Bidenin hallinto jatkaa tiiviimpien julkisen ja yksityisen sektorin kumppanuuksien tiukentamista Yhdysvaltain tietotekniikan infrastruktuurin lujittamiseksi. Se kehottaa yrityksiä siirtymään muistiturvallisiin ohjelmointikieliin ja kehottaa teknisiä ja akateemisia yhteisöjä luomaan parempia tapoja mitata ohjelmistojen turvallisuutta.
Tällä viikolla Valkoisen talon kansallisen kyberjohtajan toimisto (ONCD) julkaisi kehittäjille ja insinööreille kirjoitetun raportin, jossa väitetään, että kansakunnan on luotava uusi vastuun tasapaino kyberavaruuden puolustamiseksi ja parempia kannustimia yrityksille investoida kyberturvallisuuteen. heidän tuotteitaan.
Ensimmäisenä askeleena ONCD kehotti teknologian valmistajia siihen siirtyä muistiturvallisiin ohjelmointikieliin - kuten Python, Java ja Rust - jotka voivat poistaa jopa 70% haavoittuvuuksista ja kehittää parempia tapoja mitata tuotteidensa turvallisuutta.
Nykyinen ekosysteemi asettaa liian suuren taakan ihmisille, joilla on vähiten varaa kriittisen infrastruktuurin ja järjestelmien turvaamiseen hyökkääjiltä tarvittaviin kustannuksiin, kansallinen kyberjohtaja Harry Coker sanoi videolausunnossa.
"Nykyään teknologian loppukäyttäjät - olivatpa sitten yksityishenkilöt, pienet yritykset tai kriittisen infrastruktuurin omistajat ja operaattorit - kantavat liikaa vastuuta maamme turvaamisesta", hän sanoi. ”Järjestelmä, joka voidaan kaataa muutamalla näppäimen painalluksella, tarvitsee parempia rakennuspalikoita, vahvemman perustan. Meidän on odotettava enemmän niitä, joilla on kyky ja paras asema puolustaa kyberavaruutta, mukaan lukien liittovaltion hallitus."
Nojaa kyberturvallisuuteen
Bidenin hallinto on nojautunut pyrkimyksiin parantaa maan infrastruktuurin kyberturvallisuutta, josta suurin osa on yksityisessä omistuksessa. Vuosi sitten hallinto julkaisi kansallisen kyberturvallisuusstrategiansa vaativat ohjelmistovastuuta ja kyberturvallisuuden vähimmäisvaatimuksia kriittisen infrastruktuurin alalla. Hallinto on myös piti vuoropuhelua ohjelmistojen valmistajien ja avoimen lähdekoodin kehitysyhteisön kanssa löytää parempia tapoja tehdä yhteistyötä ohjelmistoturvallisuuden edistämiseksi.
Uusin raportti, Takaisin rakennuspalikoihin: Tapaus kohti turvallista ja mitattavissa olevaa ohjelmistoa, osoittaa, että hallitus näkee pitkän aikavälin roolin ohjelmistoturvallisuuden valvonnassa.
Pyrkimykset todennäköisesti onnistuvat vakuuttamaan monet yksityisen sektorin organisaatiot siirtymään muistiturvallisiin kieliin ja luopumaan C-, C++- ja konekoodista, sanoo Clar Rosso, kyberturvallisuuskoulutus- ja sertifiointiryhmän ISC2:n toimitusjohtaja.
"Organisaatioista tulee turvallisempia, jos pystymme luopumaan kyberturvallisuuden reaktiivisesta lähestymistavasta ja panostamme yhteisesti vasemmalle siirtymisen taakse", hän sanoo. "Mikään tämä ei kuitenkaan ole mahdollista ilman julkisen ja yksityisen sektorin yhteistyötä – tarvitsemme yhteisiä toimia, jos aiomme kartoittaa tietä kohti turvallisia ja mitattavia ohjelmistoja."
Turvaton millä tahansa nopeudella
Muistin suojaus on joukko nykyaikaisten ohjelmointikielten ominaisuuksia, jotka estävät ohjelmia yrittämästä käyttää muistia odotettujen rajojen ulkopuolella ja pääsemästä muuttujiin sen jälkeen, kun ohjelma on vapauttanut niiden muistin. Asettamalla ohjelmistoille tilallisia ja ajallisia rajoituksia muistiturvalliset ohjelmointikielet voivat poistaa kokonaisia haavoittuvuuksia, jotka ovat aiemmin johtaneet suuriin kybertapahtumiin, kuten vuoden 2003 Slammer-mato ja vuoden 2014 Heartbleed-haavoittuvuus.
Merkittävien haavoittuvuuksien määrän vähentäminen voi auttaa loppukäyttäjiä antamalla heidän keskittyä muihin kyberresilienssin näkökohtiin, Anjana Rajan, ONCD:n teknologiaturvallisuuden kansallisen kyberjohtajan apulaisjohtaja, sanoi videolausunnossa.
"Nykyisen status quon vaatima intensiivinen reaktiivinen asento heikentää [loppukäyttäjien] kykyä ennustaa ja valmistautua seuraavaan hyökkäysaaltoon", hän sanoi. ”Jotta päihittääksemme Amerikan vastustajat, meidän on rakennettava puolustettava ja kestävä ekosysteemi. Tämä tarkoittaa, että ponnistelumme on keskityttävä siihen, miten päätämme muokata kybertaistelukenttää tulevien hyökkäysten estämiseksi, lieventämiseksi ja niiltä puolustamiseksi."
Avoimen lähdekoodin ekosysteemi on jo siirtynyt pois ei-muistiturvallisista kielistä, ja useimmat projektit on kirjoitettu JavaScript-, Python-, Typescript- ja Java-kielillä, joissa kaikissa on muistisuojausominaisuuksia, jos oletetaan nykyaikaisia versioita, turvallisuusratkaisujen johtaja Mike McGuire sanoo. Synopsysin kanssa.
"Avoimen lähdekoodin maailmassa löydät paljon enemmän Java avoimen lähdekoodin kirjastoja, paljon enemmän Python avoimen lähdekoodin kirjastoja kuin C:llä ja C++:lla", hän sanoo. "Se ei välttämättä johdu siitä, että ala on siirtymässä pois C:stä ja C++:sta – ne ovat erittäin tehokkaita kieliä - mutta jos ne aikovat edistää avoimen lähdekoodin käyttöä, … haluat niiden osallistuvan muistiturvallisilla kielillä."
EU:n turvallisuusmittareiden virheiden välttäminen
Ehkä vielä vaikeampi on toinen puolisko Bidenin hallinnon aloite: Luodaan tietoturvamittareita, joita voidaan soveltaa ohjelmistoihin.
Vaikka automaattinen järjestelmä, joka sylkee välittömästi ohjelmistojen tietoturvapisteet, kuulostaa hyvältä, tutkimustyöllä on merkittäviä esteitä, sanoo ISC2:n Rosso.
"Suhtaudun joihinkin varauksiin tämän suosituksen suhteen, koska ajatus algoritmin tai yhtälön suorittamisesta tuotteen "turvalliseksi" pitämiseksi vaikuttaa haastavalta jatkuvasti kehittyvässä uhkaympäristössä", hän sanoo. "Organisaatioiden tulisi ehdottomasti hyödyntää tuotteita ja palveluita, joiden avulla niillä on kokonaisvaltainen näkemys kyberturvallisuusriskeistään, [mutta] … on vaativaa luoda standardoituja toimenpiteitä, joiden avulla voidaan määrittää ohjelmistot hyviksi tai huonoiksi. laadullisesti.”
Viime vuonna Euroopan unioni kohtasi kritiikkiä läpäistyään Cyber Resilience Actin (CRA) pelon vuoksi, että 24 tunnin haavoittuvuuden paljastamissääntö ei jätä yrityksille tarpeeksi aikaa korjata ongelmia ja saattaa johtaa vähemmän turvallisiin ohjelmistoihin.
Varsinkin avoimen lähdekoodin ekosysteemin kanssa lainsäätäjien ja valtion virkamiesten on harkittava politiikkaa huolellisesti ennen niiden toteuttamista, sanoo Synopsys's McGuire.
”On muistettava, että avoimen lähdekoodin ylläpitäjät tekevät tämän yleensä omalla rahallaan vapaa-ajallaan; he tekevät sen, koska se on oikein”, hän sanoo. "Kuulua alas ja sanoa, että heillä on oltava lisävaatimuksia tai lisämittareita tai kerättävä ylimääräisiä mittareita - se olisi mielestäni merkittävä isku meille saatavilla olevalle avoimelle lähdekoodille. Tämä avoin lähdekoodi … on syy siihen, miksi näemme [sellaisen] kehitysnopeuden kuin nykyään."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/us-government-taking-bigger-role-in-software-security
