Pemerintahan Biden terus mendorong kemitraan publik-swasta yang lebih erat untuk memperkuat infrastruktur teknologi informasi AS, menyerukan perusahaan-perusahaan untuk beralih ke bahasa pemrograman yang aman untuk memori dan menyerukan komunitas teknis dan akademis untuk menciptakan cara yang lebih baik dalam mengukur keamanan perangkat lunak. 

Minggu ini, Kantor Direktur Siber Nasional (ONCD) Gedung Putih merilis sebuah laporan yang ditulis untuk para pengembang dan insinyur, dengan alasan bahwa negara tersebut perlu menciptakan keseimbangan baru antara tanggung jawab untuk membela dunia maya dan insentif yang lebih baik bagi perusahaan untuk berinvestasi dalam keamanan siber. produk mereka.

Sebagai langkah awal, ONCD meminta produsen teknologi untuk melakukan hal tersebut beralih ke bahasa pemrograman yang aman untuk memori — seperti Python, Java, dan Rust — yang dapat menghilangkan hingga 70% kerentanan, dan mengembangkan cara yang lebih baik untuk mengukur keamanan produk mereka.

Ekosistem saat ini memberikan terlalu banyak beban pada masyarakat yang paling tidak mampu membayar biaya yang diperlukan untuk mengamankan infrastruktur dan sistem penting dari penyerang, kata Direktur Siber Nasional Harry Coker dalam sebuah pernyataan video. 

“Saat ini, pengguna akhir teknologi – baik individu, usaha kecil, atau pemilik dan operator infrastruktur penting – memikul terlalu banyak tanggung jawab untuk menjaga keamanan negara kita,” katanya. “Sebuah sistem yang dapat dihancurkan hanya dengan beberapa kali penekanan tombol memerlukan landasan yang lebih baik, fondasi yang lebih kuat. Kita perlu mengharapkan lebih banyak pihak yang paling mampu dan memiliki posisi terbaik untuk membela dunia maya, dan itu termasuk pemerintah federal.”

Bersandar pada Keamanan Siber

Pemerintahan Biden telah melakukan upaya untuk meningkatkan keamanan siber pada infrastruktur negara, yang sebagian besar dimiliki oleh swasta. Setahun yang lalu, pemerintah merilis Strategi Keamanan Siber Nasionalnya menyerukan tanggung jawab perangkat lunak dan persyaratan keamanan siber minimum untuk sektor infrastruktur penting. Pemerintah juga sudah melakukan hal tersebut terus berdialog dengan pembuat perangkat lunak dan komunitas pengembangan sumber terbuka untuk menemukan cara berkolaborasi yang lebih baik guna mendorong keamanan perangkat lunak. 

Laporan terbaru, Kembali ke Building Block: Sebuah Terobosan Menuju Perangkat Lunak yang Aman dan Terukur, menunjukkan bahwa pemerintah melihat peran jangka panjang dalam mengawasi keamanan perangkat lunak.

Upaya ini kemungkinan akan berhasil meyakinkan banyak organisasi sektor swasta untuk beralih ke bahasa yang aman untuk memori dan menjauh dari C, C++, dan kode mesin, kata Clar Rosso, CEO kelompok pendidikan dan sertifikasi keamanan siber ISC2.

“Organisasi akan menjadi lebih aman jika kita mampu menjauh dari pendekatan reaktif terhadap keamanan siber dan melakukan upaya bersama untuk tidak melakukan pergeseran ke kiri,” katanya. “Namun, semua ini tidak akan mungkin terjadi tanpa kolaborasi antara sektor publik dan swasta – kita memerlukan tindakan kolektif jika kita ingin memetakan jalan menuju perangkat lunak yang aman dan terukur.”

Tidak Aman dengan Kecepatan Apa Pun

Keamanan memori adalah serangkaian fitur bahasa pemrograman modern yang mencegah program mencoba mengakses memori di luar batas yang diharapkan dan mengakses variabel setelah memorinya dikosongkan oleh program. Dengan menempatkan batasan spasial dan temporal pada perangkat lunak, bahasa pemrograman yang aman untuk memori dapat menghilangkan seluruh kelas kerentanan yang sebelumnya menyebabkan peristiwa dunia maya besar, seperti worm Slammer pada tahun 2003 dan kerentanan Heartbleed pada tahun 2014.

Mengurangi jumlah kerentanan yang signifikan dapat membantu pengguna akhir dengan memungkinkan mereka untuk fokus pada aspek lain dari ketahanan siber, kata Anjana Rajan, asisten direktur siber nasional untuk keamanan teknologi di ONCD, dalam sebuah pernyataan video.

“Sikap reaktif yang intens yang dituntut oleh status quo saat ini mengurangi kemampuan [pengguna akhir] untuk memprediksi dan bersiap menghadapi gelombang serangan berikutnya,” katanya. “Untuk mengungguli musuh-musuh Amerika, kita harus membangun ekosistem yang dapat dipertahankan dan tangguh. Artinya, upaya kita harus fokus pada bagaimana kita memutuskan untuk membentuk medan perang siber guna mencegah, memitigasi, dan mempertahankan diri dari serangan di masa depan.”

Ekosistem open source telah beralih dari bahasa yang tidak aman untuk memori, dengan sebagian besar proyek ditulis dalam JavaScript, Python, TypeScript, dan Java, yang — dengan asumsi versi modern — semuanya memiliki fitur keamanan memori, kata Mike McGuire, manajer solusi keamanan dengan Sinopsis.

“Di dunia open source, Anda akan menemukan lebih banyak pustaka open source Java, lebih banyak pustaka open source Python, dibandingkan dengan C dan C++,” katanya. “Hal ini belum tentu terjadi karena industri ini beralih dari C dan C++ — kedua bahasa tersebut sangat kuat — namun, jika mereka ingin berkontribusi lebih banyak pada open source,… Anda ingin mereka berkontribusi dengan bahasa yang aman untuk memori.”

Menghindari Kesalahan UE dalam Metrik Keamanan

Mungkin yang lebih sulit adalah paruh kedua inisiatif pemerintahan Biden: Membuat metrik keamanan yang dapat diterapkan pada perangkat lunak.

Meskipun sistem otomatis yang secara instan memberikan skor keamanan untuk perangkat lunak terdengar bagus, upaya penelitian akan menghadapi rintangan yang signifikan, kata Rosso dari ISC2.

“Saya memiliki beberapa keraguan mengenai rekomendasi ini karena gagasan untuk menjalankan algoritma atau persamaan untuk menganggap suatu produk 'aman' tampaknya merupakan tantangan dengan lanskap ancaman yang terus berkembang,” katanya. “[O]organisasi harus benar-benar memanfaatkan produk dan layanan yang memungkinkan mereka memiliki pandangan holistik mengenai risiko keamanan siber mereka, [tetapi] … akan ada tuntutan untuk menciptakan langkah-langkah standar yang dapat digunakan untuk menentukan apakah perangkat lunak itu baik atau buruk. dalam kualitas.”

Tahun lalu, Uni Eropa menghadapi kritik setelah mengesahkan Undang-Undang Ketahanan Siber (Cyber ​​Resilience Act/CRA) karena kekhawatiran bahwa aturan pengungkapan kerentanan 24 jam tidak memberikan cukup waktu bagi perusahaan untuk memperbaiki masalah dan dapat menyebabkan perangkat lunak menjadi kurang aman, bahkan lebih buruk lagi. 

Terutama ketika berhadapan dengan ekosistem open source, anggota parlemen dan pejabat pemerintah perlu mempertimbangkan kebijakan dengan hati-hati sebelum menerapkannya, kata McGuire dari Synopsys.

“Kita harus ingat bahwa pengelola open source biasanya melakukan hal ini dengan uang mereka sendiri di waktu luang mereka; mereka melakukannya karena itu adalah hal yang benar untuk dilakukan,” katanya. “Menyatakan bahwa mereka harus memiliki persyaratan tambahan atau menyediakan metrik tambahan atau mengumpulkan metrik tambahan — menurut saya, itu akan menjadi pukulan besar bagi open source yang tersedia bagi kami. Sumber terbuka itu…adalah alasan mengapa kami melihat kecepatan pengembangan yang kami lakukan saat ini.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/us-government-taking-bigger-role-in-software-security