Begin 2021 waren bijvoorbeeld duizenden Australische bedrijven en overheidsinstanties bezig om een reeks grote kwetsbaarheden op te lossen in meer dan 7.000 Microsoft Exchange-services in het hele land na een wereldwijde aanval gelanceerd door een door de staat gesponsorde hackgroep in China.
Destijds stuurde Microsoft snel patches voor vier zero-day-kwetsbaarheden, naar verluidt gebruikt door de in China gevestigde hackgroep HAFNIUM. Een zero-day exploit is een voorheen onbekende kwetsbaarheid voor de softwareleverancier. “Zero-day” verwijst naar het feit dat ontwikkelaars “nul dagen” hebben om het nieuw blootgelegde probleem op te lossen, dat mogelijk al door hackers is uitgebuit.
De nieuwe richtlijnen schetsen een reeks beveiligingsprincipes voor softwareontwikkelaars om veilige producten te maken door ontwerp en standaard, en om eigenaar te worden van de beveiligingsresultaten van de aankopen van hun klanten.
Het uitgebreide document bevat basisdoelen en aanbevelingen voor technisch softwareontwerp, zoals het ontwerpen van de infrastructuur zodat een enkele inbreuk op de beveiligingscontrole niet het hele systeem blootstelt aan hackers.
Het advies adviseerde ook dat IT-afdelingen van bedrijven prioriteit geven aan aanbevelingen die worden gedaan wanneer ze op zoek zijn naar softwareproducten, en dat alle risico’s worden gedocumenteerd en regelmatig aan het bestuur worden gepresenteerd.
“Denker. Liefhebber van eten. Woedend bescheiden musicaholic. Levenslange ontdekkingsreiziger. Twitter-liefhebber. Professionele student.”