Cybersecurity and Infrastructure Security Agency (CISA) telah memperkenalkan Secure by Design Pledge secara sukarela untuk produsen perangkat lunak perusahaan. Inisiatif ini bertujuan meningkatkan keamanan produk dan layanan yang mereka tawarkan. Pledge ini mencakup tujuh prinsip utama yang menjadi dasar filosofi secure-by-design. Berikut adalah penjelasan tentang prinsip-prinsip tersebut serta bagaimana Imperva berperan dalam mendukungnya.
Tujuh Prinsip Utama Secure by Design
- Multi-Factor Authentication (MFA):
Pledge ini mendorong penggunaan MFA secara lebih luas dengan metode tahan phishing, seperti aktivasi MFA secara default atau pengingat serupa “seat belt chimes.” Imperva sudah menerapkan MFA yang kuat pada semua layanan.
Keamanan pelanggan adalah prioritas kami. Kami mendukung single sign-on (SSO) berbasis standar dalam versi dasar setiap produk dan menerapkan two-factor authentication (2FA) untuk meningkatkan keamanan data Anda. Dengan memerlukan dua bentuk identifikasi, 2FA menambahkan lapisan perlindungan ekstra, sehingga sulit bagi pengguna yang tidak berwenang untuk mengakses informasi sensitif. Hal ini membantu kami memastikan keamanan data pribadi dan bisnis Anda, mengurangi risiko pelanggaran keamanan, serta meningkatkan kepercayaan pada layanan kami.
Selain ID pengguna dan kata sandi, 2FA menggunakan metode validasi pihak ketiga yang terpercaya untuk memverifikasi identitas. Kami juga memiliki kebijakan ketat terhadap kata sandi default dan menerapkan rotasi kata sandi secara berkala. Kami mendorong pelanggan menggunakan metode otentikasi lebih canggih, seperti key pairs, sertifikat, dan token dengan waktu aktif singkat.
- Kata Sandi Default:
Prinsip ini bertujuan menghilangkan penggunaan kata sandi default dan menggantinya dengan metode autentikasi yang lebih aman. Imperva telah menerapkan kata sandi acak yang unik untuk setiap instance dan mewajibkan pembuatan kata sandi yang kuat selama instalasi. Kami juga memberlakukan kebijakan rotasi kata sandi untuk meningkatkan keamanan sistem.
- Mengurangi Kelas Kerentanan:
Prinsip ini berfokus pada pengurangan proaktif kerentanan umum, seperti SQL injection dan cross-site scripting. Imperva memiliki program untuk mempromosikan prinsip coding yang aman dalam organisasi pengembangannya, termasuk pemindaian kode secara berkelanjutan untuk menjaga kualitas dan keamanan kode.
Kami secara konsisten menggunakan kueri terparameterisasi untuk mencegah serangan SQL injection. Framework template web kami juga sudah dilengkapi perlindungan bawaan terhadap kerentanan cross-site scripting. Selain itu, kami menggunakan bahasa pemrograman yang aman untuk memori pada semua produk baru.
- Patch Keamanan:
Pledge ini menekankan peningkatan tingkat instalasi patch keamanan pelanggan. Namun, dengan produk SaaS seperti CloudWAF, tanggung jawab untuk patching ada pada kami.
Manajemen kerentanan adalah bagian penting dari menjaga organisasi tetap aman. Tim InfoSec Imperva memiliki program untuk menilai dan menangani kerentanan yang teridentifikasi berdasarkan tingkat keparahan. Lingkup program ini meliputi lingkungan perusahaan dan produksi, termasuk perangkat laptop, telepon kantor, server, perangkat jaringan, aplikasi pihak ketiga, hingga hosting data center pihak ketiga untuk layanan Cloud WAF kami.
- Kebijakan Pengungkapan Kerentanan (VDP):
Pledge ini mengharuskan adanya VDP publik yang mendukung pengujian publik, tidak melakukan tindakan hukum terhadap pelapor beritikad baik, dan menyediakan saluran pelaporan yang jelas.
Imperva mendorong peneliti keamanan untuk berbagi detail kerentanan yang dicurigai melalui formulir bug bounty. Temuan ini kemudian dievaluasi untuk validitasnya. Dalam beberapa kasus, laporan mungkin memenuhi syarat untuk mendapatkan kompensasi. Informasi lebih lanjut tersedia dalam kebijakan Responsible Disclosure kami.
- CVEs:
Pledge ini mendorong transparansi dalam pelaporan kerentanan, memastikan data CVE diisi dengan akurat dan diterbitkan tepat waktu. Pada layanan SaaS seperti CloudWAF, kami mengambil langkah-langkah mitigasi sebelum rilis untuk meminimalkan dampak kerentanan.
- Bukti Intrusi:
Prinsip ini bertujuan membantu pelanggan mengumpulkan bukti intrusi. Imperva Cloud WAF menyediakan semua log keamanan dan akses kepada pelanggan, termasuk log audit konfigurasi sistem. Kami juga menawarkan berbagai opsi waktu retensi log berdasarkan paket pelanggan, mulai dari 30 hari tanpa biaya tambahan.
Validasi Pihak Ketiga
Solusi keamanan, apa pun metode penerapannya, harus melindungi lingkungan tanpa meningkatkan potensi serangan. Imperva telah berhasil melewati WAAP Vulnerability Assessment oleh SecureIQLab dengan skor 100%, menunjukkan komitmen kami terhadap perlindungan siber.
Tabel Pendukung: Implementasi Secure by Design
| Prinsip | Upaya Imperva | Manfaat |
| MFA | SSO berbasis standar, 2FA dengan otentikasi tambahan | Pengamanan data yang lebih baik dan pengurangan risiko pelanggaran keamanan |
| Kata Sandi Default | Penghapusan kata sandi default dan kebijakan rotasi kata sandi | Mengurangi potensi serangan yang memanfaatkan kredensial default |
| Mengurangi Kerentanan | Penggunaan kueri terparameterisasi dan bahasa pemrograman aman | Meminimalkan risiko serangan SQL injection dan cross-site scripting |
| Patch Keamanan | Manajemen kerentanan terintegrasi untuk semua lingkungan | Mencegah eksploitasi kerentanan sebelum pelanggan terkena dampaknya |
| VDP | Kebijakan Responsible Disclosure untuk laporan kerentanan | Mendorong partisipasi peneliti keamanan dan peningkatan transparansi |
| CVEs | Penanganan kerentanan sebelum rilis | Mengurangi eksposur pelanggan terhadap risiko keamanan |
| Bukti Intrusi | Penyediaan log keamanan, akses, dan audit konfigurasi | Memberikan wawasan lebih dalam tentang keamanan dan aktivitas di lingkungan pelanggan |
