Landasan praktik keamanan yang baik dimulai di organisasi Anda.
Buat tim keamanan dan privasi
Bentuk tim keamanan dan privasi khusus dan jadikan pemimpin untuk organisasi ini.
- Bangun tim keamanan.
- Pastikan setidaknya satu karyawan bertanggung jawab atas keamanan, privasi, dan respons insiden.
- Tentukan misi dan ruang lingkup tim ini.
- Kembangkan bagan organisasi dan deskripsi pekerjaan untuk: Manajer Keamanan, Insinyur Keamanan, Manajer Insiden.
- Pekerjakan karyawan atau kontraktor eksternal untuk mengisi peran ini.
- Tentukan siklus hidup pengembangan keamanan (SDL) . SDL Anda harus mencakup area berikut:
- Persyaratan keamanan untuk produk.
- Analisis risiko dan pemodelan ancaman.
- Analisis statis dan dinamis terhadap aplikasi dan kode.
- Proses peninjauan keamanan akhir untuk produk.
- Respons insiden.
- Menilai risiko organisasi . Buat penilaian risiko dan kembangkan rencana untuk menghilangkan atau memitigasi risiko tersebut.
Bangun proses verifikasi
Evaluasi kesenjangan dalam proses verifikasi dan persetujuan internal yang ada.
- Identifikasi kesenjangan apa pun dalam proses verifikasi bangunan Anda saat ini yang dapat mengarah pada masuknya Aplikasi yang Berpotensi Membahayakan (PHA) ke dalam bangunan Anda.
- Pastikan Anda memiliki proses peninjauan dan persetujuan kode, bahkan untuk patch internal pada AOSP .
- Tingkatkan integritas bangunan dengan menerapkan kontrol di area berikut:
- Lacak perubahan . Lacak insinyur perangkat lunak; simpan log perubahan.
- Menilai risiko . Menilai izin yang digunakan oleh suatu aplikasi; memerlukan tinjauan manual terhadap perubahan kode.
- Memantau . Evaluasi perubahan yang dilakukan pada kode istimewa.
Pelacakan perubahan kode sumber
Pantau modifikasi yang tidak disengaja pada kode sumber atau aplikasi/biner/SDK pihak ketiga.
- Menilai kemitraan . Menilai risiko bekerja dengan mitra teknis menggunakan langkah-langkah berikut:
- Tetapkan kriteria tentang cara menilai risiko bekerja dengan pemasok tertentu.
- Buat formulir yang menanyakan pemasok bagaimana mereka menyelesaikan insiden dan mengelola keamanan dan privasi.
- Verifikasi klaim mereka dengan audit berkala.
- Lacak perubahan . Catat perusahaan dan karyawan mana yang memodifikasi kode sumber dan lakukan audit berkala untuk memastikan hanya perubahan yang sesuai yang dilakukan.
- Simpan catatan . Catat perusahaan mana yang menambahkan biner pihak ketiga ke build Anda dan dokumentasikan fungsi apa yang dilakukan aplikasi tersebut dan data apa yang mereka kumpulkan.
- Pembaruan rencana . Pastikan pemasok Anda diharuskan menyediakan pembaruan perangkat lunak selama masa pakai produk Anda. Kerentanan yang tidak terduga mungkin memerlukan dukungan dari vendor untuk diatasi.
Validasi integritas dan silsilah kode sumber
Periksa dan validasi kode sumber yang disediakan oleh produsen perangkat asli (ODM), pembaruan Over-the-air (OTA), atau operator.
- Kelola sertifikat penandatanganan .
- Simpan kunci dalam modul keamanan perangkat keras (HSM) atau layanan cloud yang aman (jangan dibagikan).
- Pastikan akses ke sertifikat penandatanganan dikontrol dan diaudit.
- Wajibkan semua penandatanganan kode dilakukan di sistem build Anda.
- Cabut kunci yang hilang.
- Hasilkan kunci menggunakan praktik terbaik.
- Analisis kode baru . Uji kode yang baru ditambahkan dengan alat analisis kode keamanan untuk memeriksa adanya kerentanan baru. Selain itu, analisis fungsionalitas keseluruhan untuk mendeteksi ekspresi kerentanan baru.
- Tinjau sebelum dipublikasikan . Cari kerentanan keamanan dalam kode sumber dan aplikasi pihak ketiga sebelum Anda memasukkannya ke dalam produksi. Misalnya:
- Mewajibkan aplikasi untuk menggunakan komunikasi yang aman.
- Ikuti prinsip hak istimewa paling rendah dan berikan izin minimum yang diperlukan agar aplikasi dapat beroperasi.
- Pastikan data disimpan dan ditransfer melalui saluran aman.
- Selalu perbarui dependensi layanan.
- Terapkan patch keamanan ke SDK dan perpustakaan sumber terbuka.
Respons insiden
Android percaya pada kekuatan komunitas keamanan yang kuat untuk membantu menemukan masalah. Anda harus membuat dan mempublikasikan cara bagi pihak eksternal untuk menghubungi Anda tentang masalah keamanan khusus perangkat.
- Jalin kontak . Buat alamat email, seperti your-company atau situs web dengan instruksi yang jelas untuk melaporkan potensi masalah keamanan yang terkait dengan produk Anda ( contoh ).
- Membangun Program Imbalan Kerentanan (VRP) . Dorong peneliti keamanan eksternal untuk mengirimkan laporan kerentanan keamanan yang berdampak pada produk Anda dengan menawarkan imbalan uang untuk pengiriman yang valid ( contoh ). Kami merekomendasikan untuk memberi penghargaan kepada peneliti dengan imbalan kompetitif industri, seperti $5.000 untuk kerentanan tingkat keparahan Kritis dan $2.500 untuk kerentanan tingkat keparahan tinggi.
- Berkontribusi pada perubahan di hulu . Jika Anda mengetahui adanya masalah keamanan yang memengaruhi platform atau perangkat Android dari beberapa produsen perangkat, hubungi Tim Keamanan Android dengan mengajukan laporan bug keamanan .
- Mempromosikan praktik keamanan yang baik . Secara proaktif menilai praktik keamanan vendor perangkat keras dan perangkat lunak yang menyediakan layanan, komponen, dan/atau kode untuk perangkat Anda. Meminta pertanggungjawaban vendor untuk menjaga postur keamanan yang baik.