Dalış Özeti:
- FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı Salı günü teknoloji sektörü için bir ürün güvenliği kılavuzu yayınladı ve yazılım ve ilgili ürünlerin kötü niyetli korsanlığa karşı nasıl daha dayanıklı hale getirilebileceği konusunda kamuoyunun yorumunu bekliyor.
- Ajanslar, üreticilere, ürünleri bilgisayar korsanlığına karşı daha dayanıklı hale getirmek için önemli değişiklikler yapmaya çağrıda bulunuyor. Yetkililer, satıcıları ve müşterileri, varsayılan parolaların kullanımını ortadan kaldırmaya, çok faktörlü kimlik doğrulamayı uygulamaya ve bellek açısından güvenli diller kullanarak yazılım geliştirmeye teşvik ediyor.
- Kılavuz, yazılım kusurlarını ortadan kaldırmaya ve teknolojiyi piyasaya sürüldükten sonra daha güvenli hale getirmeye yönelik acil çabanın bir parçasıdır. CISA ve İç Güvenlik Bakanlığı, ürün güvenliğine ilişkin kılavuz yayınladı Federal Kayıt Çarşamba ve 2 Aralık’a kadar yanıt istiyorlar.
Dalış Bilgisi:
Ulusal siber güvenlik stratejisinin önemli bir bileşeni, güvenlik yükünü finansman, uzmanlık ve personel eksikliği olan kuruluşlardan teknoloji endüstrisine ve yaygın olarak kullanılan yazılım geliştiren büyük şirketlere kaydırmaktır.
Amaç, kullanıcıların, müşterilerin bilgisayar sistemlerine girdikten veya yazılım tedarik zincirini bozduktan sonra yazılımdaki güvenlik açıklarını aramak ve kötü niyetli bilgisayar korsanlarını kovalamak zorunda kalmalarını önlemek için yazılım ve diğer teknoloji araçlarının tasarımında ve geliştirilmesinde ön uç değişiklikler yapmaktı.
Mayısta, 68 güvenlik ve teknoloji tedarikçisiPalo Alto Networks ve Microsoft da dahil olmak üzere, siber dayanıklılığı artırma çabalarını da içeren tasarım yoluyla güvenlik uygulamalarına uymayı taahhüt etti. Ağustos ayına gelindiğinde bu rakam, aynı değişiklikleri taahhüt eden 200’den fazla şirkete ulaştı.
Şubat ayında, Beyaz Saray çabaya öncülük etti Bellek açısından güvenli programlamayı desteklemek için endüstri desteğini toplamak. Palantir, HPE ve SAP bu çabayı açıkça destekledi.
Yazılım güvenliği uzmanları, sektörün önerilen değişikliklerin çoğunu gerçekleştirebileceğini ancak bazılarının ağır bir yük olabileceğini söylüyor.
Orca Security’nin saha CISO’su Neil Carpenter, e-posta yoluyla şunları söyledi: “Öncelikle, bu öğelerden bazılarının ilk yatırımı oldukça büyük.”
Carpenter, bir kod tabanını C++’tan bellek açısından güvenli bir dile kaydırmanın çok fazla çalışma gerektirebileceğini söyledi.