VMware Tanzu спонсировал этот пост.
Стремление к «нулевым CVE» (общие уязвимости и воздействие) в программном обеспечении не только недостижимо: он отвлекает критические ресурсы от реальных проблем безопасности. Лидеры, которые приняли слоган с нулевым кадром, оказываются с пресловутым похмельем из-за своей сложной и хрупкой стратегии смягчения. Это скрывает истинное понимание вашей безопасности и оставляет вас с туманной, если не неполной, изображением того, насколько вы на самом деле уязвимы.
Лучший способ избежать этого похмелья — принять прозрачный подход к вашей ситуации управления уязвимостью.
С безопасности предприятия невежество — это не блаженство
В то время как организации принимают мантру с нулевым кв. Это связано с тем, что философия нулевого кв. В основном зависит от идеи, что подсчитывают только те CVE с участками. Вы можете увидеть, как это опасно: в области безопасности предприятия контекст имеет решающее значение, а невежество далеко от блаженства.
Современные программные приложения по своей природе сложны. Они состоят из сотен компонентов, каждый из которых использует бесчисленные библиотеки с открытым исходным кодом. Например, одно приложение с несколькими сотнями микросервисов может содержать тысячи различных зависимостей, каждое из которых является потенциальным источником уязвимостей. Новые CVEs обнаруживаются ежедневно, что означает достижение и поддержание состояния с нулевым кв. Для любой значимой системы программного обеспечения, статистически невозможно. На крупном предприятии это может включать отслеживание миллионов записей еженедельно.
Концепция с нулевым куклом имеет несколько критических недостатков:
- Отсутствие контекста: Не все уязвимости представляют одинаковый риск. Подход с нулевым CVE часто не учитывает эксплуатационную среду или эксплуатацию уязвимости в реальном мире. Высокоэффективная CVE в компоненте, который не подвергается выставке и не используется в критическом пути, может быть менее рискованной, чем более низкая ставка с легкой эксплуатацией.
- Он нарушает общественный договор «доверие, но проверяет»: «Доверие, но проверь» работает только тогда, когда поставщик раскрывает истинную природу CVE в своем программном обеспечении. Многие поставщики программного обеспечения раскрывают CVE только в проприетарных частях своего программного обеспечения, поэтому предприятия должны полагаться на третьих лиц, чтобы проверить безопасность компонентов программного обеспечения с открытым исходным кодом. Поставщики, провозглашающие сообщение с нулевым CVE, обычно не сообщают об уязвимости, пока патч не будет доступен, оставляя клиентам беззащитные, пока не будет разработано исправление, сообщается и не применяется. Это отсутствие прозрачности в корне нарушает неотъемлемый договор в модели «доверие, но проверьте» и устанавливает опасный прецедент.
- Это препятствует стратегической работе безопасности: Когда команды безопасности погрязли в сизифанской задаче по делу о том, как миллионы CVE каждую неделю, у них нет времени сосредоточиться на стратегических инициативах безопасности, таких как определение реальных рисков бизнеса, создание защищенных приложений или реализации элементов управления, которые предотвращают целые классы уязвимостей (например, входные валидацию для прекращения инъекций SQL).
Безопасность через безвестность — это не безопасность
Более прагматичный и эффективный подход к управлению безопасности и управлением уязвимостью охватывает прозрачность и стратегию, ориентированную на платформу. Организации должны признать непрерывное открытие уязвимостей и смещать свое внимание с устранением всех CVE до управления реальными, контекстуализированными рисками с непрерывной безопасностью и обновлениями. В конечном итоге это поможет лидерам безопасности и инженерам платформы лучше понять свою осадку безопасности и улучшить время отклика до критических уязвимостей и сбоев программного обеспечения.
Вы можете переосмыслить свой подход к безопасности, не становясь жертвой обещания нулевого CVE. Вот несколько способов начать смену стратегию безопасности, чтобы избежать похмелья с нулевым кв.
- Поддерживать прозрачные партнерские отношения вверх по течению: Установите доверие с поставщиками программного обеспечения, которые честны во всех уязвимости в своих продуктах, в том числе в базовых компонентах с открытым исходным кодом. Эта прозрачность обеспечивает единственный, надежный источник истины, снижая необходимость в дорогостоящем и избыточном сканировании сторонних сторон.
- Принять платформу для стандартизации и контроля: Использование платформ позволяет обеспечивать стандартизированную среду, в которой обеспечение безопасности и соответствия являются заданными и согласованными в разных приложениях. Это значительно уменьшает поверхность атаки и централизует контроль, позволяя командам сосредоточиться на наиболее важных рисках, а не на миллионы разрозненных уязвимостей.
- Сосредоточиться на рисках для конкретного приложения: Разгружая управление уязвимостями на уровне платформы на доверенного поставщика платформы, команды приложений могут сосредоточиться на уязвимости, введенных их собственным кодом, зависимостями и бизнес-логикой (например, недостатки бизнес-логики). Это обеспечивает упреждающий, «безопасный по дизайну», основанный на рисках бизнес-ориентированный подход.
Мышление с нулевым квером-это ошибка, которая повлияла на эффективные программы безопасности. Переход требует сдвига в сторону прозрачности, доверия и платформу, который позволяет организациям эффективно идентифицировать, расставлять приоритеты и смягчить наиболее эффективные риски, а не преследовать невозможную цель.
Недавние десятилетия достигли больших успехов в инфраструктуре; Теперь пришло время создать приложения, которые используют максимальную пользу из этих новых инструментов. Решения VMware Tanzu ускоряют разработку и поставку приложений с помощью оптимизированных путей к производству, автоматизированным операциям платформы и улучшению затрат, производительности и безопасности. Узнайте больше последних из VMware Tanzu Trending Stories YouTube.com/thenewstack Tech, которые движутся быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Rita Manachi — это маркетинговый и коммуникационный профессионал с многолетним опытом работы в области высоких технологий. Она менеджер по маркетингу в VMware Tanzu. Узнайте больше от Rita Manachi с более чем 30 -летним опытом работы с ИТ и опытом безопасности в финансовых услугах, здравоохранении и глобальных розничных организациях, Дэвид Зендзиан возглавляет команду VMware Tanzu Global Field CISO. Дэвид был членом -основателем и CISO для FDIC -регулируемого Нью -Йорка … Подробнее от Дэвида Зендзяна
