Der har altid været en afvejning inden for IT mellem levering af nye funktioner og funktionalitet versus nedbetaling af teknisk gæld, som omfatter ting som pålidelighed, ydeevne, test ... og ja, sikkerhed.
I denne "send hurtigt og knæk tingene"-æra er akkumulering af sikkerhedsgæld en beslutning, som organisationer træffer frivilligt. Hver organisation har sikkerhedsopgaver proppet i deres Jira-backlogs til "en dag" - ting som at implementere sikkerhedsrettelser og køre de nyeste, mest stabile versioner af programmeringssprog og rammer. At gøre det rigtige tager tid, og teams udsætter bevidst disse opgaver, fordi de prioriterer nye funktioner. En stor del af CISO's job er at anerkende de øjeblikke, hvor sikkerhedsgæld skal betales.
En ting, der gjorde Log4j udnytte så alarmerende for CISO'er var erkendelsen af, at der var denne enorme akkumulerede gæld, som ikke engang var på deres radar. Det afslørede en skjult klasse af sikkerhedshuller mellem open source-projekter og økosystemerne hos skabere, vedligeholdere, pakkeadministratorer og organisationer, der bruger dem.
Softwareforsyningskædesikkerhed er en unik linjepost på sikkerhedsgældens balance, men CISO'er kan sammensætte en sammenhængende plan for nedbetaling.
En ny klasse af sårbarhed
De fleste virksomheder er blevet rigtig gode til at låse deres netværkssikkerhed. Men der er en hel klasse af udnyttelser, der er mulige, fordi udviklerbyggersystemer og de softwareartefakter, de udnytter til at skrive applikationer, ikke har en tillidsmekanisme eller sikker kæde af forældremyndighed.
I dag ved enhver med sund fornuft ikke at tage et tilfældigt drev og tilslutte det til deres computer på grund af sikkerhedsrisici. Men i årtier har udviklere downloadet open source-pakker uden mulighed for at bekræfte, at de er sikre.
Dårlige skuespillere udnytter denne angrebsvektor, fordi det er den nye lavthængende frugt. De indser, at de kan få adgang gennem disse huller, og når de først er inde, pivoterer de til alle de andre systemer, der er afhængige af den usikre artefakt, de plejede at få adgang til.
Stop med at grave ved at låse byggesystemer
Det grundlæggende udgangspunkt for CISO'er, godkendt i materialer som udviklervejledningen "Sikring af softwareforsyningskæden,” er at begynde at bruge open source-frameworks som NIST's Secure Software Development Framework (SSDF) og OpenSSF's Supply Chain niveauer for software artefakter (SLSA). Disse er grundlæggende foreskrivende trin til at låse din forsyningskæde. SLSA Level 1 er at bruge et byggesystem. Niveau 2 er at eksportere nogle logfiler og metadata (så du senere kan slå tingene op og reagere på hændelser). Niveau 3 er at følge en række bedste praksis. Niveau 4 er at bruge et virkelig sikkert byggesystem. Ved at følge disse første trin kan CISO'er skabe et stærkt grundlag for at opbygge en softwareforsyningskæde, der er sikker som standard.
Tingene bliver mere nuancerede, efterhånden som CISO'er tænker på politikker for, hvordan udviklerteams anskaffer open source-software i første omgang. Hvordan ved udviklere, hvad deres virksomheds politikker er for, hvad der betragtes som "sikkert"? Og hvordan ved de, at den open source, de anskaffer (som udgør stort flertal af al software, der bruges af udviklere i disse dage) virkelig er umanipuleret?
Ved at låse byggesystemer ned og skabe en gentagelig metode til at verificere oprindelsen af softwareartefakter, før de bringes ind i miljøet, kan CISO'er effektivt stoppe med at grave et dybere hul for deres organisation i sikkerhedsgæld.
Hvad med at nedbetale gammel softwareforsyningskædesikkerhedsgæld?
Når du er holdt op med at grave ved at låse dine basisbilleder og byggemiljøer ned, skal du nu opdatere din software og lappe dine sårbarheder, inklusive basisbilledversioner.
At opdatere software og patche CVE'er er super kedeligt. Det er kedeligt, det er tidskrævende, det er en opgave – det er arbejde. Det er cybersikkerhedens "spis dine grøntsager". Nedbetaling af denne gæld kræver et dybt samarbejde mellem CISO'er og udviklingsteams. Det er også en mulighed for begge teams til at blive enige om mere sikkert, produktivt værktøj og processer, der kan hjælpe med at gøre en organisations softwareforsyningskæde sikker som standard.
Ligesom nogle mennesker ikke kan lide forandringer, kan nogle softwareteams ikke lide at opdatere deres containerbasebilleder. Basisbilledet er det første lag af containerbaserede softwareapplikationer. Opdatering af et basisbillede til en ny version kan nogle gange ødelægge softwareapplikationen, især hvis der er utilstrækkelig testdækning. Så nogle softwareteams foretrækker status quo, idet de i det væsentlige svæver på ubestemt tid på en fungerende basebilledversion, der sandsynligvis akkumulerer CVE'er dagligt.
For at undgå denne ophobning af sårbarheder bør softwareteams opdatere billeder ofte med små ændringer og bruge "test i produktion"-praksis som canary-udgivelser. Brug af containerbilleder, der er hærdede, minimale i størrelse og bygget med kritiske metadata for softwareforsyningskædesikkerhed, som f.eks. softwarestyklister (SBOM'er), herkomst og signaturer, kan hjælpe med at lindre den tidskrævende smerte ved daglig sårbarhedshåndtering i basisbilleder. Disse teknikker skaber den rette balance mellem at forblive sikker og sikre, at produktionen ikke går ned.
Begynd at betale undervejs
Det, der er unikt ubehageligt ved sikkerhedsgæld, er, at når du bare bliver ved med at arkivere den for "en dag", rejser den sig typisk, når du er mest sårbar og har mindst råd til at betale den. Log4j-sårbarheden ramte lige før den travle ferie-e-handelscyklus og lammede mange ingeniør- og sikkerhedsteams langt ind i det følgende år. Ingen CISO ønsker at have skjulte sikkerhedsoverraskelser på lur.
Enhver CISO bør lave en minimumsinvestering i mere sikre byggesystemer, softwaresigneringsmetoder til at fastslå softwarens oprindelse, før udviklere bringer den ind i miljøet, og hærdede, minimale containerbasebilleder, der reducerer angrebsoverfladen i fundamentet af software og applikationer .
Dybere nede i denne massive softwareforsyningskædesikkerhedsgældsudbetaling står CISO'er over for en gåde om, hvor meget de er villige til at få deres udviklere til at betale, mens de går (ved løbende at opdatere basisbilleder og software med sårbarheder) versus at udskyde denne gæld og opnå et acceptabelt niveau for sårbarhed.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :har
- :er
- :ikke
- $OP
- 1
- 7
- a
- Om
- acceptabel
- adgang
- Akkumuleret
- akkumulering
- opnå
- erhverve
- erhverve
- aktører
- Alle
- lindre
- også
- altid
- an
- ,
- nogen
- Anvendelse
- applikationer
- ER
- AS
- At
- angribe
- undgå
- væk
- Balance
- Balance
- bund
- I bund og grund
- BE
- fordi
- været
- før
- BEDSTE
- bedste praksis
- mellem
- Big
- Sedler
- Boring
- både
- Pause
- bringe
- Bringe
- bygge
- Bygning
- bygget
- travlt
- men
- by
- CAN
- kapitalisere
- kæde
- lave om
- Ændringer
- CISO
- klasse
- SAMMENHÆNGENDE
- samarbejde
- Fælles
- Virksomheder
- selskab
- computer
- betragtes
- Container
- løbende
- gåde
- dækning
- skabe
- Oprettelse af
- skabere
- kritisk
- Custody
- Cybersecurity
- cyklus
- dagligt
- Dage
- Gæld
- årtier
- beslutning
- dyb
- dybere
- Standard
- implementering
- Udvikler
- udviklere
- Udvikling
- do
- gør ikke
- gør
- Don
- ned
- køre
- grund
- e-handel
- spiser
- økosystemer
- effektivt
- Engineering
- indrejse
- Miljø
- miljøer
- Era
- især
- væsentlige
- etablere
- Endog
- Hver
- exploits
- eksport
- udsat
- Ansigtet
- FAST
- Funktionalitet
- Arkivering
- Fornavn
- første skridt
- følger
- efter
- Til
- Foundation
- Framework
- rammer
- hyppigt
- funktionalitet
- fundamental
- Gevinst
- huller
- få
- Go
- godt
- vejlede
- Have
- hoved
- hjælpe
- Skjult
- Hole
- Huller
- Ferie
- Hvordan
- HTTPS
- kæmpe
- if
- billede
- billeder
- in
- hændelse
- hændelsesrespons
- omfatter
- Herunder
- usikker
- indvendig
- ind
- investering
- IT
- ITS
- Job
- lige
- Holde
- Kend
- Sprog
- senere
- lag
- mindst
- Niveau
- niveauer
- Leverage
- ligesom
- Sandsynlig
- Line (linje)
- log4j
- Se
- lavet
- lave
- Making
- ledelse
- Ledere
- mange
- massive
- materialer
- mekanisme
- Metadata
- metode
- metoder
- mindste
- minimum
- Moments
- mere
- mest
- meget
- skal
- Behov
- netværk
- Network Security
- Ny
- Nye funktioner
- Nyeste
- NIST
- ingen
- nu
- of
- Gammel
- on
- engang
- åbent
- open source
- Opportunity
- or
- organisation
- organisationer
- Andet
- i løbet af
- pakke
- betalt
- Smerte
- del
- patch
- Patches
- lappe
- Betal
- betale
- Mennesker
- ydeevne
- pick
- Pivot
- Place
- fly
- plato
- Platon Data Intelligence
- PlatoData
- stik
- Punkt
- politikker
- mulig
- praksis
- foretrække
- prioritering
- Processer
- produktion
- produktiv
- Programmering
- programmeringssprog
- projekter
- herkomst
- sætte
- radar
- tilfældig
- RE
- erkendelse af
- indse
- virkelig
- anerkende
- reducere
- Udgivelser
- pålidelighed
- gentagelig
- Kræver
- svar
- højre
- risici
- kører
- s
- sikker
- sikker
- sikkerhed
- sikkerhedsrisici
- forstand
- Series
- ark
- SKIB
- Levering
- bør
- Underskrifter
- signering
- Størrelse
- lille
- So
- Software
- softwareudvikling
- nogle
- en skønne dag
- Kilde
- stabil
- starte
- Starter
- Status
- Steps
- Stands
- stoppet
- strejke
- stærk
- Super
- forsyne
- forsyningskæde
- sikker
- overflade
- overraskelser
- systemet
- Systemer
- tager
- opgaver
- hold
- Teknisk
- teknikker
- prøve
- Test
- at
- deres
- Them
- Der.
- Disse
- de
- ting
- ting
- tror
- denne
- dem
- Gennem
- tid
- tidskrævende
- til
- sammen
- Stol
- typisk
- enestående
- entydigt
- Opdatering
- opdatering
- brug
- anvendte
- ved brug af
- Ve
- verificere
- udgave
- versus
- frivilligt
- Sårbarheder
- sårbarhed
- Sårbar
- ønsker
- var
- var ikke
- Vej..
- GODT
- Hvad
- uanset
- hvornår
- som
- WHO
- Hele
- villig
- med
- Arbejde
- arbejder
- skriver
- år
- Ja
- Du
- Din
- zephyrnet