در دنیای به هم پیوسته ای که با حملات سایبری رو به رشد مواجه است، اطمینان از انعطاف پذیری سیستم های فناوری برای ایمن نگه داشتن مردم بسیار مهم است. برای بیش از 20 سال، Google پیشگام رویکرد طراحی ایمن بوده است، به این معنی که امنیت را در هر مرحله از چرخه عمر توسعه نرمافزار تعبیه کردهایم – نه فقط در ابتدا یا انتها.
در اوایل سال جاری، ما به آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) پیوستیم، و اکنون بیش از 200 نفر از همتایان خود در صنعت، برای امضای Secure by Design Pledge – تعهد داوطلبانه به اهداف امنیتی خاص. امروز، کاغذ سفید خود را منتشر میکنیم «مروری از تعهد Google برای ایمنسازی با طراحی»، که چگونگی ادامه دادن به هفت هدف این تعهد را پوشش میدهد. این پست نکات برجسته مقاله را به اشتراک میگذارد به این امید که راهنمای صنعتی مفیدی در مورد نحوه شروع Secure by Design یا انجام تنظیمات برای اجرای بهتر ارائه شود.
رویکرد گوگل به 7 هدف Secure by Design
- احراز هویت چند عاملی (MFA): آمریکایی ها در سال 2023 12.5 میلیارد دلار به دلیل فیشینگ و کلاهبرداری از دست دادند و نیاز به محافظت هایی مانند MFA را حیاتی کرد. سفر Google با MFA به سال 2010 بازمیگردد، زمانی که Google Authenticator و تأیید صحت 2 مرحلهای (2SV) را برای Google Workspace راهاندازی کردیم. از آن زمان، ما به طور پیوسته از طریق کار خود با FIDO Alliance، برنامه حفاظت پیشرفته (APP)، کلیدهای امنیتی و ثبت نام خودکار افراد در 2SV پیشرفت کرده ایم. اخیراً، ما بخشی از فشار برای ورود بدون رمز عبور با کلیدهای عبور (جایگزین ایمن تر و آسان تر برای رمزهای عبور) بوده ایم که بیش از 1 میلیارد بار برای احراز هویت کاربران استفاده شده است.
- رمزهای عبور پیش فرض: پیدا کردن رمزهای عبور پیشفرض در نرمافزار و سختافزار برای بازیگران بد آسان است، به این معنی که میتوانند منجر به دسترسی غیرمجاز گسترده شوند. به همین دلیل است که ما گذرواژههای پیشفرض کشفشده را بهعنوان آسیبپذیری خاص خود در نظر میگیریم و اقداماتی را در سراسر محصولات خود برای کاهش این خطر اجرا کردهایم. ما از سیستمی استفاده میکنیم که محصولات ما را به حساب Google شما پیوند میدهد، بنابراین دستگاهها به گذرواژههای از پیش پیکربندی شده متکی نیستند. بنابراین برای پیکربندی محصولاتی مانند دستگاه جدید خانه هوشمند Nest یا تلفن Google Pixel، باید با حساب Google خود وارد شوید. این مشابه نحوه راه اندازی و دسترسی به سرویس های مبتنی بر نرم افزار ما است. به عنوان مثال، سرویسهایی مانند Workspace و Google Cloud توسط مدیران سازمان مدیریت میشوند و فرآیند راهاندازی شامل گذرواژههای پیشفرض نمیشود.
- کاهش کل کلاسهای آسیبپذیری: رویکرد ما برای طراحی نرمافزار ایمن با چارچوب کدنویسی ایمن و محیط توسعه امن شروع میشود و به ما کمک میکند تا کل کلاسهای آسیبپذیری را کاهش دهیم. گوگل سابقه طولانی در رسیدگی به آسیبپذیریها در مقیاس از جمله اسکریپت بین سایتی (XSS)، تزریق SQL (SQLi)، مشکلات ایمنی حافظه و استفاده ناامن از رمزنگاری دارد. ما این کار را با تکامل روشهای خود و استفاده از رویکردهایی مانند کدگذاری ایمن انجام دادهایم.
- وصله های امنیتی: فروشندگان باید با تسهیل هرچه بیشتر بهروزرسانیهای نرمافزار، باری را که بر دوش کاربران نهایی وارد میکنند، کاهش دهند. Google این رویکرد را در اولویت قرار می دهد و بر پذیرش اصلاحات ما تمرکز می کند و بر استقرار سریع برای کاهش شانس سوء استفاده بازیگر بد از نقص ها تأکید می کند. ChromeOS یک مثال عالی است، زیرا از لایههای حفاظتی متعدد همراه با بهروزرسانیهای خودکار و بدون درز استفاده میکند تا از باجافزار و عاری از ویروسها محافظت کند.
- افشای آسیب پذیری: همکاری در صنعت برای یافتن و گزارش اشکالات و آسیب پذیری ها کلیدی است. Google از دیرباز طرفدار شفافیت بوده است، به این معنی که ما اقدامات پیشگیرانه ای برای یافتن مشکلات انجام می دهیم و از کمک صنعت امنیت برای گزارش های خارجی استقبال می کنیم. خطمشی افشای آسیبپذیری و برنامههای پاداش آسیبپذیری (VRP) ما را به محققان امنیتی مرتبط کرده است که به ما در تأمین امنیت محصولاتمان کمک کردهاند. از زمانی که VRP را راهاندازی کردیم، 18500 جایزه به مبلغ نزدیک به 59 میلیون دلار توزیع کردیم.
- آسیب پذیری ها و مواجهه های رایج (CVEs): CVEها برای کمک به شناسایی اصلاحاتی هستند که توسط مشتری یا کاربر اعمال نشده است. Google صدور CVE را برای محصولاتی که برای بهروزرسانی نیاز به اقدام دارند، در اولویت قرار میدهد. ما همچنین بولتنهای امنیتی را برای مصرفکنندگان و کسبوکارها در محصولات مختلف، از جمله Android، مرورگر Chrome، ChromeOS و Google Cloud ارائه میدهیم که آسیبپذیریها را به تفصیل بیان میکند و راهنماییهایی در مورد کاهش آن ارائه میدهد.
- شواهد نفوذ: درست مانند مسائل امنیتی فیزیکی، مردم سزاوار این هستند که در مورد نفوذهای احتمالی بدون بار بیش از حد اطلاعات نامربوط مطلع شوند. ما این کار را از طریق هشدارهای مربوط به امنیت حساب Google شما و با ارائه بررسی امنیتی خود برای توصیههای شخصیشده و هشدارهای امنیتی انجام میدهیم. برای Cloud، ما از گزارشهای حسابرسی برای ثبت و مشاهده فعالیتهای موجود در منابع Google Cloud مشتریان استفاده میکنیم. Cloud Logging با امکان تمدید به مشتریان کمک میکند تا گزارشها را از 30 روز شروع و نگهداری کنند. در Workspace، مدیران دامنه میتوانند از ابزار ممیزی و بررسی و گزارشهای API برای بررسی فعالیت کاربر و سرپرست در محصولاتی مانند Gmail، Drive، Docs و Chat استفاده کنند. شرکتها میتوانند از قابلیتهای Android Enterprise، مانند گزارشهای حسابرسی امنیتی و گزارشهای رویداد شبکه، برای جستجوی شواهدی از نفوذ استفاده کنند.
ما سالها را به گنجاندن Secure by Design در Google اختصاص دادهایم، اما کارمان تمام نشده است، و مشتاقانه منتظر هستیم تا راههای بیشتری را به اشتراک بگذاریم که به تعهد CISA ارائه میکنیم. وایت پیپر امروز اولین مورد از مجموعه ای از بینش هایی خواهد بود که در ماه های آینده منتشر خواهیم کرد. ایمن سازی اکوسیستم دیجیتال ما یک ورزش تیمی است، بنابراین ما شرکای صنعتی، سیاست گذاران و کارشناسان امنیتی را نیز تشویق می کنیم که به این کار مهم بپیوندند. و میتوانید در مورد نحوه ساخت محصولات ما با ایمنی از ابتدا در Safer with Google بیشتر بدانید.