اختصاصی افتانا: آژانس امنیت سایبری و امنیت زیرساخت آمریکا از تولیدکنندگان نرمافزارها درخواست کرد امنیت سایبری را در هنگام طراحی نرمافزار در اولویت قرار دهند.
به گزارش افتانا به نقل از اینفوسکیوریتی، چندین سازمان امنیت سایبری در سراسر جهان به طور مشترک مجموعه جدیدی از دستورالعملها را برای کمک به تولیدکنندگان در اولویتبندی اقدامات امنیت سایبری در هنگام طراحی محصولات منتشر کردهاند.
این مقاله توسط
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، دفتر تحقیقات فدرال (FBI)، آژانس امنیت ملی (NSA) و مقامات امنیت سایبری استرالیا، کانادا، بریتانیا، آلمان، هلند و نیوزلند توسعه داده شده است.
راهنمای «تغییر تعادل ریسک امنیت سایبری: اصول و رویکردها برای امنیت بر اساس طراحی و پیشفرض» توسط این سازمانها منتشر شد و توصیههای فنی خاصی و همچنین تشریح اصول اصلی را ارائه میکند.
در این سند آمده است: برای ایجاد آیندهای که در آن فناوری و محصولات مرتبط برای مشتریان ایمنتر باشد، آژانسهای نویسنده از تولیدکنندگان میخواهند برنامههای طراحی و توسعه خود را اصلاح کنند تا فقط محصولات امن بر اساس طراحی و پیشفرض برای مشتریان ارسال شوند. محصولاتی که ایمن با طراحی هستند، محصولاتی هستند که امنیت مشتریان یک هدف اصلی تجاری است، نه فقط یک ویژگی فنی. محصولات امن از طریق طراحی قبل از شروع توسعه با این هدف شروع میشوند.
این راهنما توضیح میدهد که محصولات امن به صورت پیشفرض آنهایی هستند که برای استفاده خارج از جعبه بدون نیاز به تغییرات پیکربندی و ویژگیهای امنیتی بدون هزینه اضافی در دسترس هستند.
به گفته آژانسهای نویسندگان، تعبیه این دو اصل در طراحی محصول، بار امنیتی زیادی را بر دوش تولیدکنندگان میگذارد و این احتمال را کاهش میدهد که مشتریان از حوادث ناشی از پیکربندیهای نادرست و وصلههای سریع ناکافی رنج ببرند.
سیسا با ارائه رهنمودهایی برای کمک به ایمن نگه داشتن سازمانها از
حملات سایبری در حال پیشرفت بزرگی است. ایجاد امنیت در فرآیند طراحی نه تنها تمرین خوبی است، بلکه در کاهش عیوب نرم افزار قبل از رسیدن به دست مصرف کننده نیز بسیار موثر است.
در عین حال، این آژانس میگوید که ممکن است سازمانها اتخاذ این شیوه ها را بدون تأثیرگذاری بر تجارت آنها از نقطه نظر فنی یا مالی چالشبرانگیز بدانند.
به گفته کارشناسان سیسا، مرحله طراحی یک جزو حیاتی از چرخه حیات توسعه نرمافزار (SDLC) است و سازمانها همچنان به مبارزه برای اتخاذ امنیت به عنوان بخشی از این فرآیند ادامه میدهند. امید است که آخرین توصیههای سیسا کمک کند تا از همان ابتدا اهمیت ایجاد امنیت در SDLC بیشتر دیده شود.
منبع:
Infosecurity