«En suivant les niveaux minimaux d'observabilité et de référence numérique, les lignes de base décrites dans ces conseils, les fabricants d'appareils et leurs clients seront mieux équipés pour détecter et identifier l'activité malveillante contre leurs solutions», a-t-il déclaré. «Les fabricants d'appareils devraient également l'utiliser pour établir une base de référence de fonctionnalités standard à inclure dans l'architecture des appareils et appareils réseau, pour faciliter l'analyse médico-légale pour les défenseurs du réseau.»
L'Australie a pris les devants sur deux documents: Stratégies d'atténuation pour les dispositifs Edge: Guidance Executive et Stratégies d'atténuation pour les appareils Edge: Guide des praticiens. Ces guides, dirigés par le Centre de cybersécurité australien de la Cyber Security Center (ACSC) de l'Australian Signals Direction, fournissent un résumé des stratégies d'atténuation et des meilleures pratiques sur la sécurisation, le durcissement et la gestion des appareils Edge et les détails techniques sur sept stratégies d'atténuation pour les acquisitions opérationnelles, les achats et les achats et Le personnel de la cybersécurité à mettre en œuvre pour réduire le risque aux appareils Edge.
« Le centre de cybersécurité australien (ACSC) de la Direction des signaux australiens (TSA) a noté une augmentation préoccupante du nombre d'incidents impliquant des compromis sur les dispositifs de pointe », a indiqué les directives du praticien. «Les appareils Edge sont exposés sur Internet, généralement difficiles à surveiller et à accéder à d'autres actifs sur le réseau, fournissant un point d'entrée attrayant et ciblent aux acteurs malveillants.»
Le document final, dirigé par CISA, est une mise à jour d'un guide 2023 sur les principes sécurisés par conception pour les fabricants avec des liens vers des ressources sur la mise en œuvre.
«Les produits conçus avec des principes sécurisés par conception priorisent la sécurité des clients comme une exigence commerciale principale, plutôt que de simplement le traiter comme une fonctionnalité technique», a déclaré la page Web d'introduction. «Pendant la phase de conception du cycle de vie d'un produit, les entreprises devraient mettre en œuvre des principes sécurisés par la conception pour réduire considérablement le nombre de défauts exploitables avant de les introduire sur le marché pour une utilisation ou une consommation généralisée. Présenté, les produits doivent être sécurisés avec des fonctionnalités de sécurité supplémentaires telles que l'authentification multi-facteurs (MFA), la journalisation et la connexion unique (SSO) disponibles sans frais supplémentaires. »
Un gros problème… si les fabricants d'appareils se conforment
Les conseils pour les fabricants excitent particulièrement Frank Dickson, vice-président du groupe IDC pour la sécurité et la confiance. « C'est un très gros problème », a-t-il déclaré. «C'est légitimement énorme, surtout si les fabricants d'appareils capitulent et respectent ces exigences.»
GIPHY App Key not set. Please check settings