Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию

Google выделяет семь ключевых целей безопасности в новом документе «Безопасность через проектирование»

Рубрики: «Информационная безопасность», «Кибербезопасность»

Google выделяет семь ключевых целей безопасности в новом документе «Безопасность через проектирование»

Подход Secure by Design подразумевает собой разработку конструктивно безопасных киберсистем, в которых меры безопасности интегрированы в архитектуру и программный код. В статье «Обзор обязательств Google по обеспечению безопасности через проектирование» описывается, как Google продолжает достигать семи целей в рамках своего обещания по безопасности. Это обещание, принятое Google и другими компаниями, представляет собой ряд добровольных обязательств по достижению конкретных целей безопасности.

  1. Первая цель — внедрение многофакторной аутентификации — направлена ​​на повышение безопасности пользователей за счет требования прохождения нескольких этапов проверки при входе в систему. Google уже давно является лидером в этой области, запустив еще в 2010 году Google Authenticator и двухфакторную проверку подлинности для Google Workspace. С тех пор компания расширила свои предложения в области многофакторной аутентификации благодаря таким инициативам, как программа расширенной защиты и сотрудничество с альянсом FIDO. Кульминацией всего этого стало внедрение «password keys» - метода аутентификации без пароля, который использовался более миллиарда раз и является более простой и безопасной альтернативой традиционным паролям.
  2. Вторая цель - устранение паролей по умолчанию - направлена на устранение угроз безопасности, путем рассмотрения их как уязвимостей. Google реализовала эту концепцию во всех своих продуктах, например, требуя от пользователей входить в систему с помощью своих учетных записей Google. Этот подход также был применен к таким устройствам, как Nest и Pixel, а также к таким сервисам, как Workspace и Google Cloud, чтобы обеспечить более высокий уровень безопасности без использования предварительно настроенных паролей.
  3. Третья цель - сокращение целых классов уязвимости. Компания Google внедрила платформу безопасного программирования и безопасную среду разработки для масштабного решения проблем. Совершенствуя свои методы, Google устранила такие угрозы, как межсайтовый скриптинг, внедрение SQL-запросов, проблемы с безопасностью памяти и небезопасная криптография, обеспечив более надежную защиту программного обеспечения во всех своих продуктах.
  4. Четвертая цель – исправления безопасности (патчи). Google сосредоточилась на том, чтобы сделать обновления программного обеспечения простыми и незаметным для пользователей. Уделяя приоритетное внимание исправлениям для быстрого развертывания, Google снижает риск взлома, например, в ChromeOS, благодаря автоматическим обновлениям и нескольким уровням защиты, которые помогают обезопасить операционную систему от программ-вымогателей и вирусов.
  5. Пятая цель - раскрытие уязвимостей, подчеркивает сотрудничество в отрасли для выявления проблем безопасности и информированию о них. Google уже давно выступает за прозрачность и активно запрашивает внешние отчеты в рамках своей программы поощрения за раскрытие уязвимостей. Компания распределила вознаграждения на сумму около 59 миллионов долларов по 18’500 инстанциям, способствуя повышению безопасности своих продуктов.
  6. Следующая цель - устранение распространенных уязвимостей и рисков - направлена на применение критических исправлений. Google уделяет приоритетное внимание выпуску базы данных общеизвестных уязвимостей (CVE) для продуктов, требующих обновлений, и предоставляет подробные бюллетени по безопасности для Android, Chrome, ChromeOS и Google Cloud, а также рекомендации пользователям по устранению уязвимостей и снижению рисков.
  7. Последняя цель - предоставление доказательств о вторжениях - позволяет пользователям получать информацию об инцидентах безопасности. Google достигает этого с помощью персонализированных оповещений о безопасности для аккаунтов Google и таких инструментов, как проверка безопасности. Журналы аудита в Google Cloud обеспечивают наглядность действий, а администраторы Workspace могут просматривать действия пользователей с помощью инструментов аудита, помогая предприятиям эффективно выявлять потенциальные вторжения.

Google планирует, что данный доклад станет первым из серии аналитических отчетов, которые компания опубликует в ближайшие месяцы.

Источник: