Çin casus balonlarından daha tehlikeli ne olabilir? Amerika’nın Siber Güvenlik ve Altyapı Dairesi (CISA) Direktörü Jen Easterly’ye göre güvenli olmayan yazılımlar ve diğer teknoloji ürünleri.
Pazartesi günü Carnegie Mellon Üniversitesi’nde yaptığı bir konuşmada Easterly, teknoloji sağlayıcılarının ürünlerinde güvenliğe maliyet, özellikler ve pazara sunma hızı gibi diğer teşviklere göre öncelik vermesi gerektiğini söyledi. Ve hükümetin, suçluların ve ulus devletlerin daha sonra siber saldırılarda istismar ettiği savunmasız ürünleri satmaktan şirketleri sorumlu tutmasını önerdi.
“Hükümet, teknoloji üreticilerinin sözleşme yoluyla sorumluluğu reddetmesini önlemek, belirli kritik altyapı birimlerindeki yazılımlar için daha yüksek bakım standartları oluşturmak ve yazılımlarını güvenli bir şekilde geliştiren ve sürdüren yükümlülük şirketlerinden korunmak için güvenli bir liman çerçevesinin geliştirilmesini teşvik etmek için mevzuatı ilerletmek için çalışabilir. yazılım ürünleri ve hizmetleri,” Easterly söz konusu.
“Tüm yazılım güvenlik açıklarını önlemek mümkün olmasa da, bir aylık ‘Yama Salı’ normal olarak, kaza sınırında tehlikeli bir şekilde hareket etme isteğimizin bir başka kanıtıdır” diye ekledi.
Salı Yaması’nın sonu mu?
Ve Redmond’dan bahsetmişken, Microsoft’un kurumsal müşterilerini çok faktörlü kimlik doğrulama (MFA) kullanmaya teşvik ederek berbat bir iş çıkardığı söylendi. Yakında SMS MFA’yı Blue aboneleri dışında herkes için kapatacak olan Twitter da öyle; tüm tweeter’lar giriş yapmak için Google Authenticator gibi ücretsiz ve açıkçası daha güvenli alternatifler kullanabilir.
Easterly, Apple’ın iCloud kullanıcılarının yüzde 95’inin MFA’yı etkinleştirdiğini iddia ettiğini söyledi. Karşılaştırma için: Twitter, kullanıcılarının yüzde üçünden daha azının herhangi bir MFA türünü etkinleştirdiğini bildirirken, Microsoft bu rakamı kurumsal müşterilerinin yaklaşık yüzde 25’i olarak veriyor ve Easterly, bu şirketlerin yönetici hesaplarının yalnızca yaklaşık üçte birinin MFA kullandığını kaydetti. .
Easterly, “Apple’ın etkileyici MFA sayıları rastgele şans eseri değil. MFA’yı kullanıcı hesapları için varsayılan yaparak, Apple, kullanıcılarının güvenlik sonuçlarının sahipliğini alıyor” dedi ve Twitter ve Microsoft’un MFA yüzdelerinin “hayal kırıklığı yarattığını” da sözlerine ekledi. ,” en azından bu verileri kamuya açıklıyorlar.
Easterly, “MFA’nın benimsenmesi konusunda radikal şeffaflık sağlayarak, bu kuruluşlar varsayılan olarak güvenliğin gerekliliğine ışık tutmaya yardımcı oluyor” dedi.
“Daha fazlası onların izinden gitmeli – aslında her kuruluş, teknoloji sağlayıcıları tarafından benimsenen uygulamalar ve kontrollerle ilgili şeffaflık talep etmeli ve ardından satın alma veya kullanımdan önce bu tür uygulamaların temel kabul edilebilirlik kriterleri olarak kabul edilmesini talep etmelidir.” güvenlik açığı açıklama politikalarıyla “şeffaf”, güvenlik araştırmacılarını korumak bu hataları bulan ve raporlayan ve güvenlik kusurlarının temel nedenini düzelten.
Güvenlik oluşturun
Yazılımı “tasarım gereği güvenli” hale getirmek ve böylece satıcılara, bu sorumluluğu tüketicilere ve işletmelere yüklemek yerine kutudan çıkar çıkmaz güvenli ürünler satma sorumluluğunu yüklemek, CISA’nın Easterly’nin liderliği altında attığı bir davul sesidir.
Varsayılan olarak MFA’yı açmak gibi şeylere ek olarak, bunun pratikte nasıl göründüğü aşağıda açıklanmıştır.
Easterly, “Tasarım gereği güvenlik, bellek için güvenli dillere geçiş, şeffaf bir güvenlik açığı açıklama politikasına sahip olma ve güvenli kodlama uygulamaları gibi eylemleri içerir” dedi.
Rust, Go, Python ve Java gibi programlama dillerini kullanmak (C ve C++ yerine), CISA’ya göre şu anda bilinen tüm yazılım güvenlik açıklarının yaklaşık üçte ikisini tehlikeye atan bellek güvenli güvenlik açıklarını ortadan kaldırabilir.
Sınır dışı gibi bellek güvenliği hataları okur Ve yazar veya ücretsizden sonra kullan() – Ayrıca arttırmak erken yakalanmadığında yazılım geliştirme maliyeti.
Easterly, Google’ın Android 13’ün eklenen yeni kodun çoğunun eklendiği ilk sürüm olduğuna dair son duyurusunu aktardı. bellek için güvenli bir dilde yazılmış — Rust, Java veya Kotlin. Ve Google’dan alıntı yaparak, “‘Android’in Rust kodunda sıfır bellek güvenlik açığı keşfedildi.'” diye ekledi.
Ek olarak, Rust’u destekleyen Mozilla, bu dili Firefox’a entegre etmek için çalışıyor ve Amazon Web Services, Rust’ta bulut hizmetleri de kuruyor. ®