美国网络安全机构 CISA 周三推出了一种新型警报,旨在强调在软件开发生命周期中未实施安全性所造成的危害。
新的安全设计(SbD)警报旨在提供有关“供应商决策如何在全球范围内减少伤害”的信息,而不是详细说明可以采取哪些措施来预防或应对威胁。
CISA 警报系列的第一部分揭示了针对 Web 管理界面的恶意活动,以及如何实施安全最佳实践和消除特定类别的漏洞可以更好地保护客户免受这些威胁。
CISA 指出:“制定本指南的目的是敦促软件制造商通过使用设计安全原则来设计和开发其产品,从而主动防止 Web 管理界面中的漏洞被利用。”
该机构表示,供应商可以通过实施两项原则来改善网络管理界面中的客户保护:掌握客户安全结果并采用彻底的透明度和问责制。
第一个原则涵盖应用程序强化、功能和默认设置。CISA 指出:“在设计这些区域时,软件制造商应检查其产品的默认设置。”
产品应强制执行安全最佳实践,而不是依赖客户这样做,例如默认禁用 Web 界面、在易受攻击的状态下(例如暴露于互联网)阻止产品操作,以及警告与更改相关的风险默认配置。
“软件制造商应该进行现场测试,以了解其客户如何在其独特的环境中部署产品以及客户是否以不安全的方式部署产品。这种做法将有助于弥合开发人员期望与产品的实际客户使用之间的差距。”CISA 指出。
根据第二条原则,供应商在披露漏洞、跟踪每个安全缺陷的根本原因并确保每个 CVE 提供完整的详细信息时应充分拥抱透明度。
该机构表示:“这不仅有助于客户了解和评估风险,还使其他软件制造商能够从整个行业修复的错误中吸取教训。”
此外,CISA 建议供应商识别并消除其产品中重复出现的缺陷类别。
CISA 总结道:“为了保护客户免受针对 Web 管理界面的恶意网络活动的影响,软件制造商应采用《改变网络安全风险平衡》中规定的原则,并发布自己的安全设计路线图,以表明他们不仅仅是实施战术控制,而是实施战略控制。正在重新考虑自己在确保客户安全方面的角色。”
>>>错与罚<<<
原文始发于微信公众号(祺印说信安):CISA首次推出“设计安全”警报系列
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论