Más configurações reforçam importância de segurança por design, diz CISA

Nos últimos anos, as equipas de red team e blue team da CISA e da NSA analisaram e ajudaram as organizações a identificar como atores maliciosos ganharam acesso, se moveram lateralmente e atacaram sistemas ou informações sensíveis. Estas análises, dizem as agências norte-americanas, mostraram como os erros de configuração comuns – como credenciais predefinidas, permissões de serviços e configurações de software e aplicações – colocam os cidadãos em risco.

Um novo relatório conjunto das duas agências fornece um guia para reduzir estes erros de configuração. Ainda que as organizações devam tomar medidas para identificar e endereçar estes erros de configuração, um progresso escalável requer “ações urgentes por parte dos fabricantes de software, particularmente na adoção de práticas secure by design onde o software é desenhado em segurança desde a sua conceção até ao seu fim de vida”.

Assim, os fabricantes de software devem adotar “urgentemente” práticas para reduzir “a prevalência de erros de configuração comuns por design” e os próprios clientes “devem exigir a adoção destas práticas por todos os fabricantes”.

A CISA e a NSA indicam que os fabricantes de software devem adotar os seguintes princípios:

• Incorporar controlos de segurança na arquitetura do produto desde o início do desenvolvimento e durante todo o ciclo de vida de desenvolvimento de software (SDLC), demonstrando a adoção da Estrutura de Desenvolvimento de Software Seguro (SSDF) do NIST;
• Elimine palavras-passe predefinidas;
• Proteger produtos de modo que o comprometimento de um único controlo de segurança não resulte no comprometimento de todo o sistema;
• Fornecer logs de auditoria de alta qualidade aos clientes sem custos adicionais;
• Tomar medidas para eliminar classes inteiras de vulnerabilidades, como a utilização linguagens de codificação memory-safe e implementar queries parametrizadas;
• Fornecer detalhes suficientes nos registos de auditoria para detetar desvios de controlos do sistema e consultas para monitorizar os logs de auditoria na procura de vestígios de atividades suspeitas;
• Obrigar a utilização de autenticação multifator (MFA) para utilizadores com privilégios elevados e tornar a MFA num recurso padrão, em vez de opcional, para todos os utilizadores.