Безопасность: общая ответственность (часть 6)

Опубликовано: 6 Апреля, 2023

  • Безопасность: общая ответственность (часть 2)
  • Безопасность: общая ответственность (часть 3)
  • Безопасность: общая ответственность (часть 4)
  • Безопасность: общая ответственность (часть 5)

Введение

В этой серии статей, состоящей из нескольких частей, мы рассмотрим общую картину сфер ответственности в области безопасности и то, как каждый компонент (внутренняя должность или внешнее лицо) вписывается в головоломку, а также обсудим важность определенных зон ответственности.. В первых четырех частях мы обсудили роли CSO/CISO, ИТ-администраторов, внешних подрядчиков, консультантов и партнеров, а также конечных пользователей. В прошлый раз, в части 5, мы начали говорить об очень сложном вопросе ответственности поставщиков программного обеспечения в отношении безопасности.

Теперь в последней части, части 6, мы завершим серию, продолжив обсуждение обязанностей поставщиков программного обеспечения, а также рассмотрев роли интернет-провайдеров и компаний, предоставляющих облачные услуги, в предотвращении нарушений безопасности и обеспечении безопасности наших сетей и данных.

Обязанности поставщиков программного обеспечения, продолжение

Как мы отмечали в части 5, одно время поставщики программного обеспечения уделяли мало внимания безопасности, поскольку это было нерентабельно; стоимость внедрения более высокого уровня безопасности перевешивала стоимость отказа от этого. В сегодняшней строго регулируемой бизнес-среде это уже не так.

Новая экономика безопасности

Компании во многих отраслях больше не могут позволить себе роскошь решать, внедрять высокий уровень безопасности или нет; они должны соблюдать государственные или отраслевые стандарты, которые налагаются на них по закону или в качестве условия принадлежности к отраслевым группам. Это оказывает давление на сами организации, но также оказывает давление на компании-разработчики программного обеспечения, продукты которых они используют.

Даже те предприятия, которые не обязаны по закону или членству в отрасли усиливать меры безопасности, понимают, что это в их интересах. Громкое нарушение безопасности может оттолкнуть клиентов, и даже сомнительные методы обеспечения безопасности без нарушения, если они будут опубликованы, могут привести к тому, что клиенты перейдут к конкурентам.

Даже если клиенты останутся лояльными, стоимость очистки и устранения ущерба, нанесенного в результате кибератаки, может быть значительной — до 20 000 долларов в день при средней цене 640 000 долларов, по данным Ponemon Institute — и эта стоимость быстро растет, 23 процентов с 2013 по 2014 год.

Для бизнеса становится все более и более целесообразным оставаться в курсе вопросов безопасности, даже игнорируя юридические, моральные и этические обязательства перед клиентами, которые покупают продукты поставщика. Но что именно должны делать поставщики программного обеспечения и как далеко должны реально простираться их обязательства по обеспечению безопасности?

Точки действий поставщика программного обеспечения

Программные продукты могут быть проверены на соответствие определенным стандартам безопасности, таким как FIPS 140-2 или ISO 27001, что позволяет гарантировать клиентам и регулирующим органам обеспечение определенных уровней безопасности. Поставщику программного обеспечения выгодно иметь возможность утверждать, что его продукт сертифицирован. Поставщики программного обеспечения также устанавливают свои собственные инициативы в области безопасности с определенными целями и стандартами, которые они могут рекламировать своим клиентам.

Инициатива Microsoft Trustworthy Computing и методы, такие как их безопасный жизненный цикл разработки (SDL), служат руководством для программистов, когда они создают новые программные продукты, и помогают внедрить осведомленность о безопасности в процесс с нуля, а не добавлять безопасность в последнюю очередь - то, что в прошлом было нормой в большинстве кругов разработчиков.

Все разработчики должны быть обучены тому, чтобы сделать безопасность приоритетом, а поставщики программного обеспечения должны предоставлять своим программистам ресурсы, необходимые им для создания безопасных продуктов. Поставщики программного обеспечения также должны обеспечить всестороннее тестирование на наличие уязвимостей в системе безопасности перед выпуском новых (или новых версий) продуктов. Тесты должны проводиться исследователями, которые могут «думать как хакеры».

Наконец, поставщики программного обеспечения несут этическое обязательство как можно быстрее реагировать на сообщения об уязвимостях и работать со сторонними исследователями для поощрения политики раскрытия уязвимостей, которая отвечает интересам пользователей программных продуктов и компьютерной общественности. Поставщики должны общаться с исследователями, которые сообщают об уязвимостях, и информировать их о расследованиях поставщиков.

Публичное раскрытие — более сложный бизнес. Поставщики не должны раскрывать слишком много информации, чтобы злоумышленникам было проще использовать уязвимость до того, как будет выпущено исправление, но должны раскрывать достаточно информации, чтобы клиенты могли определить, подвержены ли они риску. Поставщики должны предоставлять временные обходные пути и меры по смягчению последствий, когда это возможно, в процессе разработки более постоянного исправления.

Наконец, большинство согласится с тем, что поставщики несут моральное обязательство перед клиентами как можно быстрее устранять уязвимости, обнаруженные в их программном обеспечении, информировать пользователей о наличии исправлений и распространять их как можно шире и максимально упростить их развертывание для клиентов. Однако ответственность продавца на этом не заканчивается; компании-разработчики программного обеспечения также должны отслеживать сообщения о проблемах, вызванных исправлениями. Нередки случаи, когда обновления безопасности, особенно когда они выпускаются для устранения особенно серьезной и неминуемой угрозы, нарушают некоторые функции программного обеспечения. Когда это происходит, поставщик обязан «исправить исправление» как можно быстрее.

Крупные поставщики программного обеспечения обычно работают с программами реагирования на инциденты компьютерной безопасности, такими как US-CERT, которые создают и поддерживают базы данных для отслеживания известных уязвимостей в коммерческом программном обеспечении.

Обязанности интернет-провайдеров и сетевых провайдеров в области безопасности

Провайдеры интернет-услуг (ISP) предоставляют технологию — по телефонным линиям, оптоволокну, кабелю кабельного телевидения, спутнику или наземным беспроводным сигналам — для потребителей и предприятий, чтобы подключить свои индивидуальные компьютеры или локальные сети к глобальной сети Интернет. Интернет-провайдеры, хотя и не классифицируются по закону как обычные операторы связи, обычно рассматриваются как таковые в отношении сетевого контента. Обычные перевозчики (телекоммуникационные операторы, такие как телефонная компания) не несут ответственности за контент, который передается в их сетях, точно так же, как оператор частной платной дороги не будет нести ответственности, если кто-то воспользуется дорогой для перевозки незаконных товаров в своем/ ее транспортное средство.

Это не означает, что интернет-провайдеры и сетевые провайдеры не несут ответственности перед своими клиентами за обеспечение безопасной передачи данных клиентов по их сетям. Интернет-провайдеры могут обнаруживать и перехватывать угрозы до того, как они достигнут клиентов, и обладают опытом и ресурсами, которых нет у домашних пользователей и малых предприятий, что позволяет им лучше внедрять эффективные меры безопасности. Однако им также приходится идти по тонкой грани, чтобы предотвратить блокировку контента, который хотят клиенты. Некоторые контракты с клиентами могут запрещать интернет-провайдерам фильтровать трафик.

Клиенты и сообщество безопасности предъявляют все более высокие требования к интернет-провайдерам, чтобы они играли более активную роль в защите клиентов от вредоносного трафика. FCC выпустила рекомендации по передовым методам обеспечения безопасности для интернет-провайдеров и запрашивает комментарии от индустрии безопасности и общественности, чтобы улучшить их.

Белферовский центр Гарвардского университета опубликовал книгу «Обязанности поставщиков услуг Интернета», включающую множество обязанностей, связанных с безопасностью.

В прошлом году Corero Network Security выпустила отчет, в котором делается вывод о том, что неспособность интернет-провайдеров предлагать безопасные услуги была причиной недавних эксплойтов, таких как уязвимости OpenSSL и NTP.

Однако интернет-провайдеры могут быть обеспокоены тем, что, если они возьмут на себя задачу обеспечения большей безопасности, они будут нести большую ответственность в случае возникновения нарушений. Это аналогично рассуждениям отелей и круизных лайнеров, которые не нанимают спасателей для бассейнов, которые используют их клиенты, потому что они верят, что это косвенно делает их более юридически ответственными за случайные утопления в этих бассейнах.

Ответственность поставщиков облачных услуг

Роль облачных провайдеров значительно отличается от роли интернет-провайдеров, хотя технически оба они предоставляют «интернет-услуги». В то время как интернет-провайдер является просто каналом, облачный провайдер берет на себя обязанности, ранее возложенные на локальных сетевых администраторов, которые включают предоставление места для хранения их данных, программных приложений, электронной почты, Интернета, базы данных и коммуникационных серверов и даже в некоторых случаях -рабочие столы пользователей. Таким образом, облачный провайдер также несет ответственность за безопасность всех этих сервисов.

Безопасность была серьезной проблемой для компаний, рассматривающих возможность переноса некоторых или всех своих активов в облако. Однако крупные поставщики облачных услуг, такие как Microsoft, Google и Amazon, инвестируют в безопасность гораздо больше, чем обычное предприятие, и могут обеспечить более высокий уровень безопасности при меньших затратах благодаря экономии за счет масштаба. Это особенно заметно с точки зрения физической безопасности; у крупных игроков в сфере облачных услуг есть центры обработки данных, которые охраняются почти так же тщательно, как Форт-Нокс. У них также есть новейшие и лучшие технологии для шифрования данных и соединений.

Это не означает, что предприятия могут избежать ответственности за безопасность, просто передав ее в облако. Это по-прежнему общая ответственность. В регулируемых отраслях именно регулируемая компания несет полную ответственность за соблюдение требований, а не поставщик — точно так же, как отдельные налогоплательщики несут ответственность за ошибки в своих налоговых декларациях, даже если они наняли для выполнения этой работы специалиста по составлению налоговых деклараций или бухгалтера.

Пропорции ответственности, разделенные между поставщиком облачных услуг и заказчиком, также зависят от типа облачных услуг. При использовании программного обеспечения как услуги (SaaS) поставщик услуг несет больше ответственности, поскольку у него больше контроля; с инфраструктурой как услугой (IaaS) клиент имеет больший контроль над операционными системами, установкой и обслуживанием программного обеспечения и, следовательно, несет больше ответственности за его безопасность. В любом случае вы несете ответственность за безопасность конечных компьютеров и вашей локальной сети, через которую они подключаются к Интернету и службам облачного провайдера.

Подписываясь на облачный сервис, вы должны внимательно прочитать соглашение об обслуживании и убедиться, что вопросы безопасности решены к вашему удовлетворению. Поддерживается ли многофакторная аутентификация? Как ваши сохраненные данные зашифрованы? Вы (или провайдер) владеете ключами шифрования? Если ваш бизнес подпадает под действие HIPAA, GLB, PCI или других правил, предоставляет ли вам облачный сервис результаты аудита?

Резюме

Я надеюсь, что в этой серии из шести частей о безопасности как о совместной ответственности я дал вам несколько идей для размышления. Если все участники — от конечных пользователей до безымянных и безликих правителей облака — не посвятят себя защите тех частей вычислительной среды, которые находятся под их контролем, пробелы в безопасности будут существовать. Злоумышленники являются экспертами в поиске и использовании этих брешей, поэтому совместная работа в команде — ваш лучший способ помешать им и обеспечить безопасность ваших данных, а также ваши критические приложения в рабочем состоянии.

  • Безопасность: общая ответственность (часть 2)
  • Безопасность: общая ответственность (часть 3)
  • Безопасность: общая ответственность (часть 4)
  • Безопасность: общая ответственность (часть 5)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023