18 råd for sikker utvikling: «Hold alle miljøer adskilt!»

Amerikanske myndigheter har publisert 11 sikkerhetsmål for hvordan programvareutvikling og produktdesign bør foregå for sikker programvare.

CISA har kommet med sine råd om hva bedrifter bør tenke på for at programvaren de lager skal være sikker. 📸: <a href="https://unsplash.com/@wocintechchat?utm_content=creditCopyText&amp;utm_medium=referral&amp;utm_source=unsplash">Christina @ wocintechchat.com</a>/<a href="https://unsplash.com/photos/woman-wearing-red-and-black-checkered-blouse-using-flat-screen-computer-RMweULmCYxM?utm_content=creditCopyText&amp;utm_medium=referral&amp;utm_source=unsplash">Unsplash</a>
CISA har kommet med sine råd om hva bedrifter bør tenke på for at programvaren de lager skal være sikker. 📸: Christina @ wocintechchat.com/Unsplash Vis mer

Amerikanske Cybersecurity & Infrastructure Security Agency (CISA) har publisert en liste med "beste praksis" for hva selskaper kan gjøre for å beskytte seg mot cybertrusler: Information Technology (IT) Sector-Specific Goals (SSGs). Det skriver InfoWorld.

Rapporten er basert på data CISA har samlet inn og undersøkelser de har gjort om dagens trusselbilde.

I rapporten er det 11 konkrete mål for programvareutvikling og 7 mål for produktdesign. Målene som listes opp er laget i samarbeid med blant annet myndigheter, bransje og ulike grupper i privat sektor.

Unngå uautorisert tilgang

Det første og viktigste rådet innenfor programvareutvikling, er å separere ulike miljøer – inkludert utviklings-, bygge-, test- og distribusjonsmiljøer.

Disse bør ifølge CISA være adskilt for å forhindre uautorisert tilgang til sensitive data og systemer.

Innenfor produktdesign er råd nummer én å øke bruken av flerfaktor-autentisering (MFA) for å redusere risikoen for at passord kommer på avveie, eller uautorisert tilgang på grunn av svake passord.

11 råd for programvareutvikling

Dette er rådene som gjelder for prosessen med å utvikle programvare:

  1. Hold alle miljøer som brukes i programvareutvikling adskilt
  2. Loggfør, overvåk og gjennomgå regelmessig tillitsforhold brukt til autorisasjon og tilgang på tvers av programvareutviklingsmiljøer.

  3. Sørg for at multifaktorautentisering (MFA) er implementert i alle programvareutviklingsmiljøer.

  4. Etabler og håndhev sikkerhetskrav for programvareprodukter som brukes i programvareutviklingsmiljøer.

  5. Lagre og overfør credentials (som brukernavn/passord) som brukes i programvareutviklingsmiljøer på en sikker måte.

  6. Implementer effektive løsninger for perimeterovervåking og overvåking av interne nettverk, med strømlinjeformede sanntidsvarsler slik at du kan respondere på mistenkte og bekreftede cyberhendelser.

  7. Etabler et risikostyringsprogram for programvareforsyningskjeden.

  8. Gjør en liste over programvarekomponenter (SBOM) tilgjengelig for kunder.

  9. Inspiser kildekode for sårbarheter ved hjelp av automatiserte verktøy eller tilsvarende prosesser, og utbedre kjente sårbarheter før utgivelse av produkter, versjoner eller oppdateringer.

  10. Fiks identifiserte sårbarheter før produktutgivelse.

  11. Publiser en policy for hvordan oppdagede sårbarheter kan meldes inn.

7 råd for produktdesign

CISA har en egen liste med råd for hvordan programvare bør designes for å ivareta god sikkerhet og redusere risikoen for angrep:

  1. Øk bruken av multifaktorautentisering (MFA).
  2. Reduser bruken av standardpassord.
  3. Reduser hele kategorier av sårbarheter. Her går det blant annet på ting du kan gjøre for å redusere muligheter for SQL-injection-sårbarheter, sikkerhetshull relatert til minnesikkerhet, XSS, og så videre.
  4. Lever sikkerhetsoppdateringer til kunder tidsnok.
  5. Sørg for at kundene forstår når produktene nærmer seg slutten av sin livssyklus, og når sikkerhetsoppdateringer ikke lenger vil bli levert.
  6. Inkluder felt for Common Weakness Enumeration (CWE) og Common Platform Enumeration (CPE) i alle Common Vulnerabilities and Exposures (CVE)-poster for organisasjonens produkter.
  7. Øk kunders evne til å samle bevis på cybersikkerhetsinntrengninger som påvirker organisasjonens produkter.

Du kan lese mer om de ulike rådene og anbefalinger for hvordan du går frem her.