Lås softwareforsyningskæden med 'Secure by Design'

Software, der prioriterer sikkerhed på sit mest grundlæggende niveau, betyder at designe systemet med kundesikkerhed som et nøglemål snarere end en fastgjort funktion. Og det koncept - sikkert ved design - bliver stadig mere afgørende, efterhånden som angribere begynder at målrette forsyningskæder oftere.

"De forstår, at de kan have en større indflydelse ved succesfuldt at udnytte forsyningskæden," siger Thomas Pace, CEO for NetRise. Fordi traditionelle sikkerhedsløsninger som EDR, firewalls og spamfiltre er blevet gode til at forhindre frontale angreb, siger han, må angriberne lede efter åbninger længere oppe i kæden.

Og sammenklæbte systemer giver netop den form for åbning. "Cyberangreb er nemmere, når virksomheder og leverandører forsøger at 'bolte på' sikkerheden bagefter," siger David Brumley, administrerende direktør for ForAllSecure. "Det er som at sætte et eftermarkedet stereoanlæg i din bil - det virker bare ikke helt rigtigt."

For at forbedre softwaresikkerheden globalt foreslog Cybersecurity and Infrastructure Security Agency (CISA) et initiativ, der sigter mod at revolutionere udviklingspraksis ved at omfavne "secure by design"-principper i softwareudviklingens livscyklus. Det afspejler et afgørende skift i retning af proaktive sikkerhedsforanstaltninger.

anmodning om information fokuserer på at adressere tilbagevendende softwaresårbarheder, styrke den operationelle teknologi og vurdere virkningen af ​​sikker praksis på omkostningerne. Opfordringen til kommentarer, som er åben indtil den 20. februar 2024, understreger også teknologiproducenternes og forbrugernes kollektive ansvar for at skabe en fremtid, hvor teknologien i sagens natur er sikker og sikker.

"Sikker ved design betyder, at sikkerhed er en del af, hvordan du bygger softwaren fra bunden," forklarer Brumley. "Det betyder, at den er meget mere robust mod angreb."

Et grundlæggende sikkerhedsniveau

Ken Dunham, direktør for cybertrusler hos Qualys Threat Research Unit, forklarer, at sikker ved design starter med arkitektur og risikostyringsprincipper i driften, før en organisation migrerer til eller begynder at bruge skyen.

"Dette er et kritisk element i moderne, kompleks hybrid infrastruktur," siger han. "I en verden med delt ansvar skal organisationer beslutte, hvilken risiko der er acceptabel for at blive delt, og potentielt med højere risiko, med tredjeparter i forhold til den, der er fuldt ejet og administreret internt."

Han påpeger, at softwarefremstillings livscyklus bliver mere og mere kompleks, med mange interessenter, som alle skal være sikre for at reducere risikoen. Dunham spørger: "Er dine udviklere, der bekymrer sig om funktionalitet og brugeroplevelser, dygtige til sikre kodningsprincipper, moderne angreb, sikkerhedsmodforanstaltninger og SecOps?"

Organisatoriske sikkerhedsforventninger lægger pres på et onboarding-team for korrekt at udrulle, konfigurere og overvåge software inden for forretningsarkitekturen. "Hvor moden er din hændelsesreaktion og efterretningstjenester for cybertrusler?" han spørger. "Stoler du til dem i en hybrid cloud-verden, hvor du kan have et komplekst indtrængenangreb med lynende hastighed?"

"Når du har de rigtige mennesker, er processen godt forstået," er Brumley enig. "Du bygger produktet med forsvar i dybden, sikrer dig, at dine afhængigheder og tredjepartssoftware er opdateret og bruger en moderne teknik som fuzzing for at finde ukendte sårbarheder."

For Brumley betyder sikker som standard at designe i sikkerhed, der fungerer med, hvordan folk bruger softwaren. "Der er designprincipper, der spænder over flere principper - ligesom når du bygger en skyskraber, skal du tænke på alt fra strukturel støtte til aircondition," forklarer han.

Paradigmeskift påkrævet i IT-sikkerhed

Dunham bemærker, at 2023 var fuld af eksempler hvor løb betingelser eksisteret i nul dage - sårbarheder blev vendt og bevæbnet af dårlige skuespillere hurtigere end organisationer kunne lappe dem.

"Der er stadig nogle organisationer, der kæmper med at lappe Log4J-sårbarheder efter al denne tid," påpeger han.

Han siger, at organisationer skal identificere deres angrebsflade, intern og ekstern, og prioritere aktiver og risikostyring i overensstemmelse hermed for at komme i front, når udnyttelse og angrebsrisiko relateret til en sårbarhed stiger.

Fra Paces perspektiv skal it-sikkerhedsindustrien gennemgå et paradigmeskifte i, hvordan den overvejer risiko, og hvordan den bedst prioriteres - og det kan kun ske med synlighed i forsyningskæden. Han delte et eksempel, hvor en "meget stor organisation" ikke vidste, hvilke afhængigheder dens sikkerhedssystem havde, da den pligtopfyldende opdaterede dette system. "Efter opdateringen blev den scannet af en sårbarhedsscanner, og det blev fastslået, at den seneste kritisk Apache Struts sårbarhed var til stede,” siger han. "Nu har denne organisation introduceret en alvorlig risiko for deres organisation."

Sikkert design i IoT-æraen

John Gallagher, vicepræsident for Viakoo Labs hos Viakoo, siger, at en vigtig udfordring er at designe sikkerhed i langlivede enheder som den del af Internet of Things (IoT), der måske ikke havde sikkerhed som designhensyn i starten.

"Dette kræver mere omfattende test og kan kræve nye tekniske ressourcer," siger han. "På samme måde er indbygning af nye sikkerhedsfunktioner en måde at introducere nye sikkerhedssårbarheder på."

Gallagher siger, at softwareproducenter bør omfavne brugen af ​​softwarestyklister (SBOM'er) for at finde og afhjælpe sårbarheder hurtigere. Han bemærker, at virksomheder indarbejder sikker by design-praksis i nye produkter, som i sidste ende vil være en konkurrencefaktor på markedet.

"Ud over MFA og begrænsede adgangsrettigheder bliver andre foranstaltninger som at eliminere standardadgangskoder og tilvejebringelse af mekanismer til lettere og hurtigere at opdatere firmwaren ved at blive designet til produkter," siger han.

At undgå "sikkerhed gennem obscurity" er et andet princip for sikker design, påpeger Gallagher. SBOM'er og open source-software giver for eksempel sikkerhed ved at tilbyde gennemsigtighed omkring softwarekoden.

Pace siger, at et af de områder, han er mest begejstret for, når det drejer sig om sikker som standard og sikker ved design, er væsentligt bedre synlighed i softwareforsyningskæden. "Når denne synlighed kan opnås, kan vi begynde at virkelig forstå, hvor vores problemer er fra et grundlæggende niveau og derefter begynde at prioritere dem på en måde, der giver mening," siger han.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design