Bei Black Hat drängt die Fed Technologiefirmen zu „radikaler Transparenz“

LAS VEGAS – Zwei Regierungsbeamte kamen diese Woche mit einigen Sicherheitstipps zu Black Hat, die viel spezifischer waren, als die hochrangigen Diskussionsthemen, die die Teilnehmer aus Washington erwartet hätten.

Zu den umsetzbaren Ratschlägen von Bob Lord und Jack Cable, beide leitende technische Berater bei der Cybersecurity and Infrastructure Security Agency (CISA), für Technologieanbieter gehören:

• Wechseln Sie dazu, Software in speichersicheren Sprachen zu schreiben, die Buffer-Overflow-Angriffen widerstehen;

• Stellen Sie für jede Version eine Software-Stückliste bereit, damit keine Geheimnisse über die Komponenten und Bibliotheken entstehen.

• Pflegen Sie eine Richtlinie zur Offenlegung von Schwachstellen mit rechtlichem Safe Harbor für Sicherheitsforscher.

• Eliminieren Sie Standardkennwörter, die Benutzer möglicherweise nie ändern.

• Bieten Sie Single Sign-On ohne zusätzliche Kosten an, anstatt für jeden Benutzer, der diese sicherere Authentifizierungsoption nutzt, zusätzliche Gebühren zu erheben.

• Stellen Sie eine Multi-Faktor-Authentifizierung bereit, um sicherzustellen, dass die Gefährdung eines Passworts nicht zum Verlust eines Kontos führt.

• Bieten Sie hochwertige Audit-Protokolle ohne Aufpreis an;

• Machen Sie das Konzept eines „Härtungsleitfadens“, der Kunden erklärt, wie sie das Produkt sichern können, überflüssig, indem Sie sicherstellen, dass es sofort sicher ist.

Dieser Rat kam im Rahmen von CISAs Secure By Design-Anstrengungin dem diese Agentur versucht, die Übernahme bewährter Sicherheitspraktiken durch Technologieanbieter zu fördern, damit Kunden nicht länger mit ihren eigenen Sicherheits-To-Do-Listen konfrontiert werden.

„Wir möchten, dass sie die Sicherheitsergebnisse für ihr Produkt besitzen“, sagte Cable. „Wo immer es standardmäßig und konstruktionsbedingt eingesetzt wird, ist es sicher.“

Er forderte sie dazu auf, „radikale Transparenz und Rechenschaftspflicht“ zu praktizieren – und fügte hinzu, dass dies nicht nur bedeute, Versäumnisse auszuräumen, sondern auch Sicherheitsgewinne zu feiern – und Organisationsstrukturen aufzubauen, die Sicherheit als höchste Priorität verankern, anstatt sie einem CISO zu überlassen . „Sicherheit muss als Priorität angesehen werden, denn wenn nicht, gewinnt immer die schnelle Markteinführung“, sagte Cable.

Lord verglich den aktuellen Stand der Dinge damit, dass die Regierung vor Jahrzehnten einen Großteil der Fahrzeugsicherheit einzelnen Herstellern überlassen habe. Der Titel des Briefings „Unsicher bei jeder Geschwindigkeit: CISAs Plan zur Förderung der Sicherheit des technischen Ökosystems“ erinnerte an Ralph Naders Buch aus dem Jahr 1965, in dem er Detroits Praktiken anprangerte.

Er riet Entwicklern und Ingenieuren, sich daran zu erinnern, dass ihre Arbeit von Menschen ohne technischen Hintergrund oder Erfahrung genutzt wird, und sagte: „Wir möchten, dass sie darüber nachdenken, was tatsächlich in diesem Bereich passiert.“

Lord sagte, der sichere Ansatz sollte wie ein gut beleuchteter Weg sein und nicht etwas, das Benutzer alleine navigieren müssen. „Wir wollen, dass diese gut beleuchteten Wege allgegenwärtig sind“, sagte er. „Um das zu erreichen, brauchen wir Ihre Hilfe.“

Lord hat gesehen, was passieren kann, wenn eine Organisation zu viel der Aufmerksamkeit und dem Wohlwollen der Mitarbeiter überlässt, nachdem er CISO-Positionen beim Democratic National Committee und bei Yahoo absolviert hatte, nachdem beide Unternehmen massive Hacks erlitten hatten.

Die beiden stellten fest, dass die Regierung nicht nur mit Technologieanbietern spricht, sondern ihnen auch zuhört: Am Donnerstagmorgen hat eine Gruppe von Behörden – darunter CISA, die National Science Foundation (NSF) und die Defense Advanced Research Projects Agency (DARPA) –angekündigt A Informationsanfrage Ich suche einen Kommentar dazu, wie die Regierung die Einführung speichersicherer Sprachen fördern und die Sicherheit von Open-Source-Software verbessern kann.

Diese Ankündigung und dieser Black-Hat-Talk sind das Ergebnis monatelanger Bemühungen der Biden-Regierung, die Cybersicherheitslage des Landes zu stärken. Das Weiße Haus hat strengere Anforderungen an staatliche IT-Auftragnehmer gestellt, ein Cyber ​​Safety Review Board nach dem Vorbild des National Transportation Safety Board eingerichtet, um Fehler auf Systemebene wie die Log4j-Schwachstelle zu untersuchen, und ein freiwilliges Sicherheitslabel „Cyber ​​Trust Mark“ eingeführt Programm für Internet-of-Things-Geräte.

Am Mittwoch ergänzte die DARPA bei Black Hat diese Agenda mit der Ankündigung eines AI Cyber ​​Challenge-Wettbewerbs mit einem Preisgeld von fast 20 Millionen US-Dollar, um Möglichkeiten zu finden, KI-Tools zur Verbesserung der Sicherheit bestehender Software und Infrastruktur einzusetzen.