Перейти к основному содержанию

Официальный сайт правительства США

Вот как вы это узнаете

Меню

Хлебные крошки
Ресурсы и инструменты
ДЕЛИТЬСЯ:

ПУБЛИКАЦИЯ
Неправильная практика обеспечения безопасности продукции
Дата публикации
16 октября 2024 г.
ПОХОЖИЕ ТЕМЫ: ЛУЧШИЕ ПРАКТИКИ КИБЕРБЕЗОПАСНОСТИ , ОРГАНИЗАЦИИ И КИБЕРБЕЗОПАСНОСТЬ , МНОГОФАКТОРНАЯ АУТЕНТИФИКАЦИЯ
Запрос комментариев по Руководству по недобросовестной практике обеспечения безопасности продукта
CISA ИЩЕТ ПУБЛИЧНЫЕ КОММЕНТАРИИ ДЛЯ ИНФОРМИРОВАНИЯ О РАЗРАБОТКЕ ЭТИХ ПЛОХИХ ПРАКТИК БЕЗОПАСНОСТИ ПРОДУКТОВ, КОТОРЫЕ ПЕРЕЧИСЛЯЮТ ИСКЛЮЧИТЕЛЬНО РИСКОВАННЫЕ ДЕЙСТВИЯ ПО РАЗРАБОТКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. ПОЖАЛУЙСТА, ПОСЕТИТЕ ФЕДЕРАЛЬНЫЙ РЕЕСТР, ЧТОБЫ ОТПРАВИТЬ КОММЕНТАРИЙ ДО 16 ДЕКАБРЯ 2024 Г.
ПРОСМОТРЕТЬ ФЕДЕРАЛЬНЫЙ РЕЕСТР

Обзор
Как указано в инициативе CISA Secure by Design , производители программного обеспечения должны гарантировать, что безопасность является основным фактором с самого начала разработки программного обеспечения. Это добровольное руководство предоставляет обзор плохих практик безопасности продукта, которые считаются исключительно рискованными, особенно для производителей программного обеспечения, которые производят программное обеспечение, используемое для обслуживания критической инфраструктуры или национальных критических функций (NCF), и дает рекомендации производителям программного обеспечения по снижению этих рисков.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и Федеральное бюро расследований (ФБР) (далее именуемые организациями-авторами) разработали это руководство, чтобы призвать производителей программного обеспечения снизить риск для клиентов, уделяя первостепенное внимание безопасности на протяжении всего процесса разработки продукта. Этот документ предназначен для производителей программного обеспечения, которые разрабатывают программные продукты и услуги, включая локальное программное обеспечение, облачные сервисы и программное обеспечение как услугу (SaaS), используемые для поддержки критической инфраструктуры или NCF. Организации-авторы настоятельно рекомендуют всем производителям программного обеспечения избегать этих плохих практик безопасности продуктов. Следуя рекомендациям в этом руководстве, производители будут давать понять клиентам, что они берут на себя ответственность за результаты безопасности клиентов, что является ключевым принципом Secure by Design. Руководство, содержащееся в этом документе, не является обязательным, и хотя CISA призывает организации избегать этих плохих практик, этот документ не налагает на них никаких требований делать это.

Неправильные практики делятся на три категории.

Свойства продукта, которые описывают наблюдаемые качества программного продукта, связанные с безопасностью.
Функции безопасности, описывающие функции безопасности, поддерживаемые продуктом.
Организационные процессы и политики, описывающие действия, предпринимаемые производителем программного обеспечения для обеспечения высокой прозрачности подхода к безопасности.
Этот список является целенаправленным и не включает в себя все возможные нецелесообразные практики кибербезопасности. Отсутствие включения какой-либо конкретной практики кибербезопасности не означает, что CISA одобряет такую ​​практику или считает, что такая практика представляет приемлемый уровень риска. Элементы, представленные в этом списке, были выбраны на основе ландшафта угроз как представляющие наиболее опасные и насущные плохие практики, которых производители программного обеспечения должны избегать.

Свойства продукта
Развитие языков, небезопасных для памяти ( CWE [1] -119 и связанные с ними недостатки)
Разработка новых линеек продуктов для использования в обслуживании критической инфраструктуры или NCF на языке, небезопасном для памяти (например, C или C++), когда существуют легкодоступные альтернативные языки, безопасные для памяти, которые можно было бы использовать, является опасной и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также национального общественного здравоохранения и безопасности.

Для существующих продуктов, написанных на языках, небезопасных для памяти, отсутствие опубликованной дорожной карты безопасности памяти к 1 января 2026 года является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности и национального общественного здравоохранения и безопасности. Дорожная карта безопасности памяти должна описывать приоритетный подход производителя к устранению уязвимостей безопасности памяти в приоритетных компонентах кода (например, сетевой код или код, который обрабатывает чувствительные функции, такие как криптографические операции). Производители должны продемонстрировать, что дорожная карта безопасности памяти приведет к значительному приоритетному сокращению уязвимостей безопасности памяти в продуктах производителя, и продемонстрировать, что они прилагают разумные усилия для следования дорожной карте безопасности памяти. Это не относится к продуктам, у которых объявленная дата окончания поддержки до 1 января 2030 года.

Рекомендуемые действия: Производители программного обеспечения должны создавать продукты таким образом, чтобы систематически предотвращать появление уязвимостей безопасности памяти, например, используя безопасный язык памяти или аппаратные возможности, которые предотвращают уязвимости безопасности памяти. Кроме того, производители программного обеспечения должны опубликовать дорожную карту безопасности памяти к 1 января 2026 года.

Ресурсы: Аргументы в пользу планов по обеспечению безопасности памяти , Обязательство CISA по обеспечению безопасности при проектировании (сокращение классов уязвимостей), Назад к строительным блокам , NIST Secure Software Development Framework (SSDF) PW 6.1.

Включение введенных пользователем данных в строки SQL-запроса ( CWE-89 )
Включение введенных пользователем данных непосредственно в необработанное содержимое строки запроса базы данных SQL в продуктах, используемых для обслуживания критически важной инфраструктуры или NCF, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения в стране.

Рекомендуемые действия: Продукты должны быть созданы таким образом, чтобы систематически предотвращать появление уязвимостей SQL-инъекций, например, путем последовательного применения параметризованных запросов.

Ресурсы: CISA Secure by Design Pledge (сокращение классов уязвимостей), SSDF PW.5.1, CISA SQL Injection Secure by Design Alert .

Включение введенных пользователем данных в командные строки операционной системы ( CWE-78 )
Включение вводимых пользователем данных непосредственно в необработанное содержимое командной строки операционной системы в продуктах, используемых для обслуживания критически важной инфраструктуры или NCF, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения в стране.

Рекомендуемые действия: Производители программного обеспечения должны создавать продукты таким образом, чтобы систематически предотвращать уязвимости, связанные с внедрением команд, например, путем последовательного обеспечения того, чтобы вводимые команды были четко отделены от содержания самой команды.

Ресурсы: CISA Secure by Design Pledge (сокращение классов уязвимостей), SSDF PW.5.1.

Наличие паролей по умолчанию ( CWE-1392 и CWE-1393 )
Выпуск продукта, используемого для обслуживания критически важной инфраструктуры или NCF, с паролями по умолчанию, которые CISA определяет как универсальные пароли, присутствующие по умолчанию во всем продукте, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения страны.

Рекомендуемые действия: Производители программного обеспечения должны гарантировать, что в продукте отсутствуют пароли по умолчанию, например:

Предоставление случайных, уникальных для каждого экземпляра начальных паролей для продукта.
Требование от пользователя, устанавливающего продукт, создать надежный пароль в начале процесса установки.
Предоставление ограниченных по времени паролей настройки, которые отключаются автоматически после завершения процесса настройки и требуют настройки безопасного пароля (или более безопасных подходов к аутентификации, таких как устойчивая к фишингу многофакторная аутентификация).
Требуется физический доступ для первоначальной настройки и указания уникальных учетных данных экземпляра.
Проведение кампаний или предложение обновлений, которые переводят существующие развертывания с паролей по умолчанию на более безопасные механизмы аутентификации.
Ресурсы: CISA Secure by Design Pledge (пароли по умолчанию), SSDF PW.9.1, Оповещение CISA Default Passwords Secure by Design Alert .

Наличие известных эксплуатируемых уязвимостей
Выпуск продукта, используемого в обслуживании критической инфраструктуры или NCF, который на момент выпуска включает компонент, содержащий эксплуатационную уязвимость, представленную в каталоге известных эксплуатируемых уязвимостей (KEV) CISA , является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также для национального общественного здравоохранения и безопасности. Кроме того, если новый KEV, влияющий на продукт, опубликован в каталоге CISA, невыпуск исправления бесплатно для его пользователей своевременно, если KEV является эксплуатируемым в продукте, или невыполнение публичного документирования наличия уязвимости, если KEV не является эксплуатируемым в продукте, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также для национального общественного здравоохранения и безопасности.

Рекомендуемые действия: Производители программного обеспечения должны исправить все известные эксплуатируемые уязвимости в компонентах программного обеспечения до выпуска. В случае публикации нового KEV в каталоге CISA производитель должен своевременно выпустить исправление бесплатно для своих пользователей (ни при каких обстоятельствах не позднее, чем за 30 дней) и четко предупредить пользователей о связанных с этим рисках, если не установить исправление.

Если производитель считает, что KEV не может быть использован в его продукте (например, потому что KEV можно использовать только через функцию, которая никогда не вызывается), производитель должен публично опубликовать письменную документацию, подтверждающую наличие KEV и объясняющую, почему его нельзя использовать в его продукте.[2]

Ресурсы: CISA Secure by Design Pledge (исправления безопасности), SSDF PW.4.4, Обязательная операционная директива 22-01 .

Наличие программного обеспечения с открытым исходным кодом с известными уязвимостями, которые можно использовать
Выпуск продукта, используемого для обслуживания критической инфраструктуры или NCF, который на момент выпуска включает компоненты программного обеспечения с открытым исходным кодом, имеющие известные уязвимости, которые можно эксплуатировать, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также для национального общественного здравоохранения и безопасности.[3] Кроме того, если впоследствии будут раскрыты уязвимости, которые можно эксплуатировать, во включенных компонентах с открытым исходным кодом, невыпуск исправления или другого бесплатного средства смягчения для пользователей продукта в своевременные сроки является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также для национального общественного здравоохранения и безопасности.

Рекомендуемые действия: Производители программного обеспечения должны ответственно потреблять и устойчиво вносить вклад в программное обеспечение с открытым исходным кодом, от которого они зависят. Это включает в себя принятие разумных усилий для оценки и защиты зависимостей своего программного обеспечения с открытым исходным кодом, предпринимая следующие действия:[4]

Ведение спецификации программного обеспечения (SBOM), описывающей все зависимости основного и стороннего программного обеспечения, как с открытым исходным кодом, так и проприетарного, и возможность предоставления ее клиентам.
Наличие установленного процесса управления внедрением программного обеспечения с открытым исходным кодом, включая принятие разумных мер для:
Запускать инструменты сканирования безопасности для каждого выбранного компонента программного обеспечения с открытым исходным кодом, включая его зависимости и транзитивные зависимости, а также для каждой последующей версии при ее обновлении.
Выбирайте проекты программного обеспечения с открытым исходным кодом, которые хорошо поддерживаются, и — при необходимости — вносите вклад в текущую поддержку проекта для поддержания ожидаемого стандарта качества.
Оцените альтернативы, чтобы определить и выбрать наиболее защищенный и обслуживаемый вариант.
Загружайте артефакты проектов программного обеспечения с открытым исходным кодом из репозиториев пакетов (или других соответствующих источников), которые соответствуют лучшим практикам безопасности .
Регулярно отслеживайте наличие распространенных уязвимостей и рисков (CVE) или других оповещений, связанных с безопасностью, таких как окончание жизненного цикла, во всех зависимостях программного обеспечения с открытым исходным кодом и обновляйте их по мере необходимости.
Кэшируйте копии всех зависимостей с открытым исходным кодом в собственных системах сборки производителя и не обновляйте продукты или клиентские системы напрямую из непроверенных общедоступных источников.
Включение стоимости обновления до новых основных версий зависимостей стороннего программного обеспечения с открытым исходным кодом в мероприятия по бизнес-планированию и обеспечение того, чтобы такие зависимости продолжали получать необходимые исправления безопасности в течение ожидаемого срока службы продукта.
Ресурсы: SSDF PW.4.4, Рекомендуемые практики ESF по управлению программным обеспечением с открытым исходным кодом и спецификации программного обеспечения , Определение и руководство по программному офису с открытым исходным кодом (OSPO) группы TODO .

Функции безопасности
Отсутствие многофакторной аутентификации
Для продуктов, используемых в обслуживании критической инфраструктуры или NCF, которые аутентифицируют пользователей, отсутствие поддержки многофакторной аутентификации (MFA) в базовой версии продукта является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также национального общественного здравоохранения и безопасности.

Кроме того, продукты, которые не включают MFA по умолчанию для учетных записей администраторов после 1 января 2026 года, опасны и значительно повышают риск для национальной безопасности, национальной экономической безопасности и национального общественного здравоохранения и безопасности. Это не относится к продуктам, у которых объявленная дата окончания поддержки до 1 января 2028 года.

Рекомендуемое действие: Производители программного обеспечения должны либо поддерживать MFA изначально в продукте (если продукт сам обрабатывает аутентификацию), либо поддерживать в базовой версии продукта использование внешнего поставщика удостоверений, например, через единый вход. Требовать MFA для администраторов.

Ресурсы: CISA Secure by Design Pledge (многофакторная аутентификация), SSDF PW.9.

Отсутствие возможности сбора доказательств вторжений
Для продуктов, используемых в обслуживании критической инфраструктуры или NCF, опасно и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения в стране не предоставлять клиентам артефакты и возможности в базовой версии продукта, достаточные для сбора доказательств распространенных форм вторжений, влияющих на продукт, которые как минимум включают:

Изменение конфигурации или чтение параметров конфигурации;
Идентификация (например, вход в систему и создание токенов) и сетевые потоки, если применимо; а также
Доступ к данным или создание бизнес-значимых данных.
Рекомендуемые действия:

В рамках базовой версии продукта производители программного обеспечения должны предоставлять журналы в стандартном отраслевом формате, относящиеся как минимум к перечисленным выше областям.
Для поставщиков облачных услуг и продуктов SaaS производители программного обеспечения должны хранить журналы в течение установленного периода времени (не менее 6 месяцев) без дополнительной платы.
Ресурсы: CISA Secure by Design Pledge (доказательства вторжений).

Организационные процессы и политики
Несвоевременная публикация CVE с CWE
Для продуктов, используемых в обслуживании критической инфраструктуры или NCF, опасно и значительно повышает риск для национальной безопасности, национальной экономической безопасности и национального общественного здравоохранения и безопасности, если производитель программного обеспечения не выпустит CVE своевременно, как минимум, для всех критических или высокоэффективных уязвимостей (обнаруженных как внутри компании, так и третьей стороной). Кроме того, опасно и значительно повышает риск для национальной безопасности, национальной экономической безопасности и национального общественного здравоохранения и безопасности, если не включить поле CWE в каждую запись CVE.

Рекомендуемые действия: Производители программного обеспечения должны своевременно публиковать полные CVE, включая соответствующее поле CWE, для всех критических или имеющих высокое влияние уязвимостей.

Ресурсы: CISA Secure by Design Pledge (CVEs), SSDF RV.1.3.

Неопубликованная политика раскрытия информации об уязвимостях
Для продуктов, используемых в обслуживании критической инфраструктуры или NCF, отсутствие опубликованной политики раскрытия уязвимостей (VDP), которая включает продукт в свою сферу применения, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения в стране.

Рекомендуемые действия:

Производители программного обеспечения должны опубликовать VDP, который:
Разрешает проведение испытаний представителями общественности продукции, предлагаемой производителем;
Обязуется не рекомендовать и не возбуждать судебные иски против любого лица, добросовестно прилагающего усилия по соблюдению Программы добровольного развития,
Предоставляет четкий канал для сообщения об уязвимостях; и
Позволяет публично раскрывать информацию об уязвимостях в соответствии с передовой практикой скоординированного раскрытия информации об уязвимостях (CVD) и международными стандартами.
Производители программного обеспечения должны своевременно устранять все выявленные уязвимости с учетом степени риска.
Ресурсы: CISA Secure by Design Pledge (Политика раскрытия уязвимостей), SSDF RV.1.3, ISO 29147.


[1] Перечень распространенных слабостей.

[2] В идеале документация должна быть опубликована в формате, пригодном для машинной обработки, через Vulnerability Exploitability eXchange (VEX).

[3] Критические уязвимости определяются как уязвимости с оценкой Common Vulnerability Scoring System (CVSS) 9,0 или выше.

[4] Организации могут принять решение о создании офиса программ с открытым исходным кодом (OSPO) для централизации этой деятельности.

Ресурсные материалы
Неправильная практика обеспечения безопасности продукта — 508c
PDF , 755,21 КБ
Английский
Теги
Язык : английский
Темы : Безопасность и устойчивость критической инфраструктуры , Киберугрозы и рекомендации , Лучшие практики кибербезопасности , Многофакторная аутентификация , Организации и кибербезопасность , Услуги по обеспечению устойчивости , Защита сетей
Связанные ресурсы
01 ОКТ. 2024 Г.
ВНЕШНИЙ, ПУБЛИКАЦИЯ
Принципы кибербезопасности операционных технологий
20 НОЯБРЯ 2024 Г.
ПУБЛИКАЦИЯ
История успеха многофакторной аутентификации (MFA), устойчивой к фишингу: внедрение USDA Fast IDentity Online (FIDO)
26 ИЮНЯ 2024 Г.
Изучение безопасности памяти в критически важных проектах с открытым исходным кодом
20 ИЮНЯ 2024 Г.
Препятствия к внедрению единого входа (SSO) для малого и среднего бизнеса: выявление проблем и возможностей
Вернуться наверх
Темы
В центре внимания
Ресурсы и инструменты
Новости и события
Карьера
О
Агентство по кибербезопасности и безопасности инфраструктуры
Фейсбук
Твиттер
LinkedIn
Ютуб
Инстаграм
RSS
CISA Центральный
1-844-Сэй-CISA
СкажитеCISA@cisa.dhs.gov
Печать DHS
CISA.gov
Официальный сайт Министерства внутренней безопасности США
О CISA
Бюджет и производительность
DHS.gov
Равные возможности и доступность
Запросы FOIA
Закон «Нет страху»
Офис Генерального инспектора
политика конфиденциальности
Подписаться
Белый дом
USA.gov
Обратная связь с сайтом