企业软件产品和服务 之 设计保证安全 七项承诺

1. 引言

公司如何保护自己免受数据泄露的影响?标准答案就是:

  • "启用多因素身份验证"------MTA(Enable multifactor authentication)。

但是,目前很多公司仍然盲目地只使用密码作为唯一的身份来源。

网络安全的核心是身份,无论是用户、设备还是服务。

不幸的是,有时,感觉仍然生活在 20 世纪的数字技术世界中,而向云端的迁移只是将密码转移到了那里。

最近,Prof Bill Buchanan OBE FRSE 与 Troy Hunt 交流,Troy Hunt指出:

  • 数据泄露事件中仍然普遍存在旧的(且不安全的)密码的哈希版本。
  • 有许多旧的 MD5 哈希密码与 bcrypt 混合的情况,其中更新了密码的用户使用的是 bcrypt 哈希,而未更新密码的用户仍然使用 MD5。
    • 这很愚蠢,因为应该可以在单个实例中对密码进行双重哈希,且使用 MD5 哈希作为 bcrypt 的种子。这似乎完全缺乏对网络安全的了解,或者完全不关心保护公民数据。

因此,多年来(甚至几十年来),人们关注的是"设计后的安全(secure after design)"而不是"设计保证安全(security by design)"。安全性因此成为事后的想法和附加选项。相应的原因有很多,包括:

  • 开发人员缺乏网络安全知识(尤其是密码学)
  • 懒惰
  • 成本
  • "尽快发货"的心态
  • 在使用公民数据时缺乏应有的谨慎和勤勉
  • 以及对产品和服务的实际使用方式缺乏真正的了解

在欧盟,GDPR 无疑推动公司采用安全的设计方法,并要求使用假名化、在给定的时间限制内报告事件以及使用加密。但是,GDPR 是一项平淡无奇的法规,并未详细阐述产品和服务的实际设计。

不过,美国旨在通过新的"安全设计承诺(Secure by Design Pledge)"来克服这些问题(见CISA Secure by Design Pledge):

这是 CISA 在最近的 RSA 会议上宣布的。不幸的是,这是一项自愿承诺,目前的签署该承诺的公司有:

总体而言,其包含七项重要的网络安全改进承诺:

  • 多因素身份验证 (MFA)。目标:在签署承诺后的一年内,展示已采取的行动,以显著增加制造商产品中多因素身份验证的使用。
  • 默认密码。目标:在签署承诺的一年内,在减少制造商产品的默认密码方面取得可衡量的进展。
  • 减少所有类型的脆弱性。目标:在签署承诺书的一年内,展示已采取的行动,使制造商产品中一种或多种类型的脆弱性发生率显著降低。
  • 安全补丁。目标:在签署承诺的一年内,展示所采取的行动,以显著增加客户安装的安全补丁数量。
  • 漏洞披露策略。目标:签署承诺后一年内,发布漏洞披露策略 (vulnerability disclosure policy,VDP)。
  • CVEs。目标:在签署承诺书的一年内,展示漏洞报告的透明度。
  • 入侵证据。目标:在签署承诺书的一年内,证明客户收集影响制造商产品的网络安全入侵证据的能力有显著提高。

Prof Bill Buchanan OBE FRSE个人认为这些应该是大型科技公司强制性的要求,而且还应该添加其他与隐私相关的内容,如:

  • 加密数据、使其匿名化。

每个组织都应该签署以下基本承诺:

参考资料

1\] Prof Bill Buchanan OBE FRSE 2024年5月11日博客 [The Seven Cybersecurity Commandments: And Whatever Happened To "Secure By Design"?](https://medium.com/asecuritysite-when-bob-met-alice/the-seven-cybersecurity-commandments-6e56f3b0b18d)

相关推荐
科技云报道6 小时前
2025全球数字经济大会—云智算安全论坛暨第三届“SecGo论坛”成功召开!共筑安全新生态
安全
群联云防护小杜9 小时前
构建分布式高防架构实现业务零中断
前端·网络·分布式·tcp/ip·安全·游戏·架构
独行soc10 小时前
2025年渗透测试面试题总结-2025年HW(护网面试) 33(题目+回答)
linux·科技·安全·网络安全·面试·职场和发展·护网
花木偶11 小时前
【郑大二年级信安小学期】Day6:CTF密码学&杂项&工具包
安全·web安全·密码学
qq_3129201112 小时前
主机安全-开源HIDS字节跳动Elkeid使用
安全
黑客老李19 小时前
EDUSRC:智慧校园通用漏洞挖掘(涉校园解决方案商)
服务器·前端·网络·安全·web安全
玥轩_52119 小时前
BUUCTF [WUSTCTF2020]spaceclub 1
安全·网络安全·ctf·buuctf·ascii·spaceclub·wustctf2020
薄荷椰果抹茶20 小时前
【网络安全基础】第七章---无线网络安全
网络·安全·web安全
weixin_4723394620 小时前
网络安全之重放攻击:原理、危害与防御之道
安全·web安全
sam.li20 小时前
WebView安全实现(一)
android·安全·webview