هفت راه گوگل امنیت را با طراحی ترکیب می کند

در دنیای به هم پیوسته ای که با حملات سایبری رو به رشد مواجه است، اطمینان از انعطاف پذیری سیستم های فناوری برای ایمن نگه داشتن مردم بسیار مهم است. برای بیش از 20 سال، Google پیشگام رویکرد طراحی ایمن بوده است، به این معنی که امنیت را در هر مرحله از چرخه عمر توسعه نرم‌افزار تعبیه کرده‌ایم – نه فقط در ابتدا یا انتها.

در اوایل سال جاری، ما به آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) پیوستیم، و اکنون بیش از 200 نفر از همتایان خود در صنعت، برای امضای Secure by Design Pledge – تعهد داوطلبانه به اهداف امنیتی خاص. امروز، کاغذ سفید خود را منتشر می‌کنیم «مروری از تعهد Google برای ایمن‌سازی با طراحی»، که چگونگی ادامه دادن به هفت هدف این تعهد را پوشش می‌دهد. این پست نکات برجسته مقاله را به اشتراک می‌گذارد به این امید که راهنمای صنعتی مفیدی در مورد نحوه شروع Secure by Design یا انجام تنظیمات برای اجرای بهتر ارائه شود.

رویکرد گوگل به 7 هدف Secure by Design

  1. احراز هویت چند عاملی (MFA): آمریکایی ها در سال 2023 12.5 میلیارد دلار به دلیل فیشینگ و کلاهبرداری از دست دادند و نیاز به محافظت هایی مانند MFA را حیاتی کرد. سفر Google با MFA به سال 2010 بازمی‌گردد، زمانی که Google Authenticator و تأیید صحت 2 مرحله‌ای (2SV) را برای Google Workspace راه‌اندازی کردیم. از آن زمان، ما به طور پیوسته از طریق کار خود با FIDO Alliance، برنامه حفاظت پیشرفته (APP)، کلیدهای امنیتی و ثبت نام خودکار افراد در 2SV پیشرفت کرده ایم. اخیراً، ما بخشی از فشار برای ورود بدون رمز عبور با کلیدهای عبور (جایگزین ایمن تر و آسان تر برای رمزهای عبور) بوده ایم که بیش از 1 میلیارد بار برای احراز هویت کاربران استفاده شده است.
  2. رمزهای عبور پیش فرض: پیدا کردن رمزهای عبور پیش‌فرض در نرم‌افزار و سخت‌افزار برای بازیگران بد آسان است، به این معنی که می‌توانند منجر به دسترسی غیرمجاز گسترده شوند. به همین دلیل است که ما گذرواژه‌های پیش‌فرض کشف‌شده را به‌عنوان آسیب‌پذیری خاص خود در نظر می‌گیریم و اقداماتی را در سراسر محصولات خود برای کاهش این خطر اجرا کرده‌ایم. ما از سیستمی استفاده می‌کنیم که محصولات ما را به حساب Google شما پیوند می‌دهد، بنابراین دستگاه‌ها به گذرواژه‌های از پیش پیکربندی شده متکی نیستند. بنابراین برای پیکربندی محصولاتی مانند دستگاه جدید خانه هوشمند Nest یا تلفن Google Pixel، باید با حساب Google خود وارد شوید. این مشابه نحوه راه اندازی و دسترسی به سرویس های مبتنی بر نرم افزار ما است. به عنوان مثال، سرویس‌هایی مانند Workspace و Google Cloud توسط مدیران سازمان مدیریت می‌شوند و فرآیند راه‌اندازی شامل گذرواژه‌های پیش‌فرض نمی‌شود.
  3. کاهش کل کلاس‌های آسیب‌پذیری: رویکرد ما برای طراحی نرم‌افزار ایمن با چارچوب کدنویسی ایمن و محیط توسعه امن شروع می‌شود و به ما کمک می‌کند تا کل کلاس‌های آسیب‌پذیری را کاهش دهیم. گوگل سابقه طولانی در رسیدگی به آسیب‌پذیری‌ها در مقیاس از جمله اسکریپت بین سایتی (XSS)، تزریق SQL (SQLi)، مشکلات ایمنی حافظه و استفاده ناامن از رمزنگاری دارد. ما این کار را با تکامل روش‌های خود و استفاده از رویکردهایی مانند کدگذاری ایمن انجام داده‌ایم.
  4. وصله های امنیتی: فروشندگان باید با تسهیل هرچه بیشتر به‌روزرسانی‌های نرم‌افزار، باری را که بر دوش کاربران نهایی وارد می‌کنند، کاهش دهند. Google این رویکرد را در اولویت قرار می دهد و بر پذیرش اصلاحات ما تمرکز می کند و بر استقرار سریع برای کاهش شانس سوء استفاده بازیگر بد از نقص ها تأکید می کند. ChromeOS یک مثال عالی است، زیرا از لایه‌های حفاظتی متعدد همراه با به‌روزرسانی‌های خودکار و بدون درز استفاده می‌کند تا از باج‌افزار و عاری از ویروس‌ها محافظت کند.
  5. افشای آسیب پذیری: همکاری در صنعت برای یافتن و گزارش اشکالات و آسیب پذیری ها کلیدی است. Google از دیرباز طرفدار شفافیت بوده است، به این معنی که ما اقدامات پیشگیرانه ای برای یافتن مشکلات انجام می دهیم و از کمک صنعت امنیت برای گزارش های خارجی استقبال می کنیم. خط‌مشی افشای آسیب‌پذیری و برنامه‌های پاداش آسیب‌پذیری (VRP) ما را به محققان امنیتی مرتبط کرده است که به ما در تأمین امنیت محصولاتمان کمک کرده‌اند. از زمانی که VRP را راه‌اندازی کردیم، 18500 جایزه به مبلغ نزدیک به 59 میلیون دلار توزیع کردیم.
  6. آسیب پذیری ها و مواجهه های رایج (CVEs): CVEها برای کمک به شناسایی اصلاحاتی هستند که توسط مشتری یا کاربر اعمال نشده است. Google صدور CVE را برای محصولاتی که برای به‌روزرسانی نیاز به اقدام دارند، در اولویت قرار می‌دهد. ما همچنین بولتن‌های امنیتی را برای مصرف‌کنندگان و کسب‌وکارها در محصولات مختلف، از جمله Android، مرورگر Chrome، ChromeOS و Google Cloud ارائه می‌دهیم که آسیب‌پذیری‌ها را به تفصیل بیان می‌کند و راهنمایی‌هایی در مورد کاهش آن ارائه می‌دهد.
  7. شواهد نفوذ: درست مانند مسائل امنیتی فیزیکی، مردم سزاوار این هستند که در مورد نفوذهای احتمالی بدون بار بیش از حد اطلاعات نامربوط مطلع شوند. ما این کار را از طریق هشدارهای مربوط به امنیت حساب Google شما و با ارائه بررسی امنیتی خود برای توصیه‌های شخصی‌شده و هشدارهای امنیتی انجام می‌دهیم. برای Cloud، ما از گزارش‌های حسابرسی برای ثبت و مشاهده فعالیت‌های موجود در منابع Google Cloud مشتریان استفاده می‌کنیم. Cloud Logging با امکان تمدید به مشتریان کمک می‌کند تا گزارش‌ها را از 30 روز شروع و نگهداری کنند. در Workspace، مدیران دامنه می‌توانند از ابزار ممیزی و بررسی و گزارش‌های API برای بررسی فعالیت کاربر و سرپرست در محصولاتی مانند Gmail، Drive، Docs و Chat استفاده کنند. شرکت‌ها می‌توانند از قابلیت‌های Android Enterprise، مانند گزارش‌های حسابرسی امنیتی و گزارش‌های رویداد شبکه، برای جستجوی شواهدی از نفوذ استفاده کنند.

ما سال‌ها را به گنجاندن Secure by Design در Google اختصاص داده‌ایم، اما کارمان تمام نشده است، و مشتاقانه منتظر هستیم تا راه‌های بیشتری را به اشتراک بگذاریم که به تعهد CISA ارائه می‌کنیم. وایت پیپر امروز اولین مورد از مجموعه ای از بینش هایی خواهد بود که در ماه های آینده منتشر خواهیم کرد. ایمن سازی اکوسیستم دیجیتال ما یک ورزش تیمی است، بنابراین ما شرکای صنعتی، سیاست گذاران و کارشناسان امنیتی را نیز تشویق می کنیم که به این کار مهم بپیوندند. و می‌توانید در مورد نحوه ساخت محصولات ما با ایمنی از ابتدا در Safer with Google بیشتر بدانید.

Source link