داخل ثورة “التصميم الآمن”.

لقد كان مفهوم Secure by Design موجودًا منذ سنوات. أطلقت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) برنامجها مبادرة Secure by Design في أبريل 2023، وتواصل الوكالة دعم التقدم في هذا المجال.

كجزء من جهودها المستمرة، CISA أعلنت عن تعهد “التأمين حسب التصميم”. في ال مؤتمر RSA 2024 بشهر مايو. لقد استمع أكثر من 100 مصنع للبرمجيات إلى الدعوة الحاشدة و وقعت على التعهد هذا البعد.

“هناك رغبة حقيقية بين الموقعين على التعهد في أن يكونوا من أوائل المتبنين والمتحركين الأوائل، كجزء مما نسميه ثورة التصميم الآمن،” تقول لورين زابيريك، كبير المستشارين في قسم الأمن السيبراني في CISA، لموقع InformationWeek.

ماذا يعني التعهد بالنسبة لهذه الشركات، وكيف يمكن أن يؤدي إلى تحسينات في الأمن السيبراني؟ وقد ناقش قادة ست شركات التزامهم بهذا التعهد.

التعهد

إن Secure by Design Pledge عبارة عن مبادرة تطوعية تدعو الشركات التي تقوم بتطوير برمجيات المؤسسات، بما في ذلك المنتجات المحلية والسحابية ومنتجات SaaS، لإظهار التقدم نحو سبعة أهداف. تشمل الأهداف ما يلي:

متعلق ب:يقول الخبراء إن افتقار شركة Snowflake إلى سيطرة MFA يترك الشركات عرضة للخطر

يقول زابيريك: “نعتقد أن هذه هي أهم الإجراءات الملموسة التي يمكننا القيام بها الآن، والتي تعتمد حقًا على مشهد التهديد الحالي”. ولم تحدد CISA هذه الأهداف من تلقاء نفسها. وبدلا من ذلك، تعاونت الوكالة مع أصحاب المصلحة في الصناعة لتنظيم التعهد.

على الرغم من أن التعهد ليس ملزمًا قانونًا، إلا أنه يشجع أولئك الذين قاموا بالتسجيل على إظهار تقدم واضح في كل هدف من الأهداف السبعة في غضون عام.

“الشيء الوحيد الذي نحبه، وأعتقد أن الكثير من الصناعة يحبه، هو أنه يسمح بالمرونة في إظهار كيفية تحقيق هذه الأهداف،” تشارلي سنايدر، رئيس السياسة الأمنية في شركة. جوجل“، يقول InformationWeek.

إذا لم يتمكن الموقعون على التعهد من إظهار التقدم خلال عام واحد، فإن CISA تشجعهم على التواصل مع الخطوات التي اتخذوها ومشاركة التحديات التي واجهوها. وتخطط الوكالة لتقديم دعمها على مدار العام.

يوضح زابيريك: “سنعمل بشكل وثيق جدًا مع الموقعين على التعهد للمساعدة في إحراز تقدم بشأن أهداف التعهد هذه”. “لقد عملنا بشكل تعاوني مع الصناعة لتطوير الإجراءات، وسنحافظ على هذا التعاون.”

متعلق ب:مايوركاس، إيسترلي في RSAC Talk AI والأمن والدفاع الرقمي

استجابة الصناعة للتأمين من خلال تعهد التصميم

ويضم التعهد أكثر من 100 شركة اليوم، وهذا العدد آخذ في الازدياد. قامت العديد من الشركات بتطبيق مبادئ Secure by Design على منتجاتها لسنوات، مما يجعل التعهد طريقة منطقية لإظهار الدعم علنًا.

“لقد كنا نتبع مبادئ Secure by Design وSecure by Default منذ الأيام الأولى في السحابة الخاصة بنا،” مارك ريلاند، مدير Amazon Security في خدمات الويب من أمازون (AWS). “لذا، لم يكن الانضمام إليهم قرارًا صعبًا وتشجيع الصناعة بأكملها على دعم بعض هذه الأفكار.”

وأعرب الموقعون على التعهد عن مشاعر مماثلة في المنشورات المنشورة بيانات تأييد للتعهد.

أعرب العديد من القادة عن التزامهم بالتعاون المستمر بين القطاعين العام والخاص، بما في ذلك مارجوري ديكمان، رئيسة الشؤون الحكومية ومسؤولة السياسة العامة في شركة الأمن السيبراني. بلاك بيري.

وقالت لـ InformationWeek عبر البريد الإلكتروني: “لقد تأثر قرارنا أيضًا بالتزامنا القوي بالشراكات بين القطاعين العام والخاص والرؤية المشتركة لأفضل ممارسات الأمن السيبراني لتأمين النظام البيئي الرقمي”.

من الكلمات إلى العمل

وفي حين أن دعم هذا التعهد يعد علامة مشجعة، إلا أنه سيتعين على الشركات المشاركة في الوفاء بوعودها خلال العام المقبل. أين تقف الشركات من أهداف التعهد اليوم، وكيف ستظهر التقدم؟

متعلق ب:مؤتمر RSA 2024

ستقطع بعض الشركات شوطًا أطول في هذه العملية مقارنةً بالشركات الأخرى التي بدأت للتو في التفاف أذرعها حول الأمن السيبراني.

منصة المطور جيثبعلى سبيل المثال، لديها العديد من المبادرات التي تتوافق مع أهداف التعهد، بما في ذلك برنامج مكافأة الأخطاء، وأدوات الأمان المجانية لمطوري المصادر المفتوحة، ومتطلبات المصادقة الثنائية، وفقًا لجاكوب ديبريست، نائب الرئيس التنفيذي ونائب الرئيس. يعمل GitHub أيضًا كهيئة ترقيم CVE (CNA).

اتبعت أمازون العديد من الممارسات الموضحة في التعهد منذ الأيام الأولى للسحابة، وفقًا لرايلاند. تخطط شركة التكنولوجيا العملاقة أيضًا لدفع التقدم في مجالات مثل MFA. ويقول: “سنعمل على زيادة… نطاق الحسابات التي ستتطلب اعتماد التمويل الأصغر (MFA) مع تقدمنا ​​خلال العام المقبل أو أكثر”.

وتركز أمازون أيضًا على زيادة استخدام اللغات الآمنة للذاكرة وزيادة استخدام أدوات التحقق الرسمية لتحسين جودة البرامج، وفقًا لرايلاند.

اضطرت Google إلى إعادة تصور وإعادة تصميم برنامج الأمن السيبراني الخاص بها في أعقاب الأزمة عملية أورورا للهجوم الإلكتروني في عام 2009. “في نواحٍ عديدة، [pledge] يقول سنايدر: “يعكس الممارسات التي ظلت جوجل تنفذها لسنوات”.

لكن جوجل ستظل تبحث عن طرق لتوصيل التقدم المحرز في أهداف التعهد. “نحن ننظم داخليًا من أجل… إجراء جرد… ما هي جميع المبادرات قيد التنفيذ؟” يقول سنايدر. “[We are] والتأكد من أننا… ننظمهم بطريقة تلبي احتياجات الحكومة أينما كانوا ويمكن أن تظهر بشكل ملموس أن الصناعة تنفذ هذه الالتزامات.

Tidelift، وهي شركة تتعاون مع مشرفي المصادر المفتوحة، لا تقوم فقط بتطبيق المبادئ الموضحة في التعهد على برمجياتها الخاصة، ولكنها نشرت أيضًا دليلاً تحديث حول الطرق التي تعمل بها لمساعدة القائمين على صيانة المصادر المفتوحة على تحقيق أهداف التعهد.

تطلب الشركة من مشرفي المصادر المفتوحة الذين تعمل معهم تمكين المصادقة متعددة العوامل على جميع أجزاء سلسلة توريد البرامج الخاصة بهم ووضع سياسة الكشف عن الثغرات الأمنية. كما أنها تعمل مع شركاء مفتوحي المصدر للقضاء على فئات كاملة من نقاط الضعف.

ناقش مدير CISA، جين إيسترلي، مبادئ التصميم الآمن في مؤتمر RSA 2024. تصوير جواو بيير إس روث

يقول دونالد: “لقد عملنا مع مشروع بارز في النظام البيئي للغة Java، jackson-databind، لإعادة هندسة جزء من مكتبتهم بشكل أساسي لتقليل فئة كاملة من نقاط الضعف في تنفيذ التعليمات البرمجية عن بُعد والتي كان من الممكن استخدامها كهجوم على تلك المكتبة”. فيشر، المؤسس المشارك والرئيس التنفيذي لشركة رفع المد والجزر.

قد تكون بعض الأهداف أسهل من غيرها بالنسبة للصناعة للتعامل معها. نظرًا لتزايد تعقيد سلسلة توريد البرامج، يتعين على قادة المؤسسات التفكير في كيفية تطبيق مبادئ Secure by Design على أكثر من مجرد منتجاتهم الأساسية.

شركة الأمن السيبراني لذكاء الأصول أرميس ومن بين الذين أخذوا العهد. يقول نادر عزرائيل، المؤسس المشارك للشركة والمدير التنفيذي للتكنولوجيا، أن فريقه يدرس أفضل طريقة للعمل من خلال أهداف التعهد حيث يستحوذ على شركات أصغر في وقت سابق في رحلات الأمن السيبراني الخاصة بهم.

“إن التحدي الأكبر الذي يواجهنا لا يتمثل في الالتزام بكل هذا من خلال خط منتجاتنا الأساسي والأشياء التي قمنا ببنائها، ولكن في الواقع دمجها [it] في هذا المزيج [of] الاستحواذات”، كما يقول. “نحن لا نستهلك أو ندمج الشركات المستحوذ عليها بشكل كامل في بيئة الخط الرئيسي والمنتج حتى نصل إلى مستوى معين من النضج.”

إن الطبيعة المتصلة لسلسلة توريد البرامج تعني أيضًا أن نجاح مبادئ Secure by Design يعتمد على العمل الجماعي.

يقول ديبريست لـ InformationWeek عبر البريد الإلكتروني: “إن التحدي (والفرصة!) بالنسبة لمعظم الشركات هو أننا لا نستطيع القيام بذلك بمفردنا”. “سيتطلب التقدم هنا من كل شركة أن تتخذ إجراءات هادفة وشفافة في هذه المجالات الرئيسية، بالإضافة إلى الصناعة الأوسع لرفع مستوى النضج وسهولة الاستخدام والأتمتة حول أشياء مثل مكافحة التطرف العنيف وإدارة الثغرات الأمنية والمخاطر. حجم.”

مجرد البداية

وعلى مدى العام المقبل، سيبقى أن نرى كيف تتبنى الشركات الشفافية وتبلغ عن تفاصيل التقدم الذي أحرزته في هذا التعهد.

مع مرور الوقت، يمكن لـ CISA وأصحاب المصلحة الآخرين في الصناعة رفع المستوى. “آمل أن يتوسع نطاق هذا مع مرور الوقت. ومن المؤكد أن هناك عناصر أخرى في محادثة Secure by Design التي كتبت عنها CISA وشركاؤها،» كما يقول فيشر. “لذا، نأمل أن يرتفع المستوى.”

سكوت ألجير، المدير التنفيذي للمنظمة غير الربحية تكنولوجيا المعلومات – مركز تبادل المعلومات وتحليلها (IT-ISAC) نأمل أن نرى المزيد من التركيز على آمن بشكل افتراضي في المستقبل: جعل البرامج آمنة خارج الصندوق. “عندما تقوم بتسليم البرمجيات، هناك أشخاص يقفون خلفها ويتخذون قراراتهم بأنفسهم. ما نريد القيام به هو أن نجعل القرار الأمني ​​هو القرار الأسهل.

ويأمل زابيرك أن تساعد الجهود المستمرة التي تبذلها CISA، مثل هذا التعهد، في تحريك الأمور بشأن الأمن السيبراني. وتقول: “نأمل حقًا ألا نضطر خلال العامين المقبلين إلى مطالبة الشركات بالقيام بأشياء مثل إزالة كلمات المرور الافتراضية المشفرة أو تمكين المصادقة متعددة العوامل افتراضيًا”. “نحن نعتبر هذا حقًا حافزًا للتغيير الإيجابي المنهجي المستمر.”