Директор по информационной безопасности Google Cloud Фил Венейблс сообщил, что в облаке используется программное обеспечение от поставщика SolarWinds, но сказал, что его использование "ограничено".
Google Cloud объявила о приеме на работу первого директора по информационной безопасности, Фила Венейблса, в середине декабря, когда США начали понимать масштабы атаки SolarWinds.
Нарушение коснулось Минфина США и Национальная телекоммуникационная и информационная служба Министерства торговли США (NTIA), Министерство юстиции, его исходный код Microsoft и многое другое.
Но Венейблс, ветеран Goldman Sachs, настаивает, что атака не затронула ни одну систему Google. Это важное сообщение от Google в то время, когда нарушения подорвали доверие известным производителям программного обеспечения.
«На основании того, что известно об атаке, мы уверены, что ни одна система Google не пострадала от атаки SolarWinds», - сказал Венейблс в своем блоге.
«Мы очень ограниченно используем уязвимое программное обеспечение, и наш подход к снижению рисков безопасности цепочки поставок означал, что любое вспомогательное использование ограничено. Эти средства контроля были усилены сложным мониторингом наших сетей и систем ».
Венейблс также поделился некоторыми из главных советов, которые Google использует для защиты себя и своих клиентов. Эта конкретная атака показала, насколько взаимосвязана вся индустрия программного обеспечения и насколько уязвима экосистема из-за обновлений получены от различных поставщиков.
По словам Венейблса, Google использует безопасное развертывание и постоянные платформы тестирования для обнаружения и предотвращения распространенных ошибок. программирование. Далее он объясняет, что значит иметь надежные облачные вычисления в Google Cloud, которые находятся под его контролем. аппаратные средства и программное обеспечение.
Google проверяет, что программное обеспечение создано и подписано в утвержденную изолированную среду сборки с помощью правильно проверенного кода, проверил. Затем компания производит несколько управления когда развитие, в зависимости от его чувствительности код. Наконец, компания гарантирует, что хотя бы один человек помимо автора уверенно отслеживает изменения в код представленный разработчиков.
«Чувствительные управленческие действия обычно требуют дополнительного одобрения человека. Мы делаем это, чтобы предотвратить неожиданные изменения - либо ошибки, либо вредоносный импорт ».
Источник информации: zdnet.com
Greek
Chinese (Simplified)
English
Greek
Russian