Во взаимосвязанном мире, сталкивающемся с растущими кибератаками, обеспечение устойчивости технологических систем имеет решающее значение для обеспечения безопасности людей. Уже более 20 лет Google является пионером подхода Secure by Design, что означает, что мы интегрируем безопасность на каждом этапе жизненного цикла разработки программного обеспечения, а не только в начале или в конце.

Ранее в этом году мы присоединились к Соединенным Штатам Агентство кибербезопасности и безопасности инфраструктуры (CISA)и теперь более 200 наших коллег по отрасли, чтобы подписать Приверженность безопасности по замыслу — добровольное обязательство по достижению конкретных целей безопасности. Сегодня мы публикуем наш официальный документ»Обзор приверженности Google обеспечению безопасности по своей сути», что объясняет, как мы продолжали достигать семи целей обязательства. В этой статье представлены основные моменты из документа в надежде предоставить отрасли полезное руководство о том, как начать работу с Secure by Design или внести коррективы для лучшей реализации.

Подход Google к достижению семи целей Secure by Design

1. Многофакторная аутентификация (MFA): Американцы проиграли 12,5 миллиардов долларов от фишинга и мошенничества в 2023 году, что делает необходимость в таких средствах защиты, как MFA, критической. Опыт Google с MFA начался в 2010 году, когда мы запустили Google Аутентификатор И Двухэтапная аутентификация (2SV) для Google Workspace. С тех пор мы добились постоянного прогресса благодаря нашей работе с Альянс ФИДОПрограмма дополнительной защиты (APP), ключи безопасности и автоматическая регистрация людей в 2SV. Совсем недавно мы участвовали в кампании по входу в систему без пароля с использованием паролей (более безопасная и простая альтернатива паролям), которые использовались для аутентификации пользователей более миллиарда раз.
2. Пароли по умолчанию: Пароли по умолчанию в программном и аппаратном обеспечении легко найти злоумышленникам, а это означает, что они могут привести к широко распространенному несанкционированному доступу. Вот почему мы рассматриваем обнаруженные пароли по умолчанию как сами по себе уязвимости и реализуем меры для снижения этого риска во всех наших продуктах. Мы используем систему, которая связывает наши продукты с вашей учетной записью Google, поэтому устройства не полагаются на предварительно настроенные пароли. Поэтому, чтобы настроить такие продукты, как новое устройство умного дома Nest или телефон Google Pixel, вам необходимо войти в свою учетную запись Google. Это похоже на то, как настраиваются и получают доступ к нашим программным сервисам. Например, такие службы, как Workspace и Google Cloud, управляются администраторами организации, и процесс установки не требует паролей по умолчанию.
3. Уменьшите целые классы уязвимостей: Наш подход к созданию безопасного программного обеспечения начинается с нашей безопасной среды кодирования и безопасной среды разработки, которые помогают нам устранять целые классы уязвимостей. Google имеет долгую историю устранения крупномасштабных уязвимостей, включая межсайтовый скриптинг (XSS), SQL-инъекцию (SQLi), проблемы безопасности памяти и небезопасное использование криптографии. Мы достигли этого, развивая наши методы и используя такие подходы, как Безопасное кодирование.
4. Исправления безопасности: Поставщики должны стремиться снизить нагрузку на конечных пользователей, максимально упрощая установку обновлений программного обеспечения. Google отдает приоритет этому подходу и концентрируется на внедрении наших исправлений, уделяя особое внимание быстрому развертыванию, чтобы снизить вероятность того, что злоумышленник воспользуется недостатками. ChromeOS является отличным примером, поскольку он использует несколько уровней защиты в сочетании с автоматическими и бесперебойными функциями. обновления чтобы защитить его от программ-вымогателей и вирусов.
5. Раскрытие информации об уязвимостях: Сотрудничество в отрасли имеет важное значение для обнаружения и сообщения об ошибках и уязвимостях. Google уже давно является сторонником прозрачности, а это означает, что мы принимаем активные меры для обнаружения проблем и ценим помощь индустрии безопасности в предоставлении внешних отчетов. НАШ Политика раскрытия уязвимостей И Программы вознаграждения за уязвимости (VRP) связал нас с исследователями безопасности, которые помогли нам защитить наши продукты. С момента запуска VRP мы распределили 18 500 вознаграждений на общую сумму около 59 миллионов долларов США.
6. Распространенные уязвимости и риски (CVE): CVE призваны помочь идентифицировать исправления, которые не были применены клиентом или пользователем. Google отдает приоритет выпуску CVE для продуктов, требующих обновления. Мы также предоставляем бюллетени по безопасности для потребителей и бизнеса по различным продуктам, в том числе Андроид, Браузер Chrome, ChromeOS И Google Облакоподробное описание уязвимостей и рекомендации по мерам их смягчения.
7. Доказательства вторжения: Как и в случае с вопросами физической безопасности, люди заслуживают того, чтобы их информировали о возможных вторжениях без перегрузки ненужной информацией. Мы делаем это посредством предупреждений о безопасности вашей учетной записи Google и предоставления нашей Проверка безопасности за персональные рекомендации и Оповещения безопасности. Для облака мы используем журналы аудита для записи и обеспечения видимости действий в ресурсах Google Cloud клиентов. Облачная регистрация помогает клиентам централизовать и хранить журналы, начиная с 30 дней, с возможностью продления. В Workspace администраторы домена могут использовать инструмент аудита и расследования И API отчетов для просмотра действий пользователей и администраторов в таких продуктах, как Gmail, Диск, Документы и Чат. Компании могут воспользоваться преимуществами функций Android Enterprise, такими как Журналы аудита безопасности И журналы сетевых событий, ищите доказательства вторжений.

Мы потратили годы на внедрение Secure by Design в Google, но наша работа еще не завершена, и мы с нетерпением ждем возможности поделиться другими способами выполнения обязательств CISA. Сегодня официальный документ будет первой в серии информации, которую мы опубликуем в ближайшие месяцы. Защита нашей цифровой экосистемы — это командный вид спорта, поэтому мы также призываем отраслевых партнеров, политиков и экспертов по безопасности присоединиться к этой важной работе. Вы можете узнать больше о том, как наша продукция производится безопасно с самого начала, на странице Безопаснее с Google.