In der IT gab es schon immer einen Kompromiss zwischen der Bereitstellung neuer Features und Funktionen und der Tilgung technischer Schulden, zu denen Dinge wie Zuverlässigkeit, Leistung, Tests … und ja, Sicherheit gehören.
Im Zeitalter des „Schnell versenden und Dinge kaputt machen“ ist die Anhäufung von Sicherheitsschulden eine Entscheidung, die Unternehmen freiwillig treffen. Jede Organisation hat für „irgendwann“ Sicherheitsaufgaben in ihren Jira-Backlogs – Dinge wie die Bereitstellung von Sicherheitspatches und die Ausführung der neuesten, stabilsten Versionen von Programmiersprachen und Frameworks. Es braucht Zeit, das Richtige zu tun, und Teams verschieben diese Aufgaben absichtlich, weil sie neuen Funktionen Priorität einräumen. Ein großer Teil der Aufgabe des CISO besteht darin, die Momente zu erkennen, in denen Sicherheitsschulden beglichen werden müssen.
Eine Sache, die das gemacht hat Log4j-Exploit So alarmierend war für CISOs die Erkenntnis, dass es diese riesigen angehäuften Schulden gab, die sie nicht einmal auf dem Schirm hatten. Es deckte eine verborgene Klasse von Sicherheitslücken zwischen Open-Source-Projekten und den Ökosystemen der Ersteller, Betreuer, Paketmanager und Organisationen auf, die sie nutzen.
Die Sicherheit der Software-Lieferkette ist ein einzigartiger Posten in der Bilanz der Sicherheitsschulden, aber CISOs können einen kohärenten Plan für die Tilgung dieser Schulden aufstellen.
Eine neue Klasse von Sicherheitslücken
Die meisten Unternehmen sind wirklich gut darin geworden, ihre Netzwerksicherheit zu schützen. Aber es gibt eine ganze Reihe von Exploits, die möglich sind, weil Entwickler-Build-Systeme und die Software-Artefakte, die sie zum Schreiben von Anwendungen nutzen, keinen Vertrauensmechanismus oder keine sichere Aufbewahrungskette haben.
Heutzutage weiß jeder mit gesundem Menschenverstand, dass er aufgrund der Sicherheitsrisiken nicht einfach einen beliebigen USB-Stick in die Hand nehmen und an seinen Computer anschließen sollte. Aber seit Jahrzehnten laden Entwickler herunter Open-Source-Pakete ohne Möglichkeit zu überprüfen, ob sie sicher sind.
Bösewichte machen sich diesen Angriffsvektor zunutze, weil er die neue, niedrig hängende Frucht ist. Sie erkennen, dass sie sich durch diese Löcher Zugang verschaffen können, und sobald sie drin sind, gelangen sie zu allen anderen Systemen, die von den unsicheren Artefakten abhängig sind, mit denen sie sich Zutritt verschafft haben.
Stoppen Sie das Graben, indem Sie Build-Systeme sperren
Der grundlegende Ausgangspunkt für CISOs, unterstützt in Materialien wie dem Entwicklerleitfaden „Sicherung der Software-Lieferkette„ist der Beginn der Nutzung von Open-Source-Frameworks wie dem Secure Software Development Framework (SSDF) von NIST und OpenSSF Lieferkettenebenen für Softwareartefakte (SLSA). Hierbei handelt es sich grundsätzlich um vorgeschriebene Schritte zur Abriegelung Ihrer Lieferkette. SLSA Level 1 besteht darin, ein Build-System zu verwenden. Stufe 2 besteht darin, einige Protokolle und Metadaten zu exportieren (damit Sie später nachschlagen und auf Vorfälle reagieren können). Stufe 3 besteht darin, eine Reihe von Best Practices zu befolgen. Stufe 4 besteht darin, ein wirklich sicheres Build-System zu verwenden. Durch die Befolgung dieser ersten Schritte können CISOs eine solide Grundlage für den Aufbau einer standardmäßig sicheren Software-Lieferkette schaffen.
Die Dinge werden nuancierter, wenn CISOs über Richtlinien darüber nachdenken, wie Entwicklerteams überhaupt Open-Source-Software erwerben. Woher wissen Entwickler, welche Richtlinien ihres Unternehmens für „sicher“ gelten? Und woher wissen sie, dass die Open Source, die sie erwerben (die die darstellt große Mehrheit aller Software, die heutzutage von Entwicklern verwendet wird) tatsächlich unverfälscht ist?
Durch das Sperren von Build-Systemen und die Schaffung einer wiederholbaren Methode zur Überprüfung der Herkunft von Software-Artefakten, bevor sie in die Umgebung gebracht werden, können CISOs effektiv verhindern, dass die Sicherheitsschulden ihres Unternehmens noch tiefer gerissen werden.
Wie wäre es mit der Tilgung alter Software-Sicherheitsschulden in der Lieferkette?
Nachdem Sie mit der Suche nach dem Sperren Ihrer Basis-Images und Build-Umgebungen aufgehört haben, müssen Sie jetzt Ihre Software aktualisieren und Ihre Schwachstellen, einschließlich der Basis-Image-Versionen, beheben.
Das Aktualisieren von Software und das Patchen von CVEs ist äußerst mühsam. Es ist langweilig, es ist zeitaufwändig, es ist eine lästige Pflicht – es ist Arbeit. Es ist das „Essen Sie Ihr Gemüse“ der Cybersicherheit. Die Tilgung dieser Schulden erfordert eine intensive Zusammenarbeit zwischen CISOs und Entwicklungsteams. Es ist auch eine Gelegenheit für beide Teams, sich auf sicherere, produktivere Tools und Prozesse zu einigen, die dazu beitragen können, die Software-Lieferkette eines Unternehmens standardmäßig sicher zu machen.
So wie manche Leute keine Veränderungen mögen, mögen es manche Softwareteams auch nicht, ihre Container-Basisimages zu aktualisieren. Das Basisimage ist die erste Schicht von Container-basierten Softwareanwendungen. Das Aktualisieren eines Basisimages auf eine neue Version kann manchmal zu Störungen der Softwareanwendung führen, insbesondere wenn die Testabdeckung nicht ausreichend ist. Daher bevorzugen einige Softwareteams den Status Quo und verharren praktisch auf unbestimmte Zeit auf einer funktionierenden Basis-Image-Version, die wahrscheinlich täglich CVEs ansammelt.
Um diese Anhäufung von Schwachstellen zu vermeiden, sollten Softwareteams Images häufig mit kleinen Änderungen aktualisieren und „Testing in Production“-Praktiken wie Canary Releases anwenden. Verwendung von Container-Images, die gehärtet sind, eine minimale Größe haben und mit kritischen Metadaten zur Sicherheit der Software-Lieferkette erstellt wurden, z Softwarestücklisten (SBOMs), Herkunft und Signaturen können dazu beitragen, den zeitaufwändigen Aufwand des täglichen Schwachstellenmanagements in Basis-Images zu lindern. Diese Techniken schaffen das richtige Gleichgewicht zwischen der Gewährleistung der Sicherheit und der Sicherstellung, dass die Produktion nicht ausfällt.
Beginnen Sie mit dem Bezahlen, während Sie unterwegs sind
Das besonders Unangenehme an Sicherheitsschulden ist, dass sie, wenn man sie einfach für „irgendwann“ abgelegt hat, typischerweise dann zum Vorschein kommen, wenn man am schwächsten ist und es sich am wenigsten leisten kann, sie zu bezahlen. Die Log4j-Schwachstelle trat kurz vor dem geschäftigen Feiertags-E-Commerce-Zyklus auf und legte viele Technik- und Sicherheitsteams bis weit in das darauffolgende Jahr hinein lahm. Kein CISO möchte, dass versteckte Sicherheitsüberraschungen auf ihn lauern.
Jeder CISO sollte eine Mindestinvestition in sicherere Build-Systeme, Software-Signaturmethoden zur Feststellung der Herkunft der Software, bevor Entwickler sie in die Umgebung bringen, und gehärtete, minimale Container-Basis-Images tätigen, die die Angriffsfläche auf der Grundlage von Software und Anwendungen verringern .
Bei tieferer Betrachtung dieser massiven Rückzahlung von Sicherheitsschulden in der Software-Lieferkette stehen CISOs vor der Frage, wie viel sie bereit sind, ihre Entwickler nach und nach bezahlen zu lassen (indem sie Basis-Images und Software kontinuierlich mit Schwachstellen aktualisieren) oder diese Schulden aufzuschieben und ein akzeptables Niveau zu erreichen Verletzlichkeit.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :hast
- :Ist
- :nicht
- $UP
- 1
- 7
- a
- Über Uns
- akzeptabel
- Zugang
- Angesammelt
- Anhäufung
- Erreichen
- erwerben
- Erwerb
- Akteure
- Alle
- lindern
- ebenfalls
- immer
- an
- und
- jemand
- Anwendung
- Anwendungen
- SIND
- AS
- At
- Attacke
- vermeiden
- ein Weg
- Balance
- Bilanz
- Base
- Grundsätzlich gilt
- BE
- weil
- war
- Bevor
- BESTE
- Best Practices
- zwischen
- Big
- Banknoten
- Bohren
- beide
- Break
- bringen
- Bringing
- bauen
- Building
- erbaut
- beschäftigt
- aber
- by
- CAN
- Aktivierung
- Kette
- Übernehmen
- Änderungen
- KKV
- Klasse
- KOHÄRENT
- Zusammenarbeit
- gemeinsam
- Unternehmen
- Unternehmen
- Computer
- betrachtet
- Container
- ständig
- Rätsel
- Berichterstattung
- erstellen
- Erstellen
- Schöpfer
- kritischem
- Sorgerecht
- Internet-Sicherheit
- Zyklus
- Unterricht
- Tage
- Schulden
- Jahrzehnte
- Entscheidung
- tief
- tiefer
- Standard
- Bereitstellen
- Entwickler:in / Unternehmen
- Entwickler
- Entwicklung
- do
- doesn
- Dabei
- Don
- nach unten
- Antrieb
- zwei
- e-commerce
- essen
- Ecosystems
- effektiv
- Entwicklung
- Eintrag
- Arbeitsumfeld
- Umgebungen
- Era
- insbesondere
- im Wesentlichen
- etablieren
- Sogar
- Jedes
- Abenteuer
- exportieren
- ausgesetzt
- Gesicht
- FAST
- Eigenschaften
- Einreichung
- Vorname
- erste Schritte
- folgen
- Folgende
- Aussichten für
- Foundation
- Unser Ansatz
- Gerüste
- häufig
- Funktionalität
- fundamental
- Gewinnen
- Lücken
- bekommen
- Go
- gut
- Guide
- Haben
- ganzer
- Hilfe
- versteckt
- Loch
- Bohrungen
- Urlaub
- Ultraschall
- HTTPS
- riesig
- if
- Image
- Bilder
- in
- Zwischenfall
- Vorfallreaktion
- Dazu gehören
- Einschließlich
- unsicher
- innerhalb
- in
- Investition
- IT
- SEINE
- Job
- nur
- Behalten
- Wissen
- Sprachen
- später
- Schicht
- am wenigsten
- Niveau
- Cholesterinspiegel
- Hebelwirkung
- Gefällt mir
- wahrscheinlich
- Line
- log4j
- aussehen
- gemacht
- um
- Making
- Management
- Manager
- viele
- massiv
- Materialien
- Mechanismus
- Metadaten
- Methode
- Methoden
- minimal
- Minimum
- Moments
- mehr
- vor allem warme
- viel
- sollen
- Need
- Netzwerk
- Netzwerksicherheit
- Neu
- Neue Funktionen
- Neueste
- nist
- nicht
- jetzt an
- of
- Alt
- on
- einmal
- XNUMXh geöffnet
- Open-Source-
- Gelegenheit
- or
- Organisation
- Organisationen
- Andere
- übrig
- Paket
- bezahlt
- Schmerzen
- Teil
- Patch
- Patches
- Patchen
- AUFMERKSAMKEIT
- zahlen
- Personen
- Leistung
- wählen
- Drehpunkt
- Ort
- Plan
- Plato
- Datenintelligenz von Plato
- PlatoData
- Stecker
- Points
- Politik durchzulesen
- möglich
- Praktiken
- bevorzugen
- Priorisierung
- anpassen
- Produktion
- produktiv
- Programmierung
- Programmiersprachen
- Projekte
- Herkunft
- setzen
- Radar
- zufällig
- RE
- Realisierung
- realisieren
- wirklich
- erkennen
- Veteran
- Mitteilungen
- Zuverlässigkeit
- wiederholbar
- erfordert
- Antwort
- Recht
- Risiken
- Laufen
- s
- Safe
- Verbindung
- Sicherheitdienst
- Sicherheitsrisiken
- Sinn
- Modellreihe
- Blatt
- SCHIFF
- Versand
- sollte
- Unterschriften
- Unterzeichnung
- Größe
- klein
- So
- Software
- Software-Entwicklung
- einige
- irgendwann mal
- Quelle
- stabil
- Anfang
- Beginnen Sie
- Status
- Shritte
- Stoppen
- gestoppt
- Streik
- stark
- Super
- liefern
- Supply Chain
- sicher
- Oberfläche
- Überraschungen
- System
- Systeme und Techniken
- nimmt
- und Aufgaben
- Teams
- Technische
- Techniken
- Test
- Testen
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Dort.
- Diese
- vom Nutzer definierten
- Ding
- think
- fehlen uns die Worte.
- diejenigen
- Durch
- Zeit
- Zeitaufwendig
- zu
- gemeinsam
- Vertrauen
- typisch
- einzigartiges
- einzigartig
- Aktualisierung
- Aktualisierung
- -
- benutzt
- Verwendung von
- Ve
- überprüfen
- Version
- Gegen
- freiwillig
- Sicherheitslücken
- Verwundbarkeit
- Verwundbar
- will
- wurde
- war
- Weg..
- GUT
- Was
- was auch immer
- wann
- welche
- WHO
- ganze
- bereit
- mit
- Arbeiten
- arbeiten,
- schreiben
- Jahr
- ja
- Du
- Ihr
- Zephyrnet