Google предпринимает шаги по предотвращению уязвимостей в сфере кибербезопасности в государственном секторе

Google предпринимает шаги по предотвращению уязвимостей в сфере кибербезопасности в государственном секторе

25 апреля 2023 г.
Компания Google недавно предприняла меры по защите государственных, местных, племенных и территориальных органов власти от кибератак.

На этой неделе Google и The Center for Internet Security, Inc. запустили Google Cloud Alliance с целью продвижения цифровой безопасности в государственном секторе.

Центр интернет-безопасности, основанный в 2000 году для борьбы с растущими киберугрозами и создания набора протоколов и стандартов кибербезопасности, таких как критические средства контроля безопасности СНГ и контрольные показатели СНГ, помогает правительствам штатов и местным органам власти в борьбе с киберугрозами.

Google Cloud заявила, что привлечет членов и услуги из своей группы действий по кибербезопасности Google, в том числе информацию из отчетов Threat Horizons и подразделения веб-аналитики Mandiant, чтобы оценить «защиту более широкой технологической экосистемы, особенно в том, что касается состояния облака и общей кибербезопасности». практики», — говорится в совместном заявлении.

Как сообщает TechRepublic, в этом месяце Google также бесплатно выпустила свою услугу Assured Open Source Software (Assured OSS) для экосистем Java и Python. Этот шаг был предпринят после растущей тенденции политически мотивированных атак типа «отказ в обслуживании».

Гигант поисковых систем отреагировал выпуском своего Project Shield, распространяющего защиту от DDoS-атак на правительственные сайты, новости и независимых журналистов, а также на сайты, связанные с голосованием и правами человека.

Перейти к:

    Обеспечение государственного, местного, племенного, территориального управления Защита этичных хакеров Рассмотрение предложений об обязательном выпуске уязвимостей

Обеспечение государственных, местных, племенных, территориальных правительственных организаций

Google Cloud, которая недавно создала Google Public Sector для поддержки федеральных, государственных и местных органов власти и образовательных учреждений, объявила в августе 2021 года о выделении 10 миллиардов долларов на обеспечение безопасности государственного сектора в течение пяти лет.

Центр интернет-безопасности управляет центрами обмена и анализа информации о межгосударственной и избирательной инфраструктуре, которые поддерживают быстро меняющиеся потребности в кибербезопасности государственных, местных, племенных и территориальных правительственных организаций, включая критически важные подсекторы инфраструктуры, такие как школы K-12 и избирательные участки.

«Это партнерство между CIS и Google особенно интересно, потому что оно объединяет две основные точки зрения на кибербезопасность и применяет их к узкому и исторически недостаточно обслуживаемому сообществу государственных, местных, племенных и территориальных организаций США», — сказала Джина Чапман. , исполнительный вице-президент по продажам и бизнес-услугам в СНГ, говорится в заявлении. «Потребности государственного сектора в кибербезопасности требуют лучших в своем классе экономичных решений, которые включают внедрение и оперативную поддержку, и мы с нетерпением ждем возможности совместной работы для поддержки этого сообщества».

Защита этичных хакеров, защита от уязвимостей

Google также является одним из основателей отдельного набора инициатив, запущенных в начале этого месяца под эгидой Центра политики и права в области кибербезопасности:

    Совет по хакерской политике, подразделение Центра политики и права в области кибербезопасности (CCPL), которое будет противостоять законодательству, направленному на ограничение этических хакерских действий, таких как проверка на проникновение, и требует преждевременного раскрытия уязвимостей государственным органам или общественности. Фонд правовой защиты исследований в области безопасности поможет финансировать юридическое представительство лиц, столкнувшихся с юридическими проблемами из-за добросовестного исследования безопасности и раскрытия уязвимостей в делах, которые будут способствовать кибербезопасности в общественных интересах.

Харли Гейгер, советник Venable LLP, сказал, что обе организации рассмотрят раздел 1201 Закона об авторском праве в цифровую эпоху.

«Чтобы поддерживать высокий уровень, в Разделе 1201 есть ограничение на предоставление инструментов, которые могут обойти меры технической защиты программного обеспечения», — пояснил он. «По сути, если вы предоставляете инструменты для обхода мер безопасности программного обеспечения, на это есть устаревшее ограничение, и оно применяется довольно широко, но не часто применяется».

Гейгер сказал, что реформа необходима, потому что те самые инструменты, которые пен-тестеры используют для поиска уязвимостей в программном обеспечении, по необходимости предназначены для обхода мер защиты программного обеспечения.

«Это всего лишь один аспект политики, который должен быть реформирован и который влияет на тестирование пера», — сказал он.

Рассмотрение предложений об обязательном выпуске уязвимостей

Другие включают требования, связанные с выявлением уязвимостей, которые, по его словам, представляют высокий риск для компаний, потому что в эпоху нулевого доверия делиться уязвимостями с государственными органами функционально то же самое, что делиться ими с дикой природой.

SEE: уязвимости в API вызывают все большую обеспокоенность (TechRepublic)

«Уязвимости обнаруживаются постоянно, поэтому, конечно, вы хотите свести к минимуму поверхность атаки, — сказал он, — но трудно представить себе остановку производственного процесса каждый раз, когда обнаруживается новая уязвимость».

Что, как он объяснил, было бы необходимо, если бы уязвимости были раскрыты раньше. Конкретным примером является предложенный Европейским союзом Закон о киберустойчивости.

«Если или когда он будет принят, ЕС окажет такое же влияние на кибербезопасность, как GDPR на конфиденциальность», — сказал он. «В том виде, в каком он составлен в настоящее время, любой производитель программного обеспечения должен будет сообщить об уязвимости правительственному агентству ЕС в течение 24 часов после определения того, что уязвимость была использована без разрешения. Проблема в том, что в течение 24 часов уязвимость вряд ли будет исправлена ​​или устранена. То, что у вас может быть, — это скользящий список программных пакетов с полностью устраненными уязвимостями, которые могут быть переданы потенциально десяткам правительственных учреждений ЕС», — добавил Гейгер.

Другими словами, пояснил он, NISA поделится ею с группами обеспечения компьютерной безопасности вовлеченных государств-членов, а также с органами надзора.

«Если это программное обеспечение для всего ЕС, вы рассматриваете более 50 государственных учреждений, которые потенциально могут быть вовлечены. Количество поступающих отчетов может быть огромным. Это опасно и создает риск того, что эта информация будет раскрыта противникам или использована в разведывательных целях», — сказал он.

Согласно CCPL, Совет по политике взлома будет:

    Создайте более благоприятную правовую среду для раскрытия информации об уязвимостях и управления ими, вознаграждения за обнаружение ошибок, независимого ремонта системы безопасности, добросовестного исследования безопасности и тестирования на проникновение. Развивайте сотрудничество между специалистами по безопасности, бизнесом и политиками. Предотвратите новые юридические ограничения на исследования в области безопасности, ручное тестирование или раскрытие информации об уязвимостях и управление ими. Повышайте устойчивость организаций за счет эффективного внедрения политик раскрытия уязвимостей и привлечения исследователей безопасности.

Другими членами-основателями совета являются Bugcrowd, HackerOne, Intel, Intigriti и LutaSecurity.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE