HackerOne, поставщик платформы для поиска ошибок, предложила план повышения ответственности корпоративной безопасности и призвала к переходу от секретности к прозрачности при работе с уязвимостями в отчете, опубликованном в четверг.
В отчете отмечается, что организации все чаще тщательно изучают методы своих поставщиков, основывая решения о закупках на учетных данных безопасности и переключая поставщиков, если компания столкнулась с инцидентом безопасности. Демонстрация лучших практик безопасности теперь является конкурентным преимуществом.
Чтобы продемонстрировать, что компания придерживается лучших практик, в отчете рекомендуется взять на себя ответственность за четыре аспекта корпоративной безопасности: прозрачность, сотрудничество, инновации и дифференциация.
Недоверие между организациями и сторонними исследователями
Согласно данным опроса, собранным для отчета 800 руководителями службы безопасности, 64% поддерживают культуру безопасности через неизвестность. В отчете поясняется, что отказ признать недостатки и обратиться за помощью в их устранении может нанести значительный ущерб бренду в случае использования «секретной» уязвимости.
Для обеспечения большей прозрачности в отчете рекомендуется создать культуру открытости, избегать возложения вины при возникновении инцидентов, предоставлять сторонним исследователям четкий процесс сообщения об уязвимостях и использовать открытый подход к заинтересованным сторонам в случае нарушения.
Отчет также выявил большое недоверие между организациями и сторонними исследователями. 67% заявили, что скорее примут уязвимости в программном обеспечении, чем будут работать с хакерами, а 50% хакеров признались, что не сообщали об ошибках из-за предыдущего негативного опыта или отсутствия канала, по которому можно было бы сообщить об этом.
В отчете говорится, что отсутствие доверия делает каждого потенциальным кибер-врагом. Чтобы избежать этого и способствовать сотрудничеству, HackerOne рекомендовала поощрять третьи стороны сообщать об уязвимостях, организовывать регулярные брифинги по безопасности с руководством компании и переводить риски безопасности в риски для бизнеса.
Передовой опыт поставщиков в области кибербезопасности так же важен, как и стоимость
Распространенной критикой безопасности является то, что она замедляет инновации, увеличивая время, необходимое командам разработчиков для создания программного обеспечения. Так не должно быть, говорится в отчете. Раннее тестирование и непрерывное тестирование на протяжении всего жизненного цикла разработки — это способы избежать проблем с безопасностью. «Команды безопасности должны способствовать развитию, а не блокировать его», — говорится в отчете.
Чтобы уменьшить трения между командами безопасности и разработчиками, в отчете рекомендуется привлекать группы разработчиков к процессу безопасности, поощрять разработчиков за устранение проблем с безопасностью и проводить сеансы повышения осведомленности о кибербезопасности во всей организации.
Согласно отчету, хорошая киберпрактика может быть основным отличием компании и важным фактором при выборе поставщиков. 63% организаций заявили исследователям HackerOne, что передовой опыт в области кибербезопасности так же важен, как и стоимость, когда они выбирают поставщика, а 62% заявили, что перенесут свой бизнес в другое место, если поставщик подвергнется утечке данных. 53% организаций признали, что потеряли клиентов в результате утечки данных.
В отчете рекомендуется проводить надежные проверки безопасности поставщиков, включая подтверждение соблюдения законов о конфиденциальности, сторонний аудит системы безопасности, текущие пентесты, многофакторную аутентификацию, политику раскрытия уязвимостей и единый вход. . Также рекомендуется следовать рекомендациям Google по минимально жизнеспособным безопасным продуктам.
“[T]«У нас нет надежного способа подтвердить свои учетные данные безопасности или узнать, может ли один из ваших поставщиков стать следующей жертвой утечки данных», — отмечается в отчете. «Однако поощрять вашу организацию и вашу цепочку поставок соблюдать принципы корпоративной безопасности Ответственность повысит доверие к бренду и выделит вашу организацию как организацию, демонстрирующую активную приверженность безопасности».
© 2022 IDG Communications, Inc.
https://cyberxhack.org/