从忽视安全到设计安全，美国大型软件厂商大幅改进产品安全

前情回顾·美大型软件厂商威胁态势

• 主张“利润高于安全”的微软产品又被黑！美国前网络高官再谈软件安全监管

• Okta被黑溯源：系统设计曝重大漏洞，机器账号未做安全防护

• 抓紧修复！2022年最常被利用漏洞清单，Fortinet五年老漏洞位列第一

• 亚马逊云曝出“超级漏洞”，攻击者可删除任何镜像

安全内参12月4日消息，美国网络安全和基础设施安全局（CISA）发起的安全设计承诺倡议已推进6个多月，参与该倡议的公司表示，自加入以来，他们在网络安全领域取得了显著进展。

该倡议设定了七个主要目标：推广多因素认证（MFA）、消除默认密码、解决某些类别的漏洞、增加客户安装安全补丁的频率、发布漏洞披露政策、为漏洞报告提供更多数据、向客户提供更多关于入侵的信息。

多家参与倡议的公司向外媒The Record详细介绍，他们为实现这些目标所采取的措施，包括要求更多用户启用多因素认证、帮助客户放弃不再具备自动更新功能的旧产品、扩展客户可获取的活动日志记录量等。

CISA认为参与倡议的公司们已认真推进了该倡议。CISA高级技术顾问Jack Cable表述：“我们已经看到了这一倡议对互联网生态系统的显著影响，甚至超出了我们的预期。”

以下详细说明了五家加入倡议的大型公司如何实施并超越了倡议要求。

亚马逊网络服务（AWS）

作为全球领先的云计算平台，AWS为无数大型网站提供支持。自签署承诺书以来，AWS在多因素认证领域取得了重要进展。

今年7月，AWS开始要求管理员账户必须通过多因素认证登录。此外，AWS还增加了对FIDO2密码钥匙的支持，这是一种能有效抵御网络钓鱼攻击的硬件安全令牌。

AWS首席信息安全官Chris Betz透露：“自2024年4月以来，已有近70万AWS客户首次启用了多因素认证。”

Betz表示：“在签署承诺书之前，我们已经积极地遵守了这些安全要求，并将继续在这些领域以及其他方面持续投入。”

微软

作为全球最受欢迎的操作系统提供商，微软一直因其网络安全问题备受关注。作为“安全未来倡议”的一部分，微软不仅接受了该承诺倡议，还在某些领域做得更多。

今年6月底，微软开始披露其云服务中的关键漏洞CVE，尽管客户无需采取行动，因为微软会自动修复这些问题。同时，自今年1月起，微软就已为非云端漏洞提供了CWE数据，符合承诺倡议的要求。

10月中旬，微软开始要求其Azure、Entra和Intune云服务用户通过多因素认证登录，进一步实现了承诺目标。

微软还通过标准化身份技术减少了用户认证错误，进一步消除了一类安全漏洞。尽管倡议侧重于客户自行安装补丁，微软则承诺将云漏洞的修复时间缩短50%。

在改进客户获取入侵证据方面，微软副总裁兼首席网络安全顾问Bret Arsenault表示，公司已经完成了去年10月做出的承诺，为客户提供了更多日志数据。微软因此提高了客户收费，曾招致美国国会批评。

Fortinet

销售入侵检测系统等网络防御产品的Fortinet，在签署承诺书之前已经完成了多项目标。例如，Fortinet已经消除了默认密码、在通用漏洞披露（CVE）报告中加入了通用弱点枚举（CWE）数据，并发布了漏洞披露政策。

签署承诺书后，Fortinet在其入门级设备上启用了自动更新功能。首席信息安全官Carl Windsor表示，这一举措“显著提升了客户安装安全补丁的比例”。

此外，Fortinet还要求其云服务用户通过多因素认证登录，并帮助老旧或停止服务的产品用户迁移至仍接收更新的设备。与此同时，Fortinet鼓励客户使用其基于云的防火墙和入侵检测产品，由公司负责更新和维护。

Okta

作为身份和访问管理领域的领军企业，Okta已经完成了承诺倡议中的三个目标：减少默认密码的使用、发布漏洞披露政策以及为CVE报告提供更多数据。

Okta首席安全官David Bradbury表示，公司“有望”在一年内实现其他四个目标。

Bradbury还提到：“在承诺过程中，我们发现了一些默认设置的例外情况和边缘案例，并计划对其进行处理。例如，Okta在管理员用户中的多因素认证采用率达到了业内领先的91%。不过，我们的目标是确保100%的工作组管理员都必须通过多因素认证登录。”

Okta还增加了其平台上与安全事件相关的日志记录量，并为每个日志条目提供了更多上下文信息，帮助安全防御人员更好地理解这些事件。

Sophos

Sophos销售云端和本地安全硬件与软件，已经达到了承诺倡议中所有七个目标的“核心要求”。首席信息安全官Ross McKerchar表示，公司在签署承诺书前就已要求所有用户启用多因素认证。

Sophos计划不久后允许客户使用FIDO2令牌登录其网页门户，并将在一年内支持本地存储的数字密码钥匙，作为密码的替代方案。

McKerchar透露，Sophos预计将在明年7月前扩展日志功能，帮助客户更好地理解并应对入侵行为。此外，到明年9月，公司将允许客户为其防火墙产品安排自动固件更新。

平衡的方式

随着CISA考虑如何在第二年更新或扩展该倡议的内容，签署方纷纷表示，他们赞赏该倡议的灵活形式。

Fortinet首席信息安全官Carl Windsor表示：“这些目标既现实可行，适用于小型IT公司，同时也为大型IT供应商提供了进一步改进的空间。”

黑莓公司首席政府事务和公共政策官Marjorie Dickman称赞CISA的目标“现实且平衡”，使得“各个发展阶段的组织都能接受这些要求”。

Okta首席安全官David Bradbury补充道：“CISA在平衡方面做得非常好，找到了提升所有公司标准的方式。我们预计该计划会取得成功，因为目标可达成、阐述清晰且普遍适用。”

Bradbury还表示，Okta“并不反对CISA在来年扩展其目标清单”。

即便一些公司对倡议的某些细节有所保留，他们也认为这一倡议推动了软件行业朝着正确的方向发展。

谷歌发言人Kimberly Samra表示：“虽然我们不一定同意每个细节，但我们认为这是改善整个生态系统的重要一步。”

尽管许多全球大型软件公司已经签署了该承诺倡议，仍有大量中小型开发者尚未加入。这一事实可能限制该倡议在更广泛的软件生态系统中的影响。很多软件产品在出现重大故障前往往不会引起广泛关注。

趋势科技威胁情报副总裁Jon Clay表示：“CISA现在有很好的机会进一步扩展支持者，因为目前全球只有很小一部分开发者签署了这一承诺。”

参考资料：https://therecord.media/cisa-secure-by-design-pledge-microsoft-okta-fortinet-sophos-aws

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。