Создание устойчивого ПО: Снижение рисков LOTL

Минимизация ‎векторов‏ ‎атаки

Производителям ‎ПО ‎настоятельно ‎рекомендуется ‎минимизировать‏ ‎возможности ‎атаки‏ ‎путём‏ ‎выполнения ‎различных ‎действий:‏ ‎отключение ‎ненужных‏ ‎протоколов ‎по ‎умолчанию, ‎ограничение‏ ‎количества‏ ‎процессов ‎и‏ ‎программ, ‎запущенных‏ ‎с ‎повышенными ‎привилегиями, ‎и ‎принятие‏ ‎упреждающих‏ ‎мер ‎по‏ ‎ограничению ‎возможностей‏ ‎участников ‎использовать ‎нативные ‎функциональные ‎возможности‏ ‎для‏ ‎вторжений.

Внедрение‏ ‎системы ‎безопасности‏ ‎в ‎SDLC

Безопасность‏ ‎должна ‎быть‏ ‎встроена‏ ‎в ‎архитектуру‏ ‎продукта ‎на ‎протяжении ‎всего ‎жизненного‏ ‎цикла ‎разработки‏ ‎программного‏ ‎обеспечения ‎(SDLC). ‎Такая‏ ‎упреждающая ‎интеграция‏ ‎гарантирует, ‎что ‎соображения ‎безопасности‏ ‎станут‏ ‎не ‎второстепенной‏ ‎задачей, ‎а‏ ‎фундаментальным ‎компонентом ‎продукта ‎от ‎начала‏ ‎разработки‏ ‎до ‎развертывания.

Обязательная‏ ‎многофакторная ‎аутентификация‏ ‎(MFA)

Производителям ‎следует ‎установить ‎MFA, ‎в‏ ‎идеале‏ ‎защищенный‏ ‎от ‎фишинга,‏ ‎для ‎привилегированных‏ ‎пользователей ‎и‏ ‎сделать‏ ‎его ‎функцией‏ ‎по ‎умолчанию, ‎а ‎не ‎необязательной.‏ ‎Этот ‎шаг‏ ‎значительно‏ ‎повышает ‎безопасность ‎учётных‏ ‎записей ‎пользователей,‏ ‎особенно ‎тех, ‎которые ‎имеют‏ ‎повышенный‏ ‎доступ.

Уменьшение ‎hardening-действий

Объём‏ ‎действий, ‎прилагаемых‏ ‎к ‎объектам ‎защиты, ‎следует ‎отслеживать‏ ‎и‏ ‎уменьшать. ‎По‏ ‎мере ‎выпуска‏ ‎новых ‎версий ‎программного ‎обеспечения ‎целью‏ ‎должно‏ ‎быть‏ ‎уменьшение ‎размера‏ ‎этих ‎руководств‏ ‎с ‎течением‏ ‎времени‏ ‎путем ‎интеграции‏ ‎их ‎компонентов ‎в ‎качестве ‎конфигурации‏ ‎продукта ‎по‏ ‎умолчанию.

Учёт‏ ‎пользовательского ‎опыта

Необходимо ‎учитывать‏ ‎влияние ‎настроек‏ ‎безопасности ‎на ‎работу ‎пользователя.‏ ‎В‏ ‎идеале ‎наиболее‏ ‎безопасная ‎настройка‏ ‎должна ‎быть ‎интегрирована ‎в ‎продукт‏ ‎по‏ ‎умолчанию, ‎а‏ ‎при ‎необходимости‏ ‎настройки ‎опция ‎должна ‎быть ‎защищена‏ ‎от‏ ‎распространённых‏ ‎угроз. ‎Такой‏ ‎подход ‎снижает‏ ‎когнитивную ‎нагрузку‏ ‎на‏ ‎конечных ‎пользователей‏ ‎и ‎обеспечивает ‎широкую ‎защиту.

Удаление ‎паролей‏ ‎по ‎умолчанию

Пароли‏ ‎по‏ ‎умолчанию ‎следует ‎полностью‏ ‎исключить, ‎или‏ ‎сформировать, ‎или ‎установить ‎при‏ ‎первой‏ ‎установке, ‎а‏ ‎затем ‎периодически‏ ‎менять. ‎Такая ‎практика ‎предотвращает ‎использование‏ ‎паролей‏ ‎по ‎умолчанию‏ ‎в ‎качестве‏ ‎удобной ‎точки ‎входа ‎для ‎злоумышленников.

Ограничение‏ ‎динамического‏ ‎выполнения‏ ‎кода

Динамическое ‎выполнение‏ ‎кода, ‎хотя‏ ‎и ‎обеспечивает‏ ‎универсальность,‏ ‎представляет ‎собой‏ ‎уязвимое ‎место ‎для ‎атаки. ‎Производителям‏ ‎следует ‎ограничить‏ ‎или‏ ‎удалить ‎возможность ‎динамического‏ ‎выполнения ‎кода‏ ‎из-за ‎высокого ‎риска ‎и‏ ‎сложности‏ ‎обнаружения ‎связанных‏ ‎с ‎ним‏ ‎индикаторов ‎компрометации ‎(IoC).

Удаление ‎фиксированных ‎учётных‏ ‎данных

Приложения‏ ‎и ‎скрипты,‏ ‎содержащие ‎информацию‏ ‎об ‎учётных ‎данных ‎в ‎виде‏ ‎открытого‏ ‎текста‏ ‎(hardcode), ‎представляют‏ ‎значительный ‎риск‏ ‎для ‎безопасности.‏ ‎Удаление‏ ‎таких ‎учётных‏ ‎данных ‎важно ‎для ‎предотвращения ‎использования‏ ‎их ‎злоумышленниками‏ ‎для‏ ‎доступа ‎к ‎ресурсам‏ ‎и ‎расширения‏ ‎своего ‎присутствия ‎в ‎сети.