Google выделяет семь ключевых целей безопасности в новом документе «Безопасность через проектирование»
23.10.2024
Подход Secure by Design подразумевает собой разработку конструктивно безопасных киберсистем, в которых меры безопасности интегрированы в архитектуру и программный код. В статье «Обзор обязательств Google по обеспечению безопасности через проектирование» описывается, как Google продолжает достигать семи целей в рамках своего обещания по безопасности. Это обещание, принятое Google и другими компаниями, представляет собой ряд добровольных обязательств по достижению конкретных целей безопасности.
- Первая цель — внедрение многофакторной аутентификации — направлена на повышение безопасности пользователей за счет требования прохождения нескольких этапов проверки при входе в систему. Google уже давно является лидером в этой области, запустив еще в 2010 году Google Authenticator и двухфакторную проверку подлинности для Google Workspace. С тех пор компания расширила свои предложения в области многофакторной аутентификации благодаря таким инициативам, как программа расширенной защиты и сотрудничество с альянсом FIDO. Кульминацией всего этого стало внедрение «password keys» - метода аутентификации без пароля, который использовался более миллиарда раз и является более простой и безопасной альтернативой традиционным паролям.
- Вторая цель - устранение паролей по умолчанию - направлена на устранение угроз безопасности, путем рассмотрения их как уязвимостей. Google реализовала эту концепцию во всех своих продуктах, например, требуя от пользователей входить в систему с помощью своих учетных записей Google. Этот подход также был применен к таким устройствам, как Nest и Pixel, а также к таким сервисам, как Workspace и Google Cloud, чтобы обеспечить более высокий уровень безопасности без использования предварительно настроенных паролей.
- Третья цель - сокращение целых классов уязвимости. Компания Google внедрила платформу безопасного программирования и безопасную среду разработки для масштабного решения проблем. Совершенствуя свои методы, Google устранила такие угрозы, как межсайтовый скриптинг, внедрение SQL-запросов, проблемы с безопасностью памяти и небезопасная криптография, обеспечив более надежную защиту программного обеспечения во всех своих продуктах.
- Четвертая цель – исправления безопасности (патчи). Google сосредоточилась на том, чтобы сделать обновления программного обеспечения простыми и незаметным для пользователей. Уделяя приоритетное внимание исправлениям для быстрого развертывания, Google снижает риск взлома, например, в ChromeOS, благодаря автоматическим обновлениям и нескольким уровням защиты, которые помогают обезопасить операционную систему от программ-вымогателей и вирусов.
- Пятая цель - раскрытие уязвимостей, подчеркивает сотрудничество в отрасли для выявления проблем безопасности и информированию о них. Google уже давно выступает за прозрачность и активно запрашивает внешние отчеты в рамках своей программы поощрения за раскрытие уязвимостей. Компания распределила вознаграждения на сумму около 59 миллионов долларов по 18’500 инстанциям, способствуя повышению безопасности своих продуктов.
- Следующая цель - устранение распространенных уязвимостей и рисков - направлена на применение критических исправлений. Google уделяет приоритетное внимание выпуску базы данных общеизвестных уязвимостей (CVE) для продуктов, требующих обновлений, и предоставляет подробные бюллетени по безопасности для Android, Chrome, ChromeOS и Google Cloud, а также рекомендации пользователям по устранению уязвимостей и снижению рисков.
- Последняя цель - предоставление доказательств о вторжениях - позволяет пользователям получать информацию об инцидентах безопасности. Google достигает этого с помощью персонализированных оповещений о безопасности для аккаунтов Google и таких инструментов, как проверка безопасности. Журналы аудита в Google Cloud обеспечивают наглядность действий, а администраторы Workspace могут просматривать действия пользователей с помощью инструментов аудита, помогая предприятиям эффективно выявлять потенциальные вторжения.
Google планирует, что данный доклад станет первым из серии аналитических отчетов, которые компания опубликует в ближайшие месяцы.