RSA KONFERANSI 2023 – San Francisco – 60’tan fazla tedarikçi sözleşmeyi imzaladı Tasarımla Güvence Altına Alınma taahhüdü — Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) öncülüğünde güvenli ürünler geliştirme taahhüdü.
CISA “tasarım gereği güvenli”yi tanımlar “Müşterilerin güvenliğinin yalnızca teknik bir özellik değil, temel bir iş gereksinimi olduğu ürünler.” Bu ilkeleri benimseyen şirketler, güvenliği tasarım aşamasında ve ürün yaşam döngüsü boyunca dikkate almayı vaat ediyor. daha dayanıklı ürünler yaratın.
Amaç, güvenlik sorumluluğunu bireylere ve küçük işletmelere yüklemek yerine, sorumluluğu ürünleri üreten üreticilere yüklemektir. Gönüllü taahhüt, bulut hizmetleri, hizmet olarak yazılım ve şirket içi yazılımlar da dahil olmak üzere kurumsal yazılım ürünlerine ve hizmetlerine odaklanıyor.
RSA Konferansında CISA Direktörü Jen Easterly, “Bu odadaki herkesin yalnızca hissettiği değil, aynı zamanda son derece farkında olduğu gerçek bir aciliyet var ve bu tamamen yeni geliştirmek ve eski teknolojileri ve yazılımları yenilemekle ilgili olup, güvenlik temel bir husustur” dedi. bu hafta San Francisco’da.
Taahhüdü imzalayanlardan yedi temel hedefi dikkate almaları ve bir yıl içinde bu hedeflere ulaşma yolunda ilerleme kaydettiklerini göstermeleri isteniyor. İlerlemeyi nasıl gösterdikleri ve hedeflere ulaşma sırası bireysel şirketlere bağlıdır ve yetersiz kalmanın herhangi bir cezası yoktur. Hedefler şunlardır:
-
Ürünler genelinde çok faktörlü kimlik doğrulamanın kullanımını artırın.
-
Ürünlerde varsayılan şifrelerin kullanımını azaltın.
-
Tüm güvenlik açığı sınıflarının yaygınlığını azaltın.
-
Müşterilerin yama yüklemesini artırmak için çaba gösterin.
-
Bir güvenlik açığı açıklama politikası yayınlayın.
-
Yaygın güvenlik açıkları ve maruz kalma durumları (CVE’ler) konusunda daha şeffaf ve zamanında olun.
-
Müşterilerin, üreticinin ürünlerini etkileyen siber güvenlik ihlallerine ilişkin kanıt toplama yeteneğini artırın.
CISA, Tasarım Yoluyla Güvenli çalışmasını geçen yılın Nisan ayında başlattı ve “yazılım üreticilerini, tasarım gereği güvenli ürünleri sevk etmek için gerekli acil adımları atmaya ve tasarım ve geliştirme programlarını, müşterilere yalnızca tasarım gereği güvenli ürünlerin gönderilmesine izin verecek şekilde yenilemeye” teşvik etti. Bu yılın başlarında CISA, yazılım üreticilerinin ürünlerine ilişkin güvenlik ayrıntılarını sağlamak için kullanabilecekleri bir kişisel doğrulama formu ve veri deposu yayınladı. Federal kurumlar, satın aldıkları yazılımın güvenli geliştirme uygulamaları kullanılarak oluşturulduğundan emin olmak için bilgilere bakabilirler.
Amazon Web Services, BlackBerry, Cisco, CrowdStrike, Fortinet, GitHub, Google, Hewlett Packard, IBM, Ivanti, Lenovo, Microsoft, Netgear, Okta ve Palo Alto Networks bu taahhüdü imzaladı.
Easterly, “Hükümet bunu tek başına yapamaz. Özel sektör bunu tek başına yapamaz” dedi. “Toplumu bir araya getirmeliyiz”