Sperren Sie die Software-Lieferkette mit „Secure by Design“

Software, die Sicherheit auf der grundlegendsten Ebene priorisiert, bedeutet, dass das System so konzipiert wird, dass die Kundensicherheit ein zentrales Ziel ist und nicht nur eine zusätzliche Funktion. Und dieses Konzept – „Security by Design“ – wird immer wichtiger, da Angreifer immer häufiger Lieferketten ins Visier nehmen.

„Sie verstehen, dass sie durch die erfolgreiche Nutzung der Lieferkette eine größere Wirkung erzielen können“, sagt Thomas Pace, CEO von NetRise. Da traditionelle Sicherheitslösungen wie EDR, Firewalls und Spam-Filter Frontalangriffe gut verhindern können, müssen Angreifer seiner Ansicht nach weiter oben in der Kette nach Schwachstellen suchen.

Und zusammengeklebte Systeme bieten genau diese Art von Öffnung. „Cyberangriffe sind einfacher, wenn Unternehmen und Anbieter versuchen, die Sicherheit nachträglich zu verbessern“, sagt David Brumley, CEO von ForAllSecure. „Es ist, als würde man eine Nachrüst-Stereoanlage in sein Auto einbauen – es funktioniert nur nicht ganz richtig.“

Um die Softwaresicherheit weltweit zu verbessern, hat die Cybersecurity and Infrastructure Security Agency (CISA) eine Initiative vorgeschlagen, die darauf abzielt, die Entwicklungspraktiken durch die Einführung von „Secure by Design“-Prinzipien im Softwareentwicklungslebenszyklus zu revolutionieren. Es spiegelt einen entscheidenden Wandel hin zu proaktiven Sicherheitsmaßnahmen wider.

Das Informationsanfrage Der Schwerpunkt liegt auf der Behebung wiederkehrender Softwareschwachstellen, der Stärkung der Betriebstechnologie und der Bewertung der Auswirkungen sicherer Praktiken auf die Kosten. Der Aufruf zur Stellungnahme, der bis zum 20. Februar 2024 läuft, betont auch die kollektive Verantwortung von Technologieherstellern und Verbrauchern bei der Förderung einer Zukunft, in der Technologie von Natur aus sicher ist.

„Secure by Design bedeutet, dass Sicherheit von Grund auf Teil der Entwicklung der Software ist“, erklärt Brumley. „Das bedeutet, dass es viel robuster gegenüber Angriffen ist.“

Ein grundlegendes Maß an Sicherheit

Ken Dunham, Cyber ​​Threat Director bei der Qualys Threat Research Unit, erklärt, dass „Secure by Design“ bei der Architektur und den Risikomanagementprinzipien im Betrieb beginnt, bevor ein Unternehmen in die Cloud migriert oder mit der Nutzung der Cloud beginnt.

„Dies ist ein entscheidendes Element einer modernen, komplexen Hybridinfrastruktur“, sagt er. „In einer Welt der geteilten Verantwortung müssen Organisationen entscheiden, welches Risiko mit Dritten geteilt werden kann und möglicherweise einem höheren Risiko ausgesetzt ist als das, das vollständig im eigenen Besitz liegt und intern verwaltet wird.“

Er weist darauf hin, dass der Lebenszyklus der Softwareherstellung immer komplexer wird und viele Stakeholder alle sicher sein müssen, um Risiken zu reduzieren. Dunham fragt: „Sind Ihre Entwickler, denen Funktionalität und Benutzererfahrung am Herzen liegen, mit sicheren Codierungsprinzipien, modernen Angriffen, Sicherheitsgegenmaßnahmen und SecOps vertraut?“

Organisatorische Sicherheitserwartungen setzen ein Onboarding-Team unter Druck, Software innerhalb der Geschäftsarchitektur ordnungsgemäß einzuführen, zu konfigurieren und zu überwachen. „Wie ausgereift sind Ihre Incident-Response- und Cyber-Threat-Intelligence-Services?“ er fragt. „Vertrauen Sie ihnen in einer Hybrid-Cloud-Welt, in der es möglicherweise mit rasender Geschwindigkeit zu einem komplexen Einbruchsangriff kommt?“

„Sobald man die richtigen Leute hat, ist der Prozess gut verstanden“, stimmt Brumley zu. „Sie entwerfen das Produkt mit umfassender Verteidigung, stellen sicher, dass Ihre Abhängigkeiten und Software von Drittanbietern auf dem neuesten Stand sind, und verwenden moderne Techniken wie Fuzzing, um unbekannte Schwachstellen zu finden.“

Für Brumley bedeutet „standardmäßig sicher“, dass Sicherheit entwickelt wird, die sich an der Art und Weise anpasst, wie Benutzer die Software verwenden. „Es gibt Designprinzipien, die mehrere Prinzipien umfassen – genau wie beim Bau eines Wolkenkratzers muss man an alles denken, von der strukturellen Unterstützung bis zur Klimaanlage“, erklärt er.

Paradigmenwechsel in der IT-Sicherheit erforderlich

Dunham stellt fest, dass das Jahr 2023 war voller Beispiele woher Rennbedingungen existierte null Tage lang – Schwachstellen wurden von böswilligen Akteuren schneller behoben und als Waffe genutzt Organisationen könnten sie patchen.

„Es gibt immer noch einige Organisationen, die nach all der Zeit Schwierigkeiten haben, Log4J-Schwachstellen zu schließen“, betont er.

Er sagt, dass Unternehmen ihre Angriffsfläche (intern und extern) identifizieren und Ressourcen und Risikomanagement entsprechend priorisieren müssen, um vorne dabei zu sein, wenn das Ausnutzungs- und Angriffsrisiko im Zusammenhang mit einer Schwachstelle zunimmt.

Aus Paces Sicht muss die IT-Sicherheitsbranche einen Paradigmenwechsel hinsichtlich der Art und Weise durchlaufen, wie sie Risiken einschätzt und wie sie diese am besten priorisiert – und dies kann nur mit Transparenz in der Lieferkette geschehen. Er erzählte von einem Beispiel, in dem eine „sehr große Organisation“ nicht wusste, welche Abhängigkeiten ihr Sicherheitssystem hatte, als sie dieses System pflichtbewusst aktualisierte. „Nach dem Update wurde es von einem Schwachstellenscanner gescannt und es wurde festgestellt, dass es aktuell war Kritische Schwachstelle in Apache Struts war anwesend“, sagt er. „Jetzt hat diese Organisation ein ernstes Risiko für ihre Organisation geschaffen.“

Sicheres Design im IoT-Zeitalter

John Gallagher, Vizepräsident von Viakoo Labs bei Viakoo, sagt, dass eine der größten Herausforderungen darin besteht, Sicherheit in langlebige Geräte wie jene Teile des Internets der Dinge (IoT) zu integrieren, bei denen die Sicherheit ursprünglich möglicherweise nicht als Designüberlegung berücksichtigt wurde.

„Dies erfordert umfangreichere Tests und erfordert möglicherweise neue technische Ressourcen“, sagt er. „Ebenso ist der Einbau neuer Sicherheitsfunktionen eine Möglichkeit, neue Sicherheitslücken zu schaffen.“

Laut Gallagher sollten Softwarehersteller den Einsatz von Software-Stücklisten (SBOMs) nutzen, um Schwachstellen schneller zu finden und zu beheben. Er weist darauf hin, dass Unternehmen „Secure by Design“-Praktiken in neue Produkte integrieren, was letztendlich ein Wettbewerbsfaktor auf dem Markt sein wird.

„Zusätzlich zu MFA und eingeschränkten Zugriffsrechten werden weitere Maßnahmen wie die Abschaffung von Standardkennwörtern und die Bereitstellung von Mechanismen zur einfacheren und schnelleren Aktualisierung der Firmware in Produkte integriert“, sagt er.

Gallagher betont, dass die Vermeidung von „Sicherheit durch Unklarheit“ ein weiterer Grundsatz von „Secure by Design“ sei. SBOMs und Open-Source-Software bieten beispielsweise Sicherheit, indem sie Transparenz rund um den Softwarecode bieten.

Laut Pace ist einer der Bereiche, der ihn im Zusammenhang mit „Secure by Default“ und „Secure by Design“ am meisten begeistert, die deutlich bessere Transparenz der Software-Lieferkette. „Sobald diese Sichtbarkeit erreicht ist, können wir von Grund auf wirklich verstehen, wo unsere Probleme liegen, und dann beginnen, sie auf eine sinnvolle Weise zu priorisieren“, sagt er.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design