מדוע ספקים עשויים להתקשות לשמור על מומנטום "מאבטח לפי עיצוב" ISMS.online

מדוע ספקים עשויים להתקשות לשמור על מומנטום "מאבטח לפי עיצוב".

מאת ג'ון ליידן • 20 יוני 2024

עשרות ספקי טכנולוגיה נרשמו לממשלה בגיבוי ממשלת ארה"ב הבטחת Secure by Design. אבל האם המחויבות תסמן שבירה מהעבר ומהמעגל הבלתי נגמר לכאורה של התקפות סייבר? מומחים בלתי תלויים, בעודם משבחים את היוזמה כראויה, נותרו לא בטוחים לגבי ההשפעה הצפויה שלה.

על מה זה?

הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) מנסה לגרום ליצרני תוכנה לחתום על ההתחייבות כחלק מאסטרטגיה רחבה יותר לשיפור חוסן אבטחת הסייבר הלאומי. הוא וולונטרי ואינו מחייב מבחינה משפטית, אך מטרתו להניע ספקי תוכנה להפוך את האבטחה לחלק בסיסי במחזור החיים של פיתוח המוצר שלהם.

מטרות ההתחייבות מתחלקות לשבע קטגוריות:

⦁ הגדל את השימוש באימות רב-גורמי בין מוצרים

⦁ הפחת את השכיחות של סיסמאות ברירת מחדל בין המוצרים

⦁ להדגים הפחתה משמעותית הניתנת למדידה בשכיחות של מחלקה אחת או יותר של פגיעות בין מוצרים

⦁ הגדלת התקנת תיקוני אבטחה על ידי לקוחות

⦁ פרסם מדיניות גילוי פגיעות המאשרת בדיקות פומביות

⦁ הפגינו שקיפות בדיווח על פגיעות על ידי הכללת נתונים מדויקים של ספירת חולשות נפוצה (CWE) ונתוני ספירת פלטפורמות נפוצות (CPE) בדוחות נקודות תורפה. הנפק רשומות של פגיעויות וחשיפה נפוצות (CVE) עבור מוצרים בזמן

⦁ להגדיל את היכולת של לקוחות לאסוף עדויות לפריצות אבטחת סייבר המשפיעות על הטכנולוגיות של היצרן

מפתחי תוכנה, שירותי ענן וטכנולוגיות SaaS נמצאים כולם בגדר ההתחייבות, אך מוצרים פיזיים כגון מכשירי IoT ומוצרי צריכה אינם. קבוצה של 68 חברות טכנולוגיה מובילות - כולל Amazon Web Services, סיסקו, גוגל ומיקרוסופט - חתמה על ההתחייבות כשהושקה בתחילת מאי, והנתון הזה גדל מאז ליותר מ-140 ספקים.

CISA מקווה שהתחייבויות ציבוריות מרשימה הולכת וגדלה של חברות יעודדו שקיפות ויאפשרו ללקוחות להעריך את התקדמות הספקים במטרות האבטחה. היצרנים מתבקשים לתעד את התקדמותם בהשגת יעדיהם תוך שנה מרגע חתימת ההתחייבות, בין השאר כדי שהתעשייה הרחבה יותר תוכל ללמוד מהמסע הביטחוני שלהם.

גיבוי ההבטחה

ספקים כבר מבטיחים באופן שגרתי לשפר את האבטחה שלהם בעקבות התקפות סייבר או הפרות, אז זה לגיטימי לשאול כמה השפעה צפויה להיות להבטחה מרצון.

"ההבטחה עצמה, על אף שהיא חיונית להעלאת המודעות ולקביעת הרף הדרוש לנוהלי אבטחה, אינה אוכפת או מעודדת ספקים מעבר לאחריות אתית לשלב את העקרונות הללו במלואם בתהליכי הפיתוח שלהם", סמנכ"ל האבטחה והתאימות של Keeper Security, Patrick Tiquet, אומר ל-ISMS.online.

"עם זאת, אם לקוחות התוכנה מתעקשים שמפתחים יבטיחו את ההבטחה הזו, ויאשרו שהם מקיימים אותה, ההבטחה תהפוך פחות וולונטרית ותהפוך לציפייה בסיסית".

גם תאימור איג'ל, מומחה טכנולוגי ומוביל אבטחת מידע ב-Netify, נוטה בזהירות.

"חברות מובילות כמו מיקרוסופט וגוגל חייבות להוות דוגמה ולעודד אחרים ללכת בעקבותיהן אם הן רוצות שההבטחה תחולל שינוי משמעותי", הוא אומר ל-ISMS.online. "עם זאת, ללא כוחות שוק או דרישות משפטיות, הרבה ספקי תוכנה עדיין עלולים להיות מסרבים להשתתף, אפילו בגיבוי שלהם."

הרבה תלוי בסטנדרט האתי של החותמים, לדברי איג'ל, שמוסיף כי אפילו מחויבות מכל הלב לשיפורים אינה ערובה להצלחה.

"פגיעות עדיין חומקות אפילו בתוכנות המיוצרות על ידי ספקים מכובדים", הוא טוען. "ההבטחה אמנם מעודדת התקדמות, אך חסרים בה מנגנוני אכיפה כדי להבטיח שחברות עומדות במלואן בהתחייבויותיהן".

מריה אופרה, מומחית לאבטחת סייבר ואנליסטית בכירה ב-EarthWeb, טוענת שספקים יכולים להפיק תועלת כלכלית משיפור האבטחה של המוצרים שלהם.

"עבור ארגונים, לפרצות אבטחה יכולות להיות השפעות הרסניות - קנסות רגולטוריים, נזק למוניטין, זמן השבתה יקר, רק אם להזכיר כמה", היא אומרת ל-ISMS.online. "מעקב אחר שיטות קידוד מאובטחות מההתחלה מפחית חובות טכניים ותיקון יקר לאחר מעשה. זו השקעה נבונה".

חתול ועכבר

קיימת גם סכנה שכל התקדמות שתושג באמצעות ההתחייבות עלולה להתערער על ידי שינויים בטקטיקות של גורמי איום.

ג'ון אליסון, מנהל עסקים במגזר הציבורי ב-Checkmarx, אומר שיש לצפות להתפתחות באיומים, ולכן המטרה צריכה להיות לשפר באופן מתמיד את האבטחה ולגבות עלויות מתוקפים.

"היריבים תמיד מתפתחים, אבל המטרה כאן היא לאלץ אותם להסתגל, ולהשקיע את הזמן והמאמץ כדי למצוא פערים בארכיטקטורת אבטחה נכונה ביסודה", הוא אומר ל-ISMS.online. "הייתי מצפה שהמטרות המאובטחות לפי התכנון יתפתחו עם הזמן ככל שהאיומים יתפתחו גם כן."

Ijlal של Netify טוען ש-Secure by Design חייב להפוך ל"תרגול מתמשך" ולא לגישה חד פעמית.

"מפתחים חייבים להעריך כל הזמן סיכונים חדשים ולפתח את הפרקטיקות שלהם בהתאם. אבטחה סטטית תמיד תעקוף בסופו של דבר", הוא מוסיף. "זה טוב ללמד מפתחים כיצד לעצב קוד מאובטח, לבצע הערכות סיכונים ולהשתמש במודל איומים. ככל שאנו מייעלים נהלים, עלינו להשקיע גם באנשים".

הסט שמאלה

הקידום של שיטות DevSecOps, המעודדות מפתחי תוכנה "לזוז שמאלה" על ידי עיסוק בפרקטיקות קידוד מאובטחות מלכתחילה, מתיישב עם המטרות של הבטחת Secure by Design של CISA.

זה מאפשר למפתחים להפחית סיכונים לפני שהם הופכים לפגיעויות ניתנות לניצול. עם זאת, להשיג זאת דורש יותר מסתם התחייבויות; הוא דורש שילוב מקיף של שיטות עבודה מומלצות לאבטחה לאורך כל מחזור החיים של פיתוח התוכנה.

"בניית ארכיטקטורת אבטחה מחושבת היטב ויעילה דורשת מערך מיומנויות שונה מאוד ממה שיש לרוב מפתחי התוכנה", על פי אליסון של צ'קמארקס. "במהר להביא מוצרים חדשים לשוק, לעתים קרובות מתעלמים לחלוטין מהאבטחה או עושים זאת בצורה מינימלית, מספיק כדי לעבור הסמכה."

כונן סטנדרטים

הסמכות יכולות לסייע בקידום אבטחה בתכנון על ידי העלאת הרף לגבי הבקרות שיש להפעיל וכיצד על המבקרים להעריך את החברה לצורך ההסמכה. ומומחים טוענים שתקני אבטחה כגון ISO 27001 עשויים לסייע גם בקידום תרבות אבטחה לפי עיצוב. ISO 27001, למשל, מספק מסגרת לניהול אבטחת מידע המסייעת לארגונים לטפל באופן שיטתי בסיכוני אבטחה.

"תקנים כמו ISO 27001 ממלאים תפקיד מכריע בקידום תרבות אבטחה לפי עיצוב. על ידי עמידה בסטנדרטים כאלה, חברות יכולות להבטיח שהאבטחה אינה מחשבה שלאחר מכן אלא מרכיב בסיסי בפעילותן", מסכם ה-Tiquet's Keeper Security.

"סטנדרטיזציה זו יכולה להניע את האימוץ של שיטות פיתוח מאובטחות ולטפח סביבת תוכנה עמידה יותר."

ג'ון ליידן

ג'ון ליידן כתב על רשתות מחשבים ואבטחת סייבר במשך יותר מ-20 שנה. לפני הופעת האינטרנט הוא עבד ככתב פשע בעיתון מקומי במנצ'סטר. ג'ון הוא בעל תואר בהנדסת אלקטרוניקה מסיטי, אוניברסיטת לונדון.