Siber Güvenlik ve Altyapı Güvenliği Ajansı, üreticilerin yazılımlarına ve diğer ürünlerine daha fazla güvenlik dahil etmelerini sağlamak amacıyla Salı günü Güvenli Tasarım çabasının yeni bir aşamasını başlattı.
CISA, 17 ABD’li ve uluslararası ortak kuruluşla birlikte, revize edilmiş kılavuz şirketlerden, bireylerden ve kar amacı gütmeyen kuruluşlardan aylarca süren geri bildirimlerden sonra.
CISA bilgi talebinde bulunmayı planlıyor Salı günkü bir blog gönderisine göre önümüzdeki birkaç hafta içinde Secure by Design mühendisliğini ele alacağız. CISA aynı zamanda yazılım üreticilerini yapay yapılar kullanarak ürünlerine güvenlik kattıklarını kanıtlamaya çağırıyor.
Yazılım eserleri veri parçaları veya test sonuçları Bir ürünün güvenli bir ortamda geliştirildiğini gösterebilecek geliştirme süreci sırasında toplanan bilgiler. Buna tasarım belgeleri, geliştirici eğitim sertifikaları ve derleme günlükleri dahildir.
Güncellenen kılavuz aynı zamanda güvenliğin yapay zeka yazılımlarına nasıl uygulanması gerektiğine ilişkin ifadeyi de içeriyor.
CISA Direktörü Jen Easterly Salı günü, milyarlarca dolarlık siber güvenlik sektörünün yanlış hizalanmış teşvikler etrafında geliştirildiğini söyledi. Singapur Uluslararası Siber Haftası konferans.
“Su, sağlık hizmetleri, enerji, ulaşım, iletişim için güvendiğimiz kritik hizmetlerin (her günün her dakikasında güvendiğimiz cihazların) temelini oluşturan teknolojinin hepsinin bir temel üzerine inşa edildiği bir dünyayı sapkın bir şekilde normalleştirdik. güvensiz teknoloji temeli,” dedi Easterly konferanstaki panel tartışması sırasında.
Güvenlik yükü, küçük işletmelere ve bunu en az karşılayabilen kişilere düşüyor. Easterly’e göre teknoloji endüstrisi, güvenliği vurgulamak yerine pazara sunma hızına, maliyetleri düşürmeye ve harika özellikler eklemeye odaklanıyor ve yanlış hizalanmış teşviklerin normalleşmesini daha da ileriye taşıyor.
Easterly, “Esasen bize sallantılı bir teknoloji platformu sağladı” dedi. “Ve bu kabul edilemez.”
Gözden geçirilen kılavuz, üreticilerin varsayılan olarak güvenli ürünler geliştirmesini sağlamaya vurgu yapıyor.
Biden yönetimi, onun bir parçası olarak ulusal siber güvenlik stratejisiyazılım ve diğer teknoloji firmalarına tasarım yoluyla güvenli konseptlerini geliştirme süreçlerine dahil etmeleri çağrısında bulundu.
Stratejinin temel ilkelerinden biri, geliştirme aşamasında ürünlerinde güvenliğin yer aldığından emin olmak için teknoloji endüstrisini sorumlu tutmak oldu ve bu fikirlerin yasaya dönüştürülmesi için Kongre’ye gitme planlarının sinyalini verdi.
Bu, yazılımın kutudan çıktığı haliyle güvenli olması gerektiği ve müşterilerin birden fazla yapılandırma değişikliği yapmasını veya güvenlik özellikleri eklemek için ek ücret ödemesini gerektirmediği anlamına gelir.
Varsayılan güvenliğe verilen önem, Microsoft’a yönelik kötü niyetli saldırıyla vurgulandı; bu saldırı, binlerce Dışişleri Bakanlığı ve diğer hükümet e-postalarının Çin bağlantılı şüpheli devlet destekli bilgisayar korsanları tarafından çalınmasına yol açtı.
Microsoft, CISA ile ortaklığa girdi Müşterilerden ücret alma politikasına son verin Federal yetkililer şirkete hacklendiğini bildirdikten sonra güvenlik kayıtları için.