گزارش CSRB نیاز به یک رویکرد جدید برای امنیت را برجسته می کند

برای سال ها، کارشناسان امنیتی در مورد خطرات ناشی از اتکای بیش از حد دولت به یک فروشنده فناوری هشدار داده اند. گزارش اخیر هیئت بررسی ایمنی سایبری ایالات متحده (CSRB) که جزئیات خرابی های امنیتی قابل توجه و ضعف های سیستماتیک در یک فروشنده قدیمی را شرح می دهد، این خطرات را مجدداً تأیید می کند. این گزارش همچنین در خلال یک نقض مداوم توسط یک عامل تهدید کننده تحت حمایت دولت علیه همان فروشنده منتشر شده است. واضح است که این مشکلات از بین نمی روند. ما کار CSRB را تحسین می کنیم، که خدمات عمومی حیاتی را با روشن کردن علل حوادث و ارائه توصیه های مهم برای نحوه رسیدگی به آنها ارائه می دهد. این گزارش بر نیاز فوری و طولانی مدت برای اتخاذ یک رویکرد جدید برای امنیت تاکید می کند.

امروز، ما در حال به اشتراک گذاشتن سه توصیه برای نحوه رسیدگی دولت ها به آسیب پذیری های مشخص شده توسط CSRB هستیم.

یک رویکرد جدید

در هسته خود، گزارش CSRB نشان داد که عدم تعهد قوی به امنیت باعث ایجاد خطاهای قابل پیشگیری و نقض جدی می شود. ارائه دهندگان اصلی پلت فرم – به ویژه آنهایی که به بخش عمومی و سازمان های زیرساخت حیاتی خدمات می دهند – مسئولیت پیشبرد بهترین شیوه های امنیتی را دارند. همانطور که استراتژی امنیت سایبری ملی ایالات متحده بیان می کند، “مسئولیت باید بر عهده ذینفعانی گذاشته شود که قادر به انجام اقدامات برای جلوگیری از نتایج بد هستند.”

گزارش CSRB همچنین نشان می‌دهد که چه تعداد از فروشندگان، از جمله گوگل، با رویکردهای مهندسی که در برابر تاکتیک‌های نشان‌داده‌شده در گزارش محافظت می‌کنند، کار درست را انجام می‌دهند. ما جزئیاتی را که قبلاً فاش نشده بود، در مورد تجربه خودمان در پاسخ به نفوذی از سوی همان عامل تهدید کننده بیش از 14 سال پیش در طی عملیات شفق قطبی به اشتراک گذاشتیم. آن حادثه ما را بر آن داشت تا زیرساخت‌های داخلی خود را بازسازی کنیم و رویکردهای جدید، از جمله تجزیه و تحلیل اعتماد صفر و تهدید را پیشگام کنیم و در نتیجه امنیت را برای مشتریان سازمانی، کاربران و صنعت به طور کلی ارتقا دهیم.

سه گام فوری امنیتی که دولت ها می توانند بردارند

قانون‌گذاران و متخصصان امنیتی خواستار رویکردهای جدید در پاسخ به نقض‌های اخیر شده‌اند، و امروز سه گام فوری که دولت‌ها می‌توانند برای رسیدگی به ناکامی‌های ذکر شده در گزارش CSRB بردارند را به اشتراک می‌گذاریم.

1. سیستم ها و محصولاتی را تهیه کنید که با طراحی ایمن هستند

امنیت دیجیتال نمی تواند یک افزونه بعدی برای محصولات موجود باشد. گوگل معتقد است که هر محصول نرم افزاری باید ابتدا از ابتدای مرحله طراحی و در طول چرخه عمر محصول، یک بررسی امنیتی دقیق را پشت سر بگذارد. ما رویکرد خود را به اشتراک گذاشتیم و از پیوستن به CISA و سایرین در صنعت خرسندیم تا در طول کنفرانس RSA این ماه، مجموعه جدیدی از اصول طراحی ایمن را امضا کنیم.

2. به امنیت یک صندلی در میز تدارکات اختصاص دهید

ارزیابی های امنیتی محصولات فناوری نباید زمانی پایان یابد که یک محصول با استانداردهای اعتباربخشی بخش عمومی مطابقت داشته باشد. چرخه حیات مدیریت فناوری باید شامل توانایی راه اندازی گواهینامه های امنیتی مجدد برای محصولاتی باشد که از حوادث امنیتی بزرگ رنج می برند و عملکرد گذشته را هنگام تصمیم گیری خرید در نظر بگیرد. مقامات تدارکات از قبل موظفند عملکرد گذشته را بر اساس تحویل به موقع، طرز کار و هزینه های کنترلی در نظر بگیرند. امنیت در طول فرآیند اکتساب به همان رفتاری نیاز دارد که از داده‌های موجود مطلع می‌شود، مانند نقص‌های محصول که منجر به نقض قبلی سیستم‌های دولتی می‌شود، اطلاعاتی در مورد آسیب‌پذیری‌هایی که به طور معمول مورد سوء استفاده قرار می‌گیرند، و دستورالعمل‌های امنیت سایبری صادر شده توسط سازمان‌های دولتی مانند CISA.

3. کاهش تک محصولی

گوگل و دیگران خطر طولانی مدتی را برای سازمان‌های بخش عمومی که از همان فروشنده برای سیستم‌های عامل، ایمیل، نرم‌افزار اداری و ابزار امنیتی استفاده می‌کنند، می‌بینند. این رویکرد خطر یک نقض واحد را افزایش می دهد که کل اکوسیستم را تضعیف کند. دولت‌ها باید یک استراتژی چند فروشنده را اتخاذ کنند و استانداردهای باز را برای اطمینان از قابلیت همکاری توسعه دهند و ارتقا دهند، تا سازمان‌ها بتوانند محصولات ناامن را با محصولاتی که در برابر حمله مقاوم‌تر هستند جایگزین کنند. در نهایت، تنظیم‌کننده‌ها باید رویه‌های محدودکننده صدور مجوز را که مانع اکوسیستم عرضه‌کننده متنوع می‌شود و نوآوری را از بین می‌برد، بررسی کنند.

جایگزین ایمن تر

ما مشتاقانه منتظر همکاری با دولت ها برای اجرای توصیه های CSRB برای نوسازی امنیت هستیم. با این حال ما می دانیم که تغییرات زمان می برد. ما خوشحالیم که یک Google Workspace جدید ارائه می دهد که به سازمان های بخش عمومی ایالات متحده حق انتخاب بیشتری می دهد – و ما تغییر را آسان تر می کنیم، زیرا مشتریان واجد شرایط بخش عمومی می توانند قیمت مطلوبی را برای Workspace Enterprise Plus، Assured Controls Plus دریافت کنند. ، Chrome Enterprise Premium و کمک آموزشی و انتقال.

در چشم‌انداز تهدیدات دائماً در حال تحول امروز، وضعیت موجود کافی نیست، بنابراین ما متعهد هستیم که به حرکت صنعت در مسیری جدید و امن‌تر کمک کنیم.