Security by Design and Default – ogranicza błędy ludzkie i wzmacnia bezpieczeństwo firmy.

Security by Design and Default – ogranicza błędy ludzkie i wzmacnia bezpieczeństwo firmy.

Ataki ze strony złych aktorów są nieustępliwe, a mimo standardów zgodności, na przykład takich jak FISMA (Federal Information Security Management Act – federalny akt zarządzania bezpieczeństwem informacji) i FedRAMP (Federal Risk and Authorization Management Program – federalny program zarządzania ryzykiem i autoryzacją), nadal dochodzi do naruszeń z powodu problemów technologicznych i błędów ludzkich. W SNOK, firmie specjalizującej się w cyberbezpieczeństwie SAP i Microsoft Azure, rozumiemy te wyzwania i pracujemy nad ich przezwyciężeniem. Aby temu przeciwdziałać opracowano podejście „Security by Design and Default” (SbD-D) które radykalnie zmienia sposób, w jaki patrzymy na obronę cybernetyczną, ponieważ teraz zaniedbanie zabezpieczeń staje się aktywnym wyborem, a nie niezamierzonym błędem.

Ataki cybernetyczne i błędy ludzkie

Badania Microsoftu wykazały, że co sekundę dochodzi do około 921 ataków na hasła – to wzrost o 74% rok do roku. Ale nawet gdyby hasła już nie istniały i wszyscy mieli tożsamości odporne na phishing, firmy nadal byłyby zagrożone. Atakujący są oportunistyczni, zawsze szukają najłatwiejszej drogi do twoich systemów. SbD-D daje przedsiębiorstwom potężny zestaw narzędzi obronnych.

Zmniejszenie podatności od początku

Jeśli każdy nowy element technologii, który firmy wdrażają, jest zabezpieczony od koncepcji do implementacji, zespoły IT i bezpieczeństwa muszą skupić się tylko na utrzymaniu ich bezpieczeństwa. Jest to cel Security by Design and Default, które jednocześnie rozwiązuje kilka problemów:

Testowanie kodu zewnętrznego

Kod od stron trzecich lub open-source, często używany do przyspieszenia rozwoju lub dodania ekskluzywnych funkcji, musi być rygorystycznie testowany na każdym etapie rozwoju.

Walidacja łańcucha dostaw oprogramowania

Łańcuch dostaw oprogramowania musi być zweryfikowany i udokumentowany. Rejestrowanie każdego komponentu i decyzji podjętej w trakcie cyklu życia oprogramowania, za pomocą narzędzia takiego jak open-source Software Bill of Materials (SBOM), pomaga zidentyfikować i złagodzić problemy.

Zasady Zero Trust i obrony w głąb

Środowisko rozwojowe powinno przestrzegać zasad Zero Trust i obrony w środku rozwiązania, aby chronić przed wprowadzeniem szkodliwego kodu na dowolnym etapie rozwoju.

Zabezpieczenia domyślne

Bezpieczeństwo domyślne podchodzi w podobny sposób. Podstawowe funkcje bezpieczeństwa są włączone od razu, a następnie są dostosowywane lub wyłączane, aby dostosować się do operacyjnych potrzeb firmy. Ustawienia i praktyki bezpieczeństwa mogą następnie nadal zmieniać się w miarę ewolucji krajobrazu zagrożeń.

Przeszkody w przyjęciu SbD-D

Więc dlaczego SbD-D nie jest standardem w całym przemyśle technologicznym? Istnieją trzy główne powody:

Kultura i natura ludzka

Wygodnictwo często przeważa nad bezpieczeństwem. Włączenie funkcji bezpieczeństwa domyślnego dla wszystkich użytkowników może prowadzić do ryzykownych obejść i osłabienia technologii zabezpieczeń. Etapowe wdrożenia dla mniejszych grup użytkowników, w połączeniu z pozytywnym wzmocnieniem, mogą pomóc w akceptacji.

Powszechność przestarzałej technologii

Wiele niezbędnych systemów kontroli przemysłowej i innej technologii operacyjnej bazującej na przestarzałych komponentach, prawdopodobnie nie zostanie zmodernizowanych w najbliższym czasie. Te systemy wymagają dodatkowej czujności i warstw zabezpieczeń.

Tempo transformacji

Ograniczenia budżetowe, priorytety kierownictwa i ograniczenia zasobów to tylko niektóre z przeszkód na drodze do modernizacji. Ponadto, istnieje błędne przekonanie, że „bezpieczeństwo równa się wolności”. Chociaż rozwijanie nowego oprogramowania przy użyciu bezpiecznych praktyk może zająć więcej czasu, stanowi to tylko ułamek kosztów związanych z porządkowaniem po poważnym incydencie.

Na szczęście, w miarę jak więcej systemów zostaje zaktualizowanych lub zastąpionych, pojawi się więcej okazji do wprowadzenia produktów zbudowanych i wdrożonych przy użyciu SbD-D.

Podsumowanie

Security by Design and Default to podejście, które zmienia sposób, w jaki patrzymy na cyberbezpieczeństwo. Zamiast być czymś, do czego przystępujemy, staje się czymś, z czego możemy zrezygnować. To podejście pomaga ograniczyć błędy ludzkie i wzmacnia firmy, dając im potężne narzędzia do obrony przed atakami cybernetycznymi.

FAQ

  1. Co to jest Bezpieczeństwo przez Projektowanie i Domyślne (SbD-D)?

Bezpieczeństwo przez Projektowanie i Domyślne to podejście do cyberbezpieczeństwa, które zakłada, że wszystkie systemy są bezpieczne od momentu ich projektowania i implementacji.

  1. Jak SbD-D pomaga ograniczyć błędy ludzkie?

SbD-D sprawia, że zaniedbanie zabezpieczeń staje się aktywnym wyborem, a nie niezamierzonym błędem. To oznacza, że użytkownicy muszą świadomie zdecydować się na zignorowanie zabezpieczeń, co pomaga ograniczyć błędy ludzkie.

  1. Jakie są główne przeszkody w przyjęciu SbD-D?

Główne przeszkody to kultura i natura ludzka, powszechność starszej technologii oraz tempo transformacji.

  1. Czy SbD-D jest już standardem w przemyśle technologicznym?

Nie, SbD-D nie jest jeszcze standardem w całym przemyśle technologicznym, choć jest coraz częściej stosowany.

  1. Czy SbD-D jest skuteczne przeciwko wszystkim rodzajom ataków cybernetycznych?

Chociaż SbD-D jest potężnym narzędziem w walce z atakami cybernetycznymi, nie jest to rozwiązanie wszystkich problemów. Atakujący są oportunistyczni i zawsze szukają najłatwiejszej drogi do systemów. Dlatego ważne jest, aby agencje nadal były czujne i aktualizowały swoje zabezpieczenia w miarę ewolucji krajobrazu zagrożeń.

Artykuł powstał na bazie publikacji: https://www.govexec.com/sponsors/2023/06/security-design-and-default-limits-human-error-and-empowers-agencies/387685/