Google обновил рекомендуемые минимальные требования для защиты сторонних приложений, предложив дополнительные рекомендации по управлению взаимоотношениями с внешними исследователями ошибок и снизив затраты на доступ к базовым функциям безопасности, за счет встраивания их в приложения.
В 2021 году Google запустила программу «Минимально жизнеспособный безопасный продукт» (Minimum Viable Secure Product, MVSP) для определения фундаментальных средств контроля безопасности приложений, которые следует интегрировать в продукты и услуги, готовые к использованию на предприятиях. «Инициатива Google MVSP устанавливает надежную основу безопасности для сторонних продуктов и услуг, что позволяет повысить стандарты защиты во всей отрасли. Это подчеркивает важность ключевых элементов управления безопасностью», — говорит Ронен Славин, соучредитель и технический директор компании Cycode, которая разрабатывает решение для управления состоянием безопасности приложений.
Оглавление
Лучшее руководство для компаний, работающих с внешними исследователями
Предыдущие рекомендации MVSP по управлению внешними сообщениями о недостатках программного обеспечения ограничивались публикацией контактного лица для отчетов о безопасности на веб-сайте поставщика и реагированием на эти отчеты в разумные сроки. «Расширенное руководство идет гораздо дальше, помогая компаниям лучше работать с внешними исследователями», — говорит Ройал Хансен, вице-президент по вопросам конфиденциальности, безопасности и защиты в Google.
Это расширенное руководство рекомендует организациям:
- Опубликуйте политику раскрытия уязвимостей, в которой описывается объем тестирования, обеспечьте юридическую безопасную гавань и предоставьте контактные данные для отчетов о безопасности.
- Разработайте и задокументируйте процедуры сортировки и устранения обнаруженных уязвимостей.
- Реагируйте на сообщения в разумные сроки.
- Исправляйте уязвимости в соответствии с рекомендациями MVSP, что включает создание и развертывание патчей для устранения уязвимостей приложений, которые существенно влияют на безопасность, в течение 90 дней с момента обнаружения.
Укрепление доверия между компаниями и исследователями безопасности
«Расширенное руководство по защите от внешних уязвимостей направлено на обеспечение более последовательной правовой защиты и процедур для охотников за ошибками, которые хотят защитить себя от судебного преследования или иска за сообщение о найденных багах», — говорит главный аналитик Forester Сэнди Кариелли. «Это также помогает определить ожидания относительно того, как компании будут работать с исследователями. В целом, расширенное руководство поможет укрепить доверие между компаниями и исследователями в области безопасности».
Расширенное руководство способствует более полному и ответственному раскрытию информации об уязвимостях, говорит Ян Миллер, технический директор по анализу угроз в OPSWAT, компании, занимающейся предотвращением угроз и безопасностью данных. «Это способствует созданию более безопасной цифровой экосистемы, что особенно важно в критически важных секторах инфраструктуры, где уязвимости могут иметь серьезные последствия», — говорит он.
Предупреждение о взимании платы за базовые функции безопасности
Последняя версия средств управления MVSP также не поощряет поставщиков увеличивать затраты на доступ к базовым функциям безопасности в своих продуктах и поощряет их внедрять эти базовые функции в свои продукты, следуя принципам безопасности при проектировании, пропагандируемым Агентством по кибербезопасности и безопасности инфраструктуры США (CISA).
«Взимание платы за базовые функции безопасности отпугнет некоторых людей или организации от использования этих функций», — говорит Кариелли. «Если мы хотим сделать продукты более безопасными, доступ к функциям безопасности должен предоставляться не только самым богатым клиентам».
Снижение дополнительных затрат на функции безопасности является растущей тенденцией среди покупателей программного обеспечения, добавляет Ник Соренсен, генеральный директор Whistic, сторонней компании по управлению рисками. «Функциональность и возможности безопасности становятся приоритетом для поставщиков программного обеспечения», — говорит он. «Мы видим, что гораздо больше покупателей задают вопросы об этих возможностях».
Закупщики должны обеспечивать соблюдение требований, также как и киберстраховщики
Хотя меры контроля MVSP Google существуют уже два года, компания отметила, что 48% сторонних поставщиков не соблюдают два или более требований. «Причина, по которой почти половина компаний не соблюдает эти меры контроля, связана с осведомленностью», — говорит Хансен. «Мы надеемся, что система MSVP повысит осведомленность и поможет компаниям правильно расставить приоритеты».
Соренсен согласен, что осведомленность была «задачей номер один» в более широком внедрении средств управления MVSP. «Чем больше компаний требуют от своих поставщиков соблюдения мер контроля MVSP, тем больше поставщиков будут соблюдать эти меры контроля», — говорит он.
Джон Галлахер, вице-президент Viakoo Labs, поставщика автоматизированных средств кибергигиены IoT, добавил, что заинтересованным сторонам следует ужесточить требования к поставщикам, которые мягко относятся к безопасности. «Закупщики должны обеспечивать соблюдение требований, как и киберстраховщики», — сказал он. «Оба являются «кнутом» для «пряника» MVSP».