การรักษาความปลอดภัยองค์กรและการปฏิบัติงาน

รากฐานของแนวปฏิบัติด้านความปลอดภัยที่ดีเริ่มต้นในองค์กรของคุณ

สร้างทีมรักษาความปลอดภัยและความเป็นส่วนตัว

สร้างทีมรักษาความปลอดภัยและความเป็นส่วนตัวโดยเฉพาะ และสร้างผู้นำสำหรับองค์กรนี้

• สร้างทีมงานรักษาความปลอดภัย
  • ตรวจสอบให้แน่ใจว่าพนักงานอย่างน้อยหนึ่งคนมีหน้าที่รับผิดชอบด้านความปลอดภัย ความเป็นส่วนตัว และการตอบสนองต่อเหตุการณ์
  • กำหนดภารกิจและขอบเขตสำหรับทีมนี้
  • พัฒนาแผนผังองค์กรและคำอธิบายงานสำหรับ: ผู้จัดการฝ่ายความปลอดภัย วิศวกรความปลอดภัย ผู้จัดการเหตุการณ์
  • จ้างพนักงานหรือผู้รับเหมาภายนอกเพื่อเติมเต็มบทบาทเหล่านี้
• กำหนดวงจรการพัฒนาความปลอดภัย (SDL) SDL ของคุณควรครอบคลุมพื้นที่เหล่านี้:
  • ข้อกำหนดด้านความปลอดภัยสำหรับผลิตภัณฑ์
  • การวิเคราะห์ความเสี่ยงและการสร้างแบบจำลองภัยคุกคาม
  • การวิเคราะห์แอปพลิเคชันและโค้ดแบบคงที่และไดนามิก
  • กระบวนการตรวจสอบความปลอดภัยขั้นสุดท้ายสำหรับผลิตภัณฑ์
  • การตอบสนองต่อเหตุการณ์
• ประเมินความเสี่ยงขององค์กร สร้างการประเมินความเสี่ยงและพัฒนาแผนเพื่อขจัดหรือลดความเสี่ยงเหล่านั้น

สร้างกระบวนการตรวจสอบ

ประเมินช่องว่างในกระบวนการตรวจสอบและอนุมัติโครงสร้างภายในที่มีอยู่ของคุณ

• ระบุช่องว่างในกระบวนการตรวจสอบบิวด์ปัจจุบันของคุณที่อาจนำไปสู่การแนะนำ แอปพลิเคชันที่อาจเป็นอันตราย (PHA) ในงานบิวด์ของคุณ
• ตรวจสอบให้แน่ใจว่าคุณมีกระบวนการตรวจสอบและอนุมัติโค้ด แม้กระทั่งแพตช์ภายในของ AOSP
• ปรับปรุงความสมบูรณ์ของการสร้างโดยการใช้การควบคุมในพื้นที่เหล่านี้:
  • ติดตามการเปลี่ยนแปลง ติดตามวิศวกรซอฟต์แวร์ เก็บบันทึกการเปลี่ยนแปลง
  • ประเมินความเสี่ยง ประเมินสิทธิ์ที่แอปใช้ ต้องมีการตรวจสอบการเปลี่ยนแปลงโค้ดด้วยตนเอง
  • เฝ้าสังเกต . ประเมินการเปลี่ยนแปลงที่ทำกับรหัสสิทธิพิเศษ

การติดตามการเปลี่ยนแปลงซอร์สโค้ด

ตรวจสอบการแก้ไขซอร์สโค้ดหรือแอป / ไบนารี / SDK ของบุคคลที่สามโดยไม่ได้ตั้งใจ

• ประเมินความร่วมมือ ประเมินความเสี่ยงในการทำงานร่วมกับพันธมิตรด้านเทคนิคโดยใช้ขั้นตอนต่อไปนี้:
  • กำหนดเกณฑ์สำหรับวิธีประเมินความเสี่ยงในการทำงานร่วมกับซัพพลายเออร์รายใดรายหนึ่ง
  • สร้างแบบฟอร์มที่ถามซัพพลายเออร์ว่าพวกเขาแก้ไขเหตุการณ์และจัดการความปลอดภัยและความเป็นส่วนตัวอย่างไร
  • ตรวจสอบการเรียกร้องของพวกเขาด้วยการตรวจสอบเป็นระยะ
• ติดตามการเปลี่ยนแปลง บันทึกว่าบริษัทและพนักงานรายใดแก้ไขซอร์สโค้ดและดำเนินการตรวจสอบเป็นระยะเพื่อให้แน่ใจว่ามีการเปลี่ยนแปลงที่เหมาะสมเท่านั้น
• บันทึก . บันทึกว่าบริษัทใดเพิ่มไบนารีของบุคคลที่สามลงในบิลด์ของคุณและจัดทำเอกสารว่าแอปเหล่านั้นทำงานอย่างไร และข้อมูลใดบ้างที่พวกเขารวบรวม
• การปรับปรุงแผน ตรวจสอบให้แน่ใจว่าซัพพลายเออร์ของคุณต้องจัดเตรียมการอัปเดตซอฟต์แวร์ตลอดอายุการใช้งานของผลิตภัณฑ์ของคุณ ช่องโหว่ที่ไม่คาดคิดอาจต้องได้รับการสนับสนุนจากผู้จำหน่ายเพื่อแก้ไข

ตรวจสอบความสมบูรณ์ของซอร์สโค้ดและสายเลือด

ตรวจสอบและตรวจสอบซอร์สโค้ดที่มาจากผู้ผลิตอุปกรณ์ดั้งเดิม (ODM), การอัปเดตแบบ Over-the-air (OTA) หรือผู้ให้บริการ

• จัดการใบรับรองการลงนาม
  • จัดเก็บคีย์ไว้ในโมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) หรือบริการคลาวด์ที่ปลอดภัย (อย่าแชร์)
  • ตรวจสอบให้แน่ใจว่าการเข้าถึงใบรับรองการลงนามได้รับการควบคุมและตรวจสอบ
  • กำหนดให้มีการลงนามโค้ดทั้งหมดในระบบบิลด์ของคุณ
  • เพิกถอนกุญแจที่สูญหาย
  • สร้างคีย์โดยใช้แนวทางปฏิบัติที่ดีที่สุด
• วิเคราะห์โค้ดใหม่ ทดสอบโค้ดที่เพิ่มใหม่ด้วยเครื่องมือวิเคราะห์โค้ดความปลอดภัยเพื่อตรวจสอบช่องโหว่ใหม่ๆ นอกจากนี้ วิเคราะห์ฟังก์ชันการทำงานโดยรวมเพื่อตรวจจับการแสดงออกของช่องโหว่ใหม่ๆ
• ทบทวนก่อนเผยแพร่ มองหาช่องโหว่ด้านความปลอดภัยในซอร์สโค้ดและแอปของบริษัทอื่นก่อนที่จะเผยแพร่สู่การใช้งานจริง ตัวอย่างเช่น:
  • กำหนดให้แอปใช้การสื่อสารที่ปลอดภัย
  • ปฏิบัติตามหลักการของสิทธิ์ขั้นต่ำและให้ชุดสิทธิ์ขั้นต่ำที่จำเป็นสำหรับแอปในการทำงาน
  • ตรวจสอบให้แน่ใจว่าข้อมูลถูกจัดเก็บและถ่ายโอนผ่านช่องทางที่ปลอดภัย
  • ปรับปรุงการพึ่งพาบริการให้ทันสมัยอยู่เสมอ
  • ใช้แพตช์รักษาความปลอดภัยกับ SDK และไลบรารีโอเพ่นซอร์ส

การตอบสนองต่อเหตุการณ์

Android เชื่อมั่นในพลังของชุมชนความปลอดภัยที่แข็งแกร่งในการช่วยค้นหาปัญหา คุณควรสร้างและเผยแพร่ช่องทางให้บุคคลภายนอกติดต่อคุณเกี่ยวกับปัญหาด้านความปลอดภัยเฉพาะอุปกรณ์ได้

• สร้างการติดต่อ . สร้างที่อยู่อีเมล เช่น security@ your-company .com หรือเว็บไซต์ที่มีคำแนะนำที่ชัดเจนในการรายงานปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นที่เกี่ยวข้องกับผลิตภัณฑ์ของคุณ ( ตัวอย่าง )
• สร้างโปรแกรมรางวัลช่องโหว่ (VRP) สนับสนุนให้นักวิจัยด้านความปลอดภัยภายนอกส่งรายงานช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อผลิตภัณฑ์ของคุณโดยเสนอรางวัลเป็นเงินสำหรับการส่งที่ถูกต้อง ( ตัวอย่าง ) เราแนะนำให้ให้รางวัลนักวิจัยด้วยรางวัลที่แข่งขันได้ในอุตสาหกรรม เช่น 5,000 ดอลลาร์สำหรับช่องโหว่ที่มีความรุนแรงระดับวิกฤต และ 2,500 ดอลลาร์สำหรับช่องโหว่ที่มีความรุนแรงสูง
• มีส่วนร่วมในการเปลี่ยนแปลงต้นน้ำ หากคุณทราบถึงปัญหาด้านความปลอดภัยที่ส่งผลต่อแพลตฟอร์ม Android หรืออุปกรณ์จากผู้ผลิตอุปกรณ์หลายราย โปรดติดต่อทีมความปลอดภัยของ Android โดยยื่น รายงานข้อบกพร่องด้านความปลอดภัย
• ส่งเสริมแนวปฏิบัติด้านความปลอดภัยที่ดี ประเมินแนวปฏิบัติด้านความปลอดภัยในเชิงรุกของผู้จำหน่ายฮาร์ดแวร์และซอฟต์แวร์ที่ให้บริการ ส่วนประกอบ และ/หรือโค้ดสำหรับอุปกรณ์ของคุณ ให้ผู้ขายรับผิดชอบในการรักษามาตรการรักษาความปลอดภัยที่ดี