Управление Национального кибер-директора Белого дома (ONCD) сегодня опубликовало новый отчет, призывающий технологическую отрасль принять меры по уменьшению уязвимостей в программном обеспечении, которые оставляют цифровые системы открытыми для кибератак.
В отчете, озаглавленном «Назад к строительным блокам: путь к безопасному и измеримому программному обеспечению», подчеркивается важность того, чтобы производители технологий внедряли языки программирования, безопасные для памяти, чтобы предотвратить попадание целых классов уязвимостей в цифровую экосистему.
«Мы, как нация, имеем возможность – и ответственность – уменьшить поверхность атаки в киберпространстве и предотвратить попадание целых классов ошибок безопасности в цифровую экосистему, но это означает, что нам необходимо решить сложную проблему перехода к безопасному использованию памяти. языков программирования», — сказал Национальный кибер-директор Гарри Кокер.
В отчете, который является результатом сотрудничества команды ONCD, технического сообщества и партнеров из государственного и частного секторов, обрисовываются угрозы и возможности, доступные при движении к будущему, в котором программное обеспечение безопасно для памяти и безопасно по своей конструкции.
«Офис национального кибер-директора написал то, что станет обязательным к прочтению всему техническому сообществу, поскольку оно работает над максимизацией безопасности нашей общей цифровой экосистемы», — говорит Шьям Санкар, технический директор Palantir.
«Применяя инженерный подход к политике кибербезопасности, Белый дом предоставляет действенную дорожную карту для уменьшения уязвимостей, безопасных для памяти, и улучшения возможностей измерения программного обеспечения — и то, и другое необходимо для обеспечения того, чтобы все новаторы программного обеспечения вносили свой вклад в защиту от ежедневных угроз. киберугрозы национальной безопасности США».
ONCD также призывает исследовательское сообщество заняться проблемой измеримости программного обеспечения, чтобы разработать более совершенную диагностику, позволяющую измерить качество кибербезопасности. Принимая новаторский подход к выработке политики, ONCD гарантирует, что опыт технического сообщества будет отражен в том, как федеральное правительство подходит к этим проблемам.
«Впечатляет, что Белый дом взялся за важную тему безопасности программного обеспечения, используя более совершенные языки программирования. Ошибки безопасности памяти привели к многочисленным уязвимостям в реальных системах», — комментирует Дэн Бонех, профессор компьютерных наук Стэнфордского университета.
«Качество программного обеспечения было бы значительно улучшено, если бы мы могли каким-то образом взмахнуть волшебной палочкой и перевести все существующее программное обеспечение на язык, безопасный для памяти. К сожалению, такой волшебной палочки пока не существует».
Помощник национального кибер-директора по технологической безопасности Анжана Раджан подчеркнула, что некоторые из самых печально известных киберсобытий в истории, такие как червь Морриса в 1988 году и уязвимость Heartbleed в 2014 году, были вызваны уязвимостями безопасности памяти.
«Этот отчет был создан инженерами для инженеров, потому что мы знаем, что они могут принимать архитектурные и проектные решения относительно строительных блоков, которые они потребляют, — и это окажет огромное влияние на нашу способность уменьшать поверхность угроз, защищать цифровую экосистему и, в конечном итоге, , нация.»
ONCD сотрудничает с разнообразной группой заинтересованных сторон, призывая их присоединиться к усилиям администрации.
«Этот новый технический отчет представляет собой позитивный шаг вперед по важнейшему вопросу — необходимости фундаментальных мер защиты от основной причины многих уязвимостей в цепочке поставок программного обеспечения», — комментирует Марк Данберг, председатель и главный исполнительный директор Viasat.
«Устранение уязвимостей в системах и инфраструктуре, а также обеспечение отказоустойчивых и разнообразных вариантов подключения имеют жизненно важное значение для интересов национальной безопасности».
Отчет соответствует двум основным темам президентской Национальной стратегии кибербезопасности, опубликованной почти год назад, которая направлена на то, чтобы переложить ответственность за кибербезопасность с отдельных лиц и малого бизнеса на крупные организации, такие как технологические компании и федеральное правительство, которые более способны управлять постоянно развивающаяся угроза.
Эта последняя работа также дополняет интерес Конгресса к этой теме, в том числе усилия комитетов по ассигнованиям Сената и Палаты представителей США, а также законодательные усилия председателя комитета Сената США по внутренней безопасности и делам правительства Гэри Питерса (демократ от Мичигана) и сенатора США Рона Уайдена (демократ). -ИЛИ).
«Проблемы интернет-безопасности — это глобальные проблемы, и их решение потребует участия лидеров нашей страны. Я высоко оцениваю Управление национального кибер-директора за то, что он сделал важный первый шаг за пределами политики высокого уровня, превратив эти идеи в призывы к действию, понятные техническим и бизнес-сообществам», — говорит Джефф Мосс, президент DEFCON и Black Hat.
«Я поддерживаю рекомендацию внедрить языки программирования, безопасные для памяти, во всей экосистеме, потому что это может устранить целые категории уязвимостей, которые мы заклеивали в течение последних тридцати лет».
Копию полного отчета можно найти здесь (PDF)
(Фото KOMMERS на Unsplash)
Смотрите также: Пакеты Python, обнаруженные при использовании неопубликованной загрузки DLL для обхода безопасности
Хотите узнать больше о кибербезопасности и облаке от лидеров отрасли? Посетите выставку Cyber Security & Cloud Expo, которая проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие проводится совместно с другими ведущими мероприятиями, включая BlockX, Неделю цифровой трансформации, IoT Tech Expo и AI & Big Data Expo.
Кроме того, предстоящая конференция по облачной трансформации — это бесплатное виртуальное мероприятие для лидеров бизнеса и технологий, на котором они смогут изучить развивающуюся среду облачной трансформации. Забронируйте бесплатный виртуальный билет, чтобы изучить практические аспекты и возможности внедрения облака.
Ознакомьтесь с другими предстоящими мероприятиями и вебинарами в области корпоративных технологий, проводимыми TechForge. здесь.
Специальная подборка для Вас