Νοημοσύνη δεδομένων Πλάτωνα.
Κάθετη Αναζήτηση & Αι.

Κυβερνασφάλεια

Η κυβέρνηση των ΗΠΑ επεκτείνει τον ρόλο της στην ασφάλεια λογισμικού

Αναδημοσίευση από τον Πλάτωνα
Αναδημοσίευση από τον Πλάτωνα

Ημερομηνία:

Εμφανίσεις: 0

Η κυβέρνηση Μπάιντεν συνεχίζει να πιέζει για στενότερες συνεργασίες δημόσιου-ιδιωτικού τομέα για να σκληρύνει την υποδομή πληροφορικής-τεχνολογίας των ΗΠΑ, καλώντας τις εταιρείες να στραφούν σε γλώσσες προγραμματισμού που είναι ασφαλείς για τη μνήμη και καλώντας τις τεχνικές και ακαδημαϊκές κοινότητες να δημιουργήσουν καλύτερους τρόπους μέτρησης της ασφάλειας λογισμικού. 

Αυτή την εβδομάδα, το Γραφείο του Λευκού Οίκου του Εθνικού Διευθυντή Cyber ​​Cyber ​​(ONCD) δημοσίευσε μια έκθεση που γράφτηκε για προγραμματιστές και μηχανικούς, υποστηρίζοντας ότι το έθνος πρέπει να δημιουργήσει μια νέα ισορροπία ευθυνών για την υπεράσπιση του κυβερνοχώρου και καλύτερα κίνητρα για τις εταιρείες να επενδύσουν στην ασφάλεια του κυβερνοχώρου. τα προϊόντα τους.

Ως αρχικά βήματα, το ONCD κάλεσε τους κατασκευαστές τεχνολογίας στροφή σε γλώσσες προγραμματισμού που είναι ασφαλείς για τη μνήμη — όπως Python, Java και Rust — που μπορούν να εξαλείψουν έως και το 70% των τρωτών σημείων και να αναπτύξουν καλύτερους τρόπους μέτρησης της ασφάλειας των προϊόντων τους.

Το τρέχον οικοσύστημα επιβαρύνει πάρα πολύ τους ανθρώπους που είναι λιγότερο ικανοί να αντέξουν οικονομικά το κόστος που απαιτείται για την εξασφάλιση ζωτικής σημασίας υποδομών και συστημάτων έναντι επιτιθέμενων, δήλωσε ο διευθυντής του National Cyber, Χάρι Κόκερ, σε μια δήλωση βίντεο. 

«Σήμερα, οι τελικοί χρήστες της τεχνολογίας —είτε ιδιώτες, μικρές επιχειρήσεις, είτε ιδιοκτήτες και χειριστές υποδομών ζωτικής σημασίας— φέρουν υπερβολική ευθύνη για τη διατήρηση της ασφάλειας του έθνους μας», είπε. «Ένα σύστημα που μπορεί να καταρριφθεί με μερικά πλήκτρα χρειάζεται καλύτερα δομικά στοιχεία, ισχυρότερη βάση. Πρέπει να περιμένουμε περισσότερους από εκείνους που είναι πιο ικανοί και σε θέση να υπερασπιστούν τον κυβερνοχώρο, και αυτό περιλαμβάνει την ομοσπονδιακή κυβέρνηση».

Κλίση στην Κυβερνοασφάλεια

Η κυβέρνηση Μπάιντεν έχει κλίνει σε προσπάθειες για τη βελτίωση της κυβερνοασφάλειας της υποδομής του έθνους, η συντριπτική πλειονότητα της οποίας είναι ιδιωτική. Πριν από ένα χρόνο η διοίκηση δημοσίευσε την Εθνική Στρατηγική για την Κυβερνοασφάλεια ζητώντας την ευθύνη του λογισμικού και τις ελάχιστες απαιτήσεις κυβερνοασφάλειας για τον τομέα των υποδομών ζωτικής σημασίας. Η διοίκηση έχει επίσης κράτησε διάλογο με τους κατασκευαστές λογισμικού και την κοινότητα ανάπτυξης ανοιχτού κώδικα για να βρείτε καλύτερους τρόπους συνεργασίας για την προώθηση της ασφάλειας λογισμικού. 

Η τελευταία έκθεση, Επιστροφή στα δομικά στοιχεία: Μια πορεία προς το ασφαλές και μετρήσιμο λογισμικό, δείχνει ότι η κυβέρνηση βλέπει μακροπρόθεσμο ρόλο στην επίβλεψη της ασφάλειας λογισμικού.

Οι προσπάθειες πιθανότατα θα λειτουργήσουν για να πείσουν πολλούς οργανισμούς του ιδιωτικού τομέα να στραφούν σε γλώσσες που είναι ασφαλείς για τη μνήμη και μακριά από C, C++ και κώδικα μηχανής, λέει ο Clar Rosso, Διευθύνων Σύμβουλος του ομίλου εκπαίδευσης και πιστοποίησης στον κυβερνοχώρο ISC2.

«Οι οργανισμοί θα γίνουν πιο ασφαλείς εάν είμαστε σε θέση να απομακρυνθούμε από την αντιδραστική προσέγγιση της κυβερνοασφάλειας και να καταβάλουμε συντονισμένη προσπάθεια πίσω από τη μετατόπιση προς τα αριστερά», λέει. "Ωστόσο, τίποτα από αυτά δεν θα είναι δυνατό χωρίς τη συνεργασία μεταξύ του δημόσιου και του ιδιωτικού τομέα - χρειαζόμαστε συλλογική δράση εάν πρόκειται να χαράξουμε μια πορεία προς ένα ασφαλές και μετρήσιμο λογισμικό."

Μη ασφαλές σε οποιαδήποτε ταχύτητα

Η ασφάλεια μνήμης είναι ένα σύνολο χαρακτηριστικών σύγχρονων γλωσσών προγραμματισμού που εμποδίζει τα προγράμματα να επιχειρήσουν να αποκτήσουν πρόσβαση στη μνήμη εκτός των αναμενόμενων ορίων και να αποκτήσουν πρόσβαση σε μεταβλητές μετά την απελευθέρωση της μνήμης τους από το πρόγραμμα. Θέτοντας χωρικούς και χρονικούς περιορισμούς στο λογισμικό, οι γλώσσες προγραμματισμού που είναι ασφαλείς για τη μνήμη μπορούν να εξαλείψουν ολόκληρες κατηγορίες τρωτών σημείων που προηγουμένως είχαν οδηγήσει σε μεγάλα συμβάντα στον κυβερνοχώρο, όπως το Slammer worm του 2003 και η ευπάθεια Heartbleed το 2014.

Η μείωση του αριθμού των σημαντικών τρωτών σημείων μπορεί να βοηθήσει τους τελικούς χρήστες, επιτρέποντάς τους να επικεντρωθούν σε άλλες πτυχές της ανθεκτικότητας στον κυβερνοχώρο, δήλωσε η Anjana Rajan, βοηθός εθνικής διευθύντριας για την τεχνολογική ασφάλεια στον κυβερνοχώρο στο ONCD, σε μια δήλωση βίντεο.

«Η έντονη αντιδραστική στάση που απαιτείται από το τρέχον status quo μειώνει την ικανότητα [των τελικών χρηστών] να προβλέψουν και να προετοιμαστούν για το επόμενο κύμα επιθέσεων», είπε. «Για να ξεπεράσουμε τους αντιπάλους της Αμερικής, πρέπει να οικοδομήσουμε ένα αμυντικό και ανθεκτικό οικοσύστημα. Αυτό σημαίνει ότι οι προσπάθειές μας πρέπει να επικεντρωθούν στο πώς αποφασίζουμε να διαμορφώσουμε το πεδίο μάχης στον κυβερνοχώρο για την πρόληψη, τον μετριασμό και την άμυνα έναντι μελλοντικών επιθέσεων».

Το οικοσύστημα ανοιχτού κώδικα έχει ήδη απομακρυνθεί από γλώσσες που δεν είναι ασφαλείς στη μνήμη, με τα περισσότερα έργα να είναι γραμμένα σε JavaScript, Python, Typescript και Java, τα οποία — υποθέτοντας σύγχρονες εκδόσεις — διαθέτουν όλα χαρακτηριστικά ασφάλειας μνήμης, λέει ο Mike McGuire, διευθυντής λύσεων ασφαλείας με το Synopsys.

«Στον κόσμο του ανοιχτού κώδικα, θα βρείτε πολύ περισσότερες βιβλιοθήκες ανοιχτού κώδικα Java, πολύ περισσότερες βιβλιοθήκες ανοιχτού κώδικα Python, από ό,τι θα βρείτε με τη C και τη C++», λέει. «Δεν είναι απαραιτήτως επειδή η βιομηχανία απομακρύνεται από τη C και τη C++ —αυτές είναι πολύ ισχυρές γλώσσες— αλλά, αν πρόκειται να συνεισφέρουν περισσότερο στον ανοιχτό κώδικα,… θέλετε να συνεισφέρουν με γλώσσες ασφαλείς για τη μνήμη».

Αποφυγή των λαθών της ΕΕ σχετικά με τις μετρήσεις ασφαλείας

Ίσως ακόμη πιο δύσκολο θα είναι το δεύτερο μισό πρωτοβουλία της κυβέρνησης Μπάιντεν: Δημιουργία μετρήσεων ασφαλείας που μπορούν να εφαρμοστούν στο λογισμικό.

Ενώ ένα αυτοματοποιημένο σύστημα που βγάζει αμέσως μια βαθμολογία ασφαλείας για το λογισμικό ακούγεται ωραίο, η ερευνητική προσπάθεια θα αντιμετωπίσει σημαντικά εμπόδια, λέει ο Rosso του ISC2.

«Έχω κάποιες επιφυλάξεις σχετικά με αυτήν τη σύσταση, καθώς η ιδέα της εκτέλεσης ενός αλγορίθμου ή μιας εξίσωσης για να θεωρηθεί ένα προϊόν «ασφαλές» φαίνεται πρόκληση με το συνεχώς εξελισσόμενο τοπίο απειλών», λέει. «Οι οργανισμοί θα πρέπει οπωσδήποτε να επωφελούνται από προϊόντα και υπηρεσίες που τους επιτρέπουν να έχουν μια ολιστική άποψη για τον κίνδυνο κυβερνοασφάλειάς τους, [αλλά] θα είναι απαιτητικό να δημιουργηθούν τυποποιημένα μέτρα που μπορούν να χρησιμοποιηθούν για να χαρακτηρίσουν το λογισμικό ως καλό ή φτωχό σε ποιότητα.”

Πέρυσι, η Ευρωπαϊκή Ένωση αντιμετωπίζουν κριτική μετά την ψήφιση του νόμου για την ανθεκτικότητα στον κυβερνοχώρο (CRA) λόγω των φόβων ότι ένας κανόνας αποκάλυψης ευπάθειας 24 ωρών δεν αφήνει στις εταιρείες αρκετό χρόνο για να διορθώσουν προβλήματα και θα μπορούσε να οδηγήσει σε λιγότερο ασφαλές λογισμικό, όχι περισσότερο. 

Ειδικά όταν ασχολούνται με το οικοσύστημα ανοιχτού κώδικα, οι νομοθέτες και οι κυβερνητικοί αξιωματούχοι πρέπει να εξετάσουν προσεκτικά τις πολιτικές πριν τις εφαρμόσουν, λέει ο McGuire της Synopsys.

«Πρέπει να θυμόμαστε ότι οι συντηρητές ανοιχτού κώδικα το κάνουν συνήθως με τη δική τους δεκάρα στον ελεύθερο χρόνο τους. το κάνουν γιατί είναι το σωστό», λέει. «Το να λέμε ότι θα πρέπει να έχουν επιπλέον απαιτήσεις ή να παρέχουν επιπλέον μετρήσεις ή να συλλέγουν επιπλέον μετρήσεις — αυτό θα ήταν σημαντικό πλήγμα, νομίζω, για τον ανοιχτό κώδικα που είναι διαθέσιμος σε εμάς. Αυτός ο ανοιχτός κώδικας… είναι ο λόγος για τον οποίο βλέπουμε [την] ταχύτητα ανάπτυξης που κάνουμε σήμερα».

spot_img

Τελευταία Νοημοσύνη

spot_img

Πνευματικά δικαιώματα @ 2024 Plato Technologies Inc.

Συνομιλία με μας

Γεια σου! Πώς μπορώ να σε βοηθήσω?