikkerhedsekspert og senioranalytiker hos EarthWeb, hævder, at leverandører kan høste økonomiske fordele ved at forbedre sikkerheden af ​​deres produkter.

"For virksomheder kan sikkerhedsbrud have ødelæggende konsekvenser - reguleringsbøder, skade på omdømmet, dyr nedetid, bare for at nævne nogle få," siger hun til ISMS.online. "At følge sikker kodningspraksis fra starten reducerer teknisk gæld og dyre efterfølgende patching. Det er en klog investering.”

Kat og mus

Der er også en fare for, at ethvert fremskridt, der opnås gennem løftet, kan blive undermineret af ændringer i trusselsaktørernes taktik.

John Allison, direktør for offentlig sektor hos Checkmarx, siger, at der kan forventes en udvikling i trusler, så målet bør være løbende at forbedre sikkerheden og pålægge angribere omkostninger.

"Modstandere udvikler sig altid, men målet her er at tvinge dem til at tilpasse sig og at investere tid og kræfter på at finde huller i en grundlæggende sund sikkerhedsarkitektur," siger han til ISMS.online. "Jeg ville forvente, at de sikre-by-design-mål udvikler sig over tid, efterhånden som truslerne også udvikler sig."

Netifys Ijlal argumenterer for, at Secure by Design skal blive en "igangværende praksis" snarere end en engangstilgang med afkrydsningsfelter.

"Udviklere skal konstant vurdere nye risici og udvikle deres praksis i overensstemmelse hermed. Statisk sikkerhed vil altid blive omgået til sidst,” tilføjer han. "Det er godt at lære udviklere, hvordan man designer sikker kode, laver risikovurderinger og anvender trusselsmodellering. Efterhånden som vi strømliner procedurer, skal vi også investere i mennesker.”

Skift til venstre

Fremme af DevSecOps-praksis, som tilskynder softwareudviklere til at "skifte til venstre" ved at engagere sig i sikker kodningspraksis fra starten, stemmer overens med målene for CISA's Secure by Design-løfte.

Det giver udviklere mulighed for at mindske risici, før de bliver udnyttelige sårbarheder. Men at opnå dette kræver mere end blot løfter; det kræver en omfattende integration af bedste sikkerhedspraksis gennem hele softwareudviklingens livscyklus.

"At bygge en gennemtænkt og effektiv sikkerhedsarkitektur kræver en meget anden færdighed, end de fleste softwareudviklere har," ifølge Checkmarx' Allison. "I hastværket med at få nye produkter på markedet, bliver sikkerhed ofte enten ignoreret fuldstændigt eller gjort minimalt, bare tilstrækkeligt til at bestå en certificering."

Standard Drive

Certificeringer kan være med til at fremme sikker by design ved at hæve barren for, hvilke kontroller der skal være på plads, og hvordan revisorerne skal vurdere virksomheden til certificeringen. Og eksperter hævder, at sikkerhedsstandarder såsom ISO 27001 også kan hjælpe med at fremme en security-by-design kultur. ISO 27001, for eksempel, giver en ramme for styring af informationssikkerhed, der hjælper organisationer med systematisk at håndtere sikkerhedsrisici.

“Standarder som ISO 27001 spiller en afgørende rolle i at fremme en security-by-design kultur. Ved at overholde sådanne standarder kan virksomheder sikre, at sikkerhed ikke er en eftertanke, men en grundlæggende komponent i deres operationer,” afslutter Keeper Security's Tiquet.

"Denne standardisering kan drive overtagelsen af ​​sikker udviklingspraksis og fremme et mere robust softwaremiljø."