< p class="meta"> Door Liam Tung | 27 augustus 2021 — 10:26 GMT (11:26 BST) | Onderwerp: Beveiliging
Google heeft zijn inspanningen uiteengezet om vorm te geven aan het zero-trust-initiatief van de Amerikaanse regering, op basis van Biden's Executive Order van mei inzake cyberbeveiliging.
Google's inzet van 10 miljard dollar om de kritieke Amerikaanse infrastructuur te versterken, omvat het uitbreiden van zero-trust-programma's, het helpen beveiligen van softwaretoeleveringsketens en het verbeteren van open source-beveiliging.
Met de bijdragen van het bedrijf zal het bedrijf gebruik maken van initiatieven die in gang zijn gezet jarenlang bij Google, van open-source fuzzing-tools tot het financieren van Linux-kernelontwikkelaars om aan beveiliging te werken, en het aandringen op het gebruik van geheugenveilige talen in Linux.
Het komt nadat de Amerikaanse president Joe Biden eerder deze week de chefs van Apple, Google, Microsoft en JPMorgan Chase had opgeroepen om de bescherming van kritieke infrastructuur in het land te versterken.
Hoewel Google niet tot de 18 geselecteerde cyberbeveiligingsbedrijven behoorde om samen te werken met het programma van het National Institute of Standards and Technology (NIST) van het Amerikaanse ministerie van Handel, dat Zero Trust-ontwerpen zal creëren die federale agentschappen kunnen implementeren, werkt het nu samen met NIST om een raamwerk te ontwikkelen, Eric Brewer en Dan van Google Lorenc zei in een blogpost.
Zero Trust gaat ervan uit dat een netwerk is geschonden en richt cyberbeveiliging opnieuw op apps, gegevens en mensen, in plaats van de netwerkperimeter te verharden.
“In plaats van reactief te zijn op kwetsbaarheden, moeten we ze proactief elimineren met veilige talen, platforms en frameworks die hele reeksen bugs stoppen”, aldus Brewer en Lorenc.
“Voorkomen van problemen voordat ze het toetsenbord van de ontwikkelaar verlaten, is veiliger en kosteneffectiever dan proberen om kwetsbaarheden en hun gevolgen op te lossen.”
Biden deed woensdag tijdens de cybersecurity-top van het Witte Huis een beroep op de particuliere sector, waarbij hij opmerkte dat de federale overheid alleen de uitdaging om kritieke infrastructuur te beschermen tegen cyberaanvallen niet aankon.
Google en Microsoft hebben in vijf jaar respectievelijk $ 10 miljard en $ 20 miljard toegezegd om de reactie van de VS op toekomstige bedreigingen te verbeteren, na recente spraakmakende cyberaanvallen, waaronder de Colonial Pipeline ransomware-aanval, de SolarWinds-softwaretoeleveringsketenaanval en de wijdverbreide hacking van Microsoft Exchange server kwetsbaarheden.
“Je hebt de macht, capaciteit en verantwoordelijkheid, denk ik, om de lat op het gebied van cyberbeveiliging hoger te leggen. Uiteindelijk hebben we veel werk te doen”, zei Biden volgens The Washington Post.
In juni diende Brewer vier papers in als reactie op Biden's cybersecurity Executive Order 14028 over het verbeteren van de beveiliging van de toeleveringsketen van software.
Een van de artikelen bespreekt de beveiligingsproblemen die inherent zijn aan codering in de programmeertaal C en de opkomst van Rust.
“Veilige talen en applicatieframeworks kunnen worden gebruikt om een structuur op te leggen aan software die op grote schaal betrouwbaar redeneren over de beveiliging mogelijk maakt”, schreef Brewer.
“Maar ervoor zorgen dat aan deze vereiste voor echte C-code wordt voldaan, is een uitdaging en vereist vaak moeilijke redeneringen over de heap-geheugenstructuur. Evenzo is het moeilijk om correcte validatie en escaping te garanderen voor alle gegevens die in de HTML-opmaak van een webtoepassing stromen , aangezien gegevens vaak door verschillende componenten gaan op weg van input naar output, zoals via een opslagschema.”
“Daarentegen is Rust naar voren gekomen als een praktisch alternatief voor C en C++ als een systeem- ontwikkeltaal, die een veilige houding belichaamt ten aanzien van geheugenveiligheid. Het typesysteem van Rust legt een eigendomsdiscipline op die ervoor zorgt dat bijvoorbeeld vrijgemaakt geheugen niet toegankelijk is.”
Daarom steunt Google een plan om Rust in de Linux-kernel te krijgen als een tweede taal voor C. Lorenc en Brewer stellen dat softwarefouten vanaf het begin moeten worden beperkt, in plaats van alleen te reageren op nieuwe kwetsbaarheden. Microsoft en Amazon Web Services ondersteunen Rust ook als een geheugenveilig alternatief voor C en C++ voor systeemprogrammering.
Google pleit voor het testen van softwarecodes, inclusief het gebruik van tools van GitHub, eigendom van Microsoft, zoals Dependabot, een tool om open source-softwarepakketten of -afhankelijkheden up-to-date te houden.
Google gaf ook zijn mening over het idee van een software bill of materials (SBOM's) als onderdeel van de officiële reactie van de VS op aanvallen op de toeleveringsketen van software. De Linux Foundation draagt bij aan dit aspect van de opdracht van Biden. Het is een complex probleem om op te lossen in zowel open-source als propriëtaire software vanwege het grote aantal bibliotheekafhankelijkheden dat in moderne programma's wordt gebruikt.
“SBOM's hebben een redelijke signaal-ruisverhouding nodig: als ze te veel informatie bevatten, zijn ze niet nuttig, dus we dringen er bij de NTIA [National Telecommunications and Information Administration] op aan om zowel minimum- als maximumvereisten vast te stellen voor granulariteit en diepte voor specifieke use-cases,” zei Google.
Google zou een van de beste functies van de iPhone naar Android kunnen brengen. Hier leest u hoe u zich kunt afmelden voor de Privacy Sandbox van Google Chrome (FLoC ) test Google om apps voor het synchroniseren van desktopbestanden te consolideren in de enkelvoudige Drive-app Google voegt voorzichtigheid toe aan zoekresultaten over opkomende onderwerpen Google heeft zojuist nieuwe manieren gevonden om u een Pixel te verkopen en het zijn prachtige
Verwante onderwerpen:
Google Security TV Gegevensbeheer CXO-datacenters 