Υπήρχε πάντα μια αντιστάθμιση στον τομέα της πληροφορικής μεταξύ της αποστολής νέων χαρακτηριστικών και της λειτουργικότητας έναντι της εξόφλησης τεχνικού χρέους, που περιλαμβάνει πράγματα όπως η αξιοπιστία, η απόδοση, οι δοκιμές… και ναι, η ασφάλεια.
Σε αυτήν την εποχή του «ship fast and break things», η συσσώρευση χρεών ασφαλείας είναι μια απόφαση που λαμβάνουν εθελοντικά οι οργανισμοί. Κάθε οργανισμός έχει εργασίες ασφαλείας γεμισμένες στα ανεκτέλεστα του Jira για «κάποια μέρα» — πράγματα όπως η ανάπτυξη ενημερώσεων κώδικα ασφαλείας και η εκτέλεση των πιο πρόσφατων, πιο σταθερών εκδόσεων γλωσσών προγραμματισμού και πλαισίων. Το να κάνεις το σωστό απαιτεί χρόνο και οι ομάδες αναβάλλουν εσκεμμένα αυτές τις εργασίες επειδή δίνουν προτεραιότητα σε νέες δυνατότητες. Ένα μεγάλο μέρος της δουλειάς του CISO είναι να αναγνωρίζει εκείνες τις στιγμές που πρέπει να πληρωθούν τα χρέη ασφαλείας.
Ένα πράγμα που έκανε το Log4j exploit Τόσο ανησυχητική για τους CISO ήταν η συνειδητοποίηση ότι υπήρχε αυτό το τεράστιο συσσωρευμένο χρέος που δεν ήταν καν στο ραντάρ τους. Αποκάλυψε μια κρυφή κατηγορία κενών ασφαλείας μεταξύ έργων ανοιχτού κώδικα και των οικοσυστημάτων των δημιουργών, των συντηρητών, των διαχειριστών πακέτων και των οργανισμών που τα χρησιμοποιούν.
Η ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού είναι ένα μοναδικό στοιχείο γραμμής στον ισολογισμό χρεών ασφαλείας, αλλά οι CISO μπορούν να καταρτίσουν ένα συνεκτικό σχέδιο για την εξόφλησή του.
Μια νέα κατηγορία ευπάθειας
Οι περισσότερες εταιρείες έχουν γίνει πολύ καλές στο κλείδωμα της ασφάλειας του δικτύου τους. Ωστόσο, υπάρχει μια ολόκληρη κατηγορία εκμεταλλεύσεων που είναι δυνατές, επειδή τα συστήματα κατασκευής προγραμματιστών και τα τεχνουργήματα λογισμικού που χρησιμοποιούν για τη σύνταξη εφαρμογών δεν διαθέτουν μηχανισμό εμπιστοσύνης ή ασφαλή αλυσίδα φύλαξης.
Σήμερα, όποιος έχει κοινή λογική ξέρει να μην παίρνει μια τυχαία μονάδα αντίχειρα και να την συνδέσει στον υπολογιστή του λόγω των κινδύνων ασφαλείας. Αλλά εδώ και δεκαετίες, οι προγραμματιστές κατέβαζαν πακέτα ανοιχτού κώδικα χωρίς τρόπο να επαληθεύσετε ότι είναι ασφαλή.
Οι κακοί ηθοποιοί εκμεταλλεύονται αυτόν τον φορέα επίθεσης, επειδή είναι το νέο φρούτο με χαμηλά επίπεδα. Συνειδητοποιούν ότι μπορούν να αποκτήσουν πρόσβαση μέσα από αυτές τις τρύπες, και μόλις μπουν μέσα, περιστρέφονται σε όλα τα άλλα συστήματα που έχουν εξαρτήσεις από οποιοδήποτε ανασφαλές τεχνούργημα χρησιμοποίησαν για να εισέλθουν.
Σταματήστε το σκάψιμο κλειδώνοντας τα συστήματα κατασκευής
Το θεμελιώδες σημείο εκκίνησης για τους CISO, εγκεκριμένο σε υλικά όπως ο οδηγός προγραμματιστή "Ασφάλιση της Εφοδιαστικής Αλυσίδας Λογισμικού, είναι να αρχίσετε να χρησιμοποιείτε πλαίσια ανοιχτού κώδικα όπως το Secure Software Development Framework (SSDF) του NIST και το OpenSSF Επίπεδα εφοδιαστικής αλυσίδας για τεχνουργήματα λογισμικού (SLSA). Αυτά είναι βασικά συνταγογραφικά βήματα για το κλείδωμα της εφοδιαστικής αλυσίδας σας. Το SLSA Level 1 είναι η χρήση ενός συστήματος κατασκευής. Το επίπεδο 2 είναι η εξαγωγή ορισμένων αρχείων καταγραφής και μεταδεδομένων (ώστε να μπορείτε αργότερα να αναζητήσετε τα πράγματα και να κάνετε απόκριση περιστατικού). Το Επίπεδο 3 είναι να ακολουθήσετε μια σειρά από βέλτιστες πρακτικές. Επίπεδο 4 είναι η χρήση ενός πραγματικά ασφαλούς συστήματος κατασκευής. Ακολουθώντας αυτά τα πρώτα βήματα, οι CISO μπορούν να δημιουργήσουν μια ισχυρή βάση για τη δημιουργία μιας αλυσίδας εφοδιασμού λογισμικού που είναι ασφαλής από προεπιλογή.
Τα πράγματα γίνονται πιο διαφοροποιημένα καθώς οι CISO σκέφτονται τις πολιτικές σχετικά με τον τρόπο με τον οποίο οι ομάδες προγραμματιστών αποκτούν λογισμικό ανοιχτού κώδικα αρχικά. Πώς γνωρίζουν οι προγραμματιστές ποιες είναι οι πολιτικές της εταιρείας τους για ό,τι θεωρείται «ασφαλές»; Και πώς ξέρουν ότι ο ανοιχτός κώδικας που αποκτούν (που αποτελεί το μεγάλη πλειοψηφία όλων των λογισμικών που χρησιμοποιούν οι προγραμματιστές αυτές τις μέρες) είναι όντως απαρατήρητο;
Με το κλείδωμα των συστημάτων κατασκευής και τη δημιουργία μιας επαναλαμβανόμενης μεθόδου για την επαλήθευση της προέλευσης των τεχνουργημάτων λογισμικού πριν τα φέρουν στο περιβάλλον, οι CISO μπορούν ουσιαστικά να σταματήσουν να σκάβουν μια βαθύτερη τρύπα για τον οργανισμό τους στο χρέος ασφάλειας.
Τι γίνεται με την πληρωμή παλιού χρέους ασφάλειας εφοδιαστικής αλυσίδας λογισμικού;
Αφού σταματήσατε να σκάβετε κλειδώνοντας τις βασικές σας εικόνες και τα περιβάλλοντα κατασκευής, τώρα πρέπει να ενημερώσετε το λογισμικό σας και να επιδιορθώσετε τα τρωτά σημεία σας, συμπεριλαμβανομένων των βασικών εκδόσεων εικόνων.
Η ενημέρωση λογισμικού και η επιδιόρθωση των CVE είναι εξαιρετικά κουραστική. Είναι βαρετό, είναι χρονοβόρο, είναι αγγαρεία — είναι δουλειά. Είναι το «φάτε τα λαχανικά σας» της κυβερνοασφάλειας. Η αποπληρωμή αυτού του χρέους απαιτεί μια βαθιά συνεργασία μεταξύ των CISO και των ομάδων ανάπτυξης. Είναι επίσης μια ευκαιρία και για τις δύο ομάδες να συμφωνήσουν σε πιο ασφαλή, παραγωγικά εργαλεία και διαδικασίες που μπορούν να βοηθήσουν να γίνει ασφαλής η αλυσίδα εφοδιασμού λογισμικού ενός οργανισμού από προεπιλογή.
Όπως σε μερικούς ανθρώπους δεν αρέσει η αλλαγή, σε ορισμένες ομάδες λογισμικού δεν αρέσει να ενημερώνουν τις εικόνες βάσης κοντέινερ. Η εικόνα βάσης είναι το πρώτο επίπεδο εφαρμογών λογισμικού που βασίζονται σε κοντέινερ. Η ενημέρωση μιας βασικής εικόνας σε μια νέα έκδοση μπορεί μερικές φορές να σπάσει την εφαρμογή λογισμικού, ειδικά εάν υπάρχει ανεπαρκής κάλυψη δοκιμής. Έτσι, ορισμένες ομάδες λογισμικού προτιμούν το status quo, ουσιαστικά περιπλανώνται επ' αόριστον σε μια λειτουργική βασική έκδοση εικόνας που είναι πιθανό να συσσωρεύει CVE καθημερινά.
Για να αποφευχθεί αυτή η συσσώρευση τρωτών σημείων, οι ομάδες λογισμικού θα πρέπει να ενημερώνουν συχνά τις εικόνες με μικρές αλλαγές και να χρησιμοποιούν πρακτικές «δοκιμών στην παραγωγή», όπως οι απελευθερώσεις καναρινιών. Χρήση εικόνων κοντέινερ που είναι σκληρυμένα, ελάχιστου μεγέθους και κατασκευασμένα με κρίσιμα μεταδεδομένα ασφάλειας της αλυσίδας εφοδιασμού λογισμικού, όπως λογαριασμούς υλικών λογισμικού (SBOM), η προέλευση και οι υπογραφές, μπορούν να βοηθήσουν στην ανακούφιση του χρονοβόρου πόνου της καθημερινής διαχείρισης ευπάθειας στις βασικές εικόνες. Αυτές οι τεχνικές επιτυγχάνουν τη σωστή ισορροπία μεταξύ της διατήρησης της ασφάλειας και της διασφάλισης ότι η παραγωγή δεν θα μειωθεί.
Ξεκινήστε να πληρώνετε όσο πηγαίνετε
Αυτό που είναι μοναδικά δυσάρεστο με το χρέος χρεογράφων είναι ότι όταν συνεχίζετε να το καταθέτετε για «κάποια μέρα», συνήθως σηκώνει το κεφάλι του όταν είστε πιο ευάλωτοι και έχετε την οικονομική δυνατότητα να το πληρώσετε. Η ευπάθεια Log4j εμφανίστηκε ακριβώς πριν από τον πολυάσχολο κύκλο του ηλεκτρονικού εμπορίου των διακοπών και ακρωτηρίασε πολλές ομάδες μηχανικών και ασφάλειας μέσα στο επόμενο έτος. Κανένας CISO δεν θέλει να έχει κρυφές εκπλήξεις ασφαλείας.
Κάθε CISO θα πρέπει να κάνει μια ελάχιστη επένδυση σε πιο ασφαλή συστήματα κατασκευής, μεθόδους υπογραφής λογισμικού για να καθορίσει την προέλευση του λογισμικού πριν το φέρουν οι προγραμματιστές στο περιβάλλον και σκληρυμένες, ελάχιστες εικόνες βάσης κοντέινερ που μειώνουν την επιφάνεια επίθεσης στη βάση του λογισμικού και των εφαρμογών .
Πιο βαθιά σε αυτήν την τεράστια εξόφληση του χρέους ασφάλειας της αλυσίδας εφοδιασμού λογισμικού, οι CISO αντιμετωπίζουν ένα αίνιγμα για το πόσα είναι πρόθυμα να πληρώσουν οι προγραμματιστές τους καθώς προχωρούν (με συνεχή ενημέρωση βασικών εικόνων και λογισμικού με τρωτά σημεία) έναντι αναβολής αυτού του χρέους και επίτευξης αποδεκτού επιπέδου τρωτό.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :έχει
- :είναι
- :δεν
- $UP
- 1
- 7
- a
- Σχετικα
- αποδεκτό
- πρόσβαση
- Συσσωρευμένος
- συσσώρευση
- την επίτευξη
- αποκτούν
- απόκτηση
- φορείς
- Όλα
- ανακουφίζω
- Επίσης
- πάντοτε
- an
- και
- κάποιος
- Εφαρμογή
- εφαρμογές
- ΕΙΝΑΙ
- AS
- At
- επίθεση
- αποφύγετε
- μακριά
- Υπόλοιπο
- Ισολογισμός
- βάση
- Βασικα
- BE
- επειδή
- ήταν
- πριν
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- μεταξύ
- Μεγάλος
- Γραμμάτια
- Βαρετό
- και οι δύο
- Διακοπή
- φέρω
- Φέρνοντας
- χτίζω
- Κτίριο
- χτισμένο
- απασχολημένος
- αλλά
- by
- CAN
- κεφαλαιοποίηση
- αλυσίδα
- αλλαγή
- Αλλαγές
- CISO
- τάξη
- ΣΥΝΑΦΗΣ
- συνεργασία
- Κοινός
- Εταιρείες
- εταίρα
- υπολογιστή
- θεωρούνται
- Δοχείο
- συνεχώς
- αίνιγμα
- κάλυψη
- δημιουργία
- δημιουργία
- δημιουργούς
- κρίσιμης
- Επιμέλεια
- Κυβερνασφάλεια
- κύκλος
- καθημερινά
- Ημ.
- Χρέος
- δεκαετίες
- απόφαση
- βαθύς
- βαθύτερη
- Προεπιλογή
- ανάπτυξη
- Εργολάβος
- προγραμματιστές
- Ανάπτυξη
- do
- doesn
- πράξη
- Don
- κάτω
- αυτοκίνητο
- δυο
- e-commerce
- τρώνε
- οικοσυστήματα
- αποτελεσματικά
- Μηχανική
- καταχώριση
- Περιβάλλον
- περιβάλλοντα
- Εποχή
- ειδικά
- κατ 'ουσίαν,
- εγκαθιδρύω
- Even
- Κάθε
- εκμεταλλεύεται
- εξαγωγή
- εκτεθειμένος
- Πρόσωπο
- FAST
- Χαρακτηριστικά
- Κατάθεση
- Όνομα
- πρώτα βήματα
- ακολουθήστε
- Εξής
- Για
- Θεμέλιο
- Πλαίσιο
- πλαισίων
- συχνά
- λειτουργικότητα
- θεμελιώδης
- Κέρδος
- κενά
- παίρνω
- Go
- καλός
- καθοδηγήσει
- Έχω
- κεφάλι
- βοήθεια
- κρυμμένο
- Τρύπα
- Τρύπες
- Αργία
- Πως
- HTTPS
- τεράστιος
- if
- εικόνα
- εικόνες
- in
- περιστατικό
- απάντηση περιστατικού
- περιλαμβάνει
- Συμπεριλαμβανομένου
- ανασφαλής
- μέσα
- σε
- επένδυση
- IT
- ΤΟΥ
- Δουλειά
- μόλις
- Διατήρηση
- Ξέρω
- Γλώσσες
- αργότερα
- στρώμα
- ελάχιστα
- Επίπεδο
- επίπεδα
- Μόχλευση
- Μου αρέσει
- Πιθανός
- γραμμή
- log4j
- ματιά
- που
- κάνω
- Κατασκευή
- διαχείριση
- Διευθυντές
- πολοί
- μαζική
- υλικά
- μηχανισμός
- Μεταδεδομένα
- μέθοδος
- μέθοδοι
- ελάχιστος
- ελάχιστο
- Στιγμές
- περισσότερο
- πλέον
- πολύ
- πρέπει
- Ανάγκη
- δίκτυο
- Ασφάλεια Δικτύων
- Νέα
- Νέες δυνατότητες
- Νέα
- nist
- Όχι.
- τώρα
- of
- Παλιά
- on
- μια φορά
- ανοίξτε
- ανοικτού κώδικα
- Ευκαιρία
- or
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- επί
- πακέτο
- καταβλήθηκε
- Πόνος
- μέρος
- Patch
- Patches
- Διόρθωση
- Πληρωμή
- πληρώνουν
- People
- επίδοση
- επιλέξτε
- άξονας περιστροφής
- Μέρος
- σχέδιο
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- βύσμα
- Σημείο
- Πολιτικές
- δυνατός
- πρακτικές
- προτιμώ
- ιεράρχηση
- Διεργασίες
- παραγωγή
- παραγωγικός
- Προγραμματισμός
- γλώσσες προγραμματισμού
- έργα
- προέλευση
- βάζω
- ραντάρ
- τυχαίος
- RE
- πραγματοποίηση
- συνειδητοποιήσουν
- πραγματικά
- αναγνωρίζοντας
- μείωση
- Δελτία
- αξιοπιστία
- επαναληπτός
- Απαιτεί
- απάντησης
- δεξιά
- κινδύνους
- τρέξιμο
- s
- ένα ασφαλές
- προστατευμένο περιβάλλον
- ασφάλεια
- κινδύνους ασφάλειας
- αίσθηση
- Σειρές
- σεντόνι
- ΠΛΟΙΟ
- Shipping
- θα πρέπει να
- Υπογραφές
- υπογραφή
- Μέγεθος
- small
- So
- λογισμικό
- ανάπτυξη λογισμικού
- μερικοί
- κάποια μέρα
- Πηγή
- σταθερός
- Εκκίνηση
- Ξεκινήστε
- Κατάσταση
- Βήματα
- στάση
- σταμάτησε
- απεργία
- ισχυρός
- Σούπερ
- προμήθεια
- αλυσίδας εφοδιασμού
- βέβαιος
- Επιφάνεια
- εκπλήξεις
- σύστημα
- συστήματα
- παίρνει
- εργασίες
- ομάδες
- Τεχνικός
- τεχνικές
- δοκιμή
- Δοκιμές
- ότι
- Η
- τους
- Τους
- Εκεί.
- Αυτοί
- αυτοί
- πράγμα
- πράγματα
- νομίζω
- αυτό
- εκείνοι
- Μέσω
- ώρα
- χρονοβόρος
- προς την
- μαζι
- Εμπιστευθείτε
- συνήθως
- μοναδικός
- μοναδικώς
- Ενημέρωση
- ενημέρωση
- χρήση
- μεταχειρισμένος
- χρησιμοποιώντας
- Ve
- επαληθεύει
- εκδοχή
- Εναντίον
- οικειοθελώς
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- θέλει
- ήταν
- δεν ήταν
- Τρόπος..
- ΛΟΙΠΌΝ
- Τι
- ανεξαρτήτως
- πότε
- Ποιό
- Ο ΟΠΟΊΟΣ
- ολόκληρο
- πρόθυμος
- με
- Εργασία
- εργαζόμενος
- γράφω
- έτος
- Ναί
- Εσείς
- Σας
- zephyrnet