企业软件产品和服务 之 设计保证安全 七项承诺

1. 引言

公司如何保护自己免受数据泄露的影响?标准答案就是:

  • "启用多因素身份验证"------MTA(Enable multifactor authentication)。

但是,目前很多公司仍然盲目地只使用密码作为唯一的身份来源。

网络安全的核心是身份,无论是用户、设备还是服务。

不幸的是,有时,感觉仍然生活在 20 世纪的数字技术世界中,而向云端的迁移只是将密码转移到了那里。

最近,Prof Bill Buchanan OBE FRSE 与 Troy Hunt 交流,Troy Hunt指出:

  • 数据泄露事件中仍然普遍存在旧的(且不安全的)密码的哈希版本。
  • 有许多旧的 MD5 哈希密码与 bcrypt 混合的情况,其中更新了密码的用户使用的是 bcrypt 哈希,而未更新密码的用户仍然使用 MD5。
    • 这很愚蠢,因为应该可以在单个实例中对密码进行双重哈希,且使用 MD5 哈希作为 bcrypt 的种子。这似乎完全缺乏对网络安全的了解,或者完全不关心保护公民数据。

因此,多年来(甚至几十年来),人们关注的是"设计后的安全(secure after design)"而不是"设计保证安全(security by design)"。安全性因此成为事后的想法和附加选项。相应的原因有很多,包括:

  • 开发人员缺乏网络安全知识(尤其是密码学)
  • 懒惰
  • 成本
  • "尽快发货"的心态
  • 在使用公民数据时缺乏应有的谨慎和勤勉
  • 以及对产品和服务的实际使用方式缺乏真正的了解

在欧盟,GDPR 无疑推动公司采用安全的设计方法,并要求使用假名化、在给定的时间限制内报告事件以及使用加密。但是,GDPR 是一项平淡无奇的法规,并未详细阐述产品和服务的实际设计。

不过,美国旨在通过新的"安全设计承诺(Secure by Design Pledge)"来克服这些问题(见CISA Secure by Design Pledge):

这是 CISA 在最近的 RSA 会议上宣布的。不幸的是,这是一项自愿承诺,目前的签署该承诺的公司有:

总体而言,其包含七项重要的网络安全改进承诺:

  • 多因素身份验证 (MFA)。目标:在签署承诺后的一年内,展示已采取的行动,以显著增加制造商产品中多因素身份验证的使用。
  • 默认密码。目标:在签署承诺的一年内,在减少制造商产品的默认密码方面取得可衡量的进展。
  • 减少所有类型的脆弱性。目标:在签署承诺书的一年内,展示已采取的行动,使制造商产品中一种或多种类型的脆弱性发生率显著降低。
  • 安全补丁。目标:在签署承诺的一年内,展示所采取的行动,以显著增加客户安装的安全补丁数量。
  • 漏洞披露策略。目标:签署承诺后一年内,发布漏洞披露策略 (vulnerability disclosure policy,VDP)。
  • CVEs。目标:在签署承诺书的一年内,展示漏洞报告的透明度。
  • 入侵证据。目标:在签署承诺书的一年内,证明客户收集影响制造商产品的网络安全入侵证据的能力有显著提高。

Prof Bill Buchanan OBE FRSE个人认为这些应该是大型科技公司强制性的要求,而且还应该添加其他与隐私相关的内容,如:

  • 加密数据、使其匿名化。

每个组织都应该签署以下基本承诺:

参考资料

[1] Prof Bill Buchanan OBE FRSE 2024年5月11日博客 The Seven Cybersecurity Commandments: And Whatever Happened To "Secure By Design"?

相关推荐
.Ayang1 小时前
tomcat 后台部署 war 包 getshell
java·计算机网络·安全·web安全·网络安全·tomcat·网络攻击模型
Hacker_Oldv1 小时前
开放性实验——网络安全渗透测试
安全·web安全
Rverdoser3 小时前
Linux环境开启MongoDB的安全认证
linux·安全·mongodb
速盾cdn4 小时前
速盾:CDN缓存的工作原理是什么?
网络·安全·web安全
IPFoxy6664 小时前
跨境出海安全:如何防止PayPal账户被风控?
安全
龙信科技4 小时前
【电子物证培训】龙信助力三明市公安局电子物证取证竞赛
安全
zhd15306915625ff5 小时前
库卡机器人维护需要注意哪些事项
安全·机器人·自动化
安全二次方security²5 小时前
ARM CCA机密计算安全模型之概述
安全·安全模型·cca·机密计算·领域管理扩展·arm-v9·平台安全服务
黑客Ela6 小时前
网络安全中常用浏览器插件、拓展
网络·安全·web安全·网络安全·php