Бизнесът се подобрява в сигурността. Но те все още забравят един голям риск

С големите кибератаки срещу критична инфраструктура като атаката на SolarWinds, хакването на пречиствателната станция на Флорида и кризата с рансъмуера на колониалния тръбопровод на Източното крайбрежие на САЩ, сигурността на продуктите – а не само на информационните системи – наистина трябва да се вземат по-сериозно, твърди Крис Уисопал, основател и технически директор на компанията за сканиране на кодове Veracode.

Докато CISO защитава информацията в предприятието, Wysopal твърди тази седмица на конференцията RSA 2021, че продуктите се нуждаят от еквивалентно ниво на внимание към корпоративните информационни системи. Неговият призив за по-голям акцент върху сигурността на продуктите идва, когато атаките на веригата за доставки се увеличават и правителствата по целия свят се опитват да се справят с проблема с продуктите, които са фалшифицирани, влизат в организация.

“Продуктите са различни. Продуктите напускат предприятието. Помислете за сигурността на продуктите на Tesla. Това е автомобилът. Можете да помислите за компания за медицински изделия, но дори и в по-ориентирани към информация компании, това е приложение, това е самостоятелен уебсайт и те са започват да стават извън предприятието. Те имат собствен живот “, казва Wysopal пред ZDNet.

Wysopal е забележителна фигура в киберсигурността и е един от първоначалните изследователи на уязвимостта и един от седемте членове на L0pht ‘хакерски мозъчен тръст„който каза на американския сенат през 1998 г., че групата може да свали интернет за 30 минути.

Wysopal смята, че продукти като тези се нуждаят от изпълнител на ниво C с по-добър набор от инженерни умения, отколкото обикновено има CISO – роля, по-фокусирана върху наблюдението на мрежи и системи, за да не се допускат хакери.

„В исторически план CISO не е трябвало да вгражда сигурност в софтуер или устройство“, казва той.

“Традиционната CISO няма този опит в областта на сигурността и продуктовото инженерство. Те традиционно са израснали чрез съответствие или мрежова сигурност и нямат разбиране за уязвимости на софтуер или ниво код. Така че ще имате много в случаите, когато имате продуктова сигурност, която не докладва пред CISO, а докладва на вицепрезидента на инженерството. “

Във Veracode CISO му докладва като главен технически директор, докато неговият ръководител на продукта, който е на ниво директор, също му докладва.

“Сигурността на продуктите е отделна функция, дори и във Veracode. И ние сме компания за софтуер като услуга. Ние не доставяме никакви продукти или каквото и да е IoT, което според мен наистина изисква повишен човек за продуктова сигурност.”

“Това е по-важно от сигурността на останалата част от бизнеса”, аргументира се той и добавя, че в един момент приложенията се превръщат в продукт, а не просто в разширение на бекенд системи. Това е от значение за банковия, застрахователния, дребния, държавния и други сектори, които сега създават приложения, които разграничават бизнеса сред конкурентите.

„Рискът от този софтуер започва да става все по-важен“, казва той. А нападателите стават все по-умни, както показва атаката на SolarWinds.

„Когато някой засажда усъвършенствана задна врата, няма да можете да го откриете само като погледнете кода“, казва той.

“Ето защо целостта и сигурността на тръбопровода за разработване на софтуер станаха толкова важни. Защото по този начин се предпазвате от някой, който вмъква задна врата като в SolarWinds. Така че вместо да се надявате да разгледате този двоичен артефакт в края и да се надявате да го откриете – това не е добро решение за този тип атака. ”

Решението е, казва той, да има добра сигурност във всички различни части на тръбопровода. Това включва гарантиране, че разработчиците, които имат разрешение да модифицират код, използват двуфакторно удостоверяване при достъп до хранилище на код за актуализиране на код. Те също трябва да подписват криптографски всички различни артефакти, които стават част от окончателното изграждане на софтуерен продукт.

Wysopal е оптимист, че изпълнителната заповед, насочена към киберсигурността на американския президент Джо Байдън, ще има положително въздействие върху начина, по който киберсигурността се третира в частния сектор в САЩ.

“Виждаме, че изискванията за правене на бизнес с федералното правителство ще бъдат приети в частния сектор. Предприятията в много различни сектори ще прокарат това на своите доставчици. Киберзастрахователните компании ще разгледат това и ще кажат:” Хей, това е намаляване на риска от федералното правителство и ако правите същите практики, вашите застрахователни премии ще бъдат по-малко.

“Федералното правителство дава добър пример. Успоредно с това виждаме, че Конгресът може да приема закони, които засягат всички, които правят бизнес в САЩ. Конгресът също ще се поучи от това и ще кодифицира част от това в закон.”

С други думи, изпълнителната заповед на Байдън, макар и да се прилага само за федералните агенции, може да има големи последици за класическата критична инфраструктура, както и за банковия, здравния и други сектори, които САЩ считат за жизненоважни.

“Това може да бъде продиктувано от закона. Възможно е не просто пазарът да го накара да се случи”, казва той.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com