Κλείδωμα της εφοδιαστικής αλυσίδας λογισμικού με "Secure by Design"

Λογισμικό που δίνει προτεραιότητα στην ασφάλεια στο πιο θεμελιώδες επίπεδό του σημαίνει σχεδιασμός του συστήματος με βασικό στόχο την ασφάλεια των πελατών και όχι ως συνδεδεμένο χαρακτηριστικό. Και αυτή η ιδέα —ασφαλής από το σχεδιασμό— γίνεται ολοένα και πιο σημαντική καθώς οι εισβολείς αρχίζουν να στοχεύουν συχνότερα τις αλυσίδες εφοδιασμού.

«Καταλαβαίνουν ότι μπορούν να έχουν μεγαλύτερο αντίκτυπο με την επιτυχή εκμετάλλευση της εφοδιαστικής αλυσίδας», λέει ο Thomas Pace, Διευθύνων Σύμβουλος της NetRise. Επειδή οι παραδοσιακές λύσεις ασφαλείας όπως το EDR, τα τείχη προστασίας και τα φίλτρα ανεπιθύμητης αλληλογραφίας έχουν καταφέρει να αποτρέψουν κατά μέτωπο επιθέσεις, λέει, οι εισβολείς πρέπει να αναζητήσουν ανοίγματα πιο ψηλά στην αλυσίδα.

Και τα επικολλημένα συστήματα παρέχουν ακριβώς αυτό το άνοιγμα. «Οι κυβερνοεπιθέσεις είναι ευκολότερες όταν οι επιχειρήσεις και οι πωλητές προσπαθούν να «ενισχύσουν» την ασφάλεια μετά το γεγονός», λέει ο David Brumley, Διευθύνων Σύμβουλος της ForAllSecure. «Είναι σαν να βάζεις ένα στερεοφωνικό μετά την αγορά στο αυτοκίνητό σου – απλώς δεν λειτουργεί σωστά».

Για να ενισχύσει την ασφάλεια λογισμικού παγκοσμίως, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) πρότεινε μια πρωτοβουλία με στόχο να φέρει επανάσταση στις πρακτικές ανάπτυξης ενστερνίζοντας τις αρχές «ασφαλούς από το σχεδιασμό» στον κύκλο ζωής ανάπτυξης λογισμικού. Αντικατοπτρίζει μια κομβική στροφή προς προληπτικά μέτρα ασφαλείας.

Η αίτημα για πληροφορίες επικεντρώνεται στην αντιμετώπιση των επαναλαμβανόμενων τρωτών σημείων του λογισμικού, στην ενίσχυση της λειτουργικής τεχνολογίας και στην αξιολόγηση του αντίκτυπου των ασφαλών πρακτικών στο κόστος. Η πρόσκληση για σχόλια, η οποία είναι ανοιχτή έως τις 20 Φεβρουαρίου 2024, τονίζει επίσης τη συλλογική ευθύνη των κατασκευαστών τεχνολογίας και των καταναλωτών για την προώθηση ενός μέλλοντος όπου η τεχνολογία είναι εγγενώς ασφαλής και ασφαλής.

"Ασφάλεια από τη σχεδίαση σημαίνει ότι η ασφάλεια είναι μέρος του τρόπου με τον οποίο δημιουργείτε το λογισμικό από την αρχή", εξηγεί ο Brumley. «Αυτό σημαίνει ότι είναι πολύ πιο ανθεκτικό από επιθέσεις».

Ένα θεμελιώδες επίπεδο ασφάλειας

Ο Ken Dunham, διευθυντής απειλών στον κυβερνοχώρο στην Ερευνητική Μονάδα Qualys Threat, εξηγεί ότι η ασφάλεια από τη σχεδίαση ξεκινά με την αρχιτεκτονική και τις αρχές διαχείρισης κινδύνου στις λειτουργίες πριν ένας οργανισμός μεταναστεύσει ή αρχίσει να χρησιμοποιεί το cloud.

«Αυτό είναι ένα κρίσιμο στοιχείο της σύγχρονης, πολύπλοκης υβριδικής υποδομής», λέει. «Σε έναν κόσμο κοινής ευθύνης, οι οργανισμοί πρέπει να αποφασίσουν ποιος κίνδυνος είναι αποδεκτός να μοιραστεί, και δυνητικά σε υψηλότερο κίνδυνο, με τρίτα μέρη έναντι αυτού που ανήκει πλήρως και διαχειρίζεται εσωτερικά».

Επισημαίνει ότι ο κύκλος ζωής της κατασκευής λογισμικού είναι ολοένα και πιο περίπλοκος, με πολλούς ενδιαφερόμενους φορείς που πρέπει όλοι να είναι ασφαλείς για τη μείωση του κινδύνου. Η Dunham ρωτά: "Είναι οι προγραμματιστές σας, που ενδιαφέρονται για τη λειτουργικότητα και τις εμπειρίες των χρηστών, έμπειροι στις αρχές ασφαλούς κωδικοποίησης, στις σύγχρονες επιθέσεις, στα αντίμετρα ασφαλείας και στα SecOps;"

Οι προσδοκίες για την ασφάλεια του οργανισμού ασκούν πίεση σε μια ομάδα ενσωμάτωσης για τη σωστή ανάπτυξη, διαμόρφωση και παρακολούθηση λογισμικού εντός της επιχειρηματικής αρχιτεκτονικής. «Πόσο ώριμες είναι οι υπηρεσίες πληροφοριών σας για την αντιμετώπιση περιστατικών και τις κυβερνοαπειλές;» ρωτάει. «Τους εμπιστεύεστε σε έναν υβριδικό κόσμο σύννεφων όπου μπορεί να έχετε μια πολύπλοκη επίθεση εισβολής με απίστευτη ταχύτητα;»

«Αφού έχετε τους κατάλληλους ανθρώπους, η διαδικασία γίνεται καλά κατανοητή», συμφωνεί ο Brumley. Αρχιτεκτονείτε το προϊόν με άμυνα σε βάθος, βεβαιωθείτε ότι οι εξαρτήσεις σας και το λογισμικό τρίτων είναι ενημερωμένα και χρησιμοποιείτε μια σύγχρονη τεχνική όπως το fuzzing για να βρείτε άγνωστα τρωτά σημεία.

Για τον Brumley, ασφαλής από προεπιλογή σημαίνει σχεδιασμός με ασφάλεια που λειτουργεί με τον τρόπο με τον οποίο οι άνθρωποι χρησιμοποιούν το λογισμικό. «Υπάρχουν αρχές σχεδιασμού που καλύπτουν πολλαπλές αρχές - όπως ακριβώς όταν κατασκευάζετε έναν ουρανοξύστη, πρέπει να σκεφτείτε τα πάντα, από τη δομική υποστήριξη μέχρι τον κλιματισμό», εξηγεί.

Απαιτείται αλλαγή παραδείγματος στην ασφάλεια πληροφορικής

Ο Dunham σημειώνει ότι το 2023 ήταν γεμάτο παραδείγματα όπου συνθήκες αγώνα υπήρχε για μηδέν ημέρες - τα τρωτά σημεία αντιστράφηκαν και οπλίστηκαν από κακούς ηθοποιούς πιο γρήγορα από οι οργανισμοί θα μπορούσαν να τα επιδιορθώσουν.

«Υπάρχουν ακόμη ορισμένοι οργανισμοί που αγωνίζονται να επιδιορθώσουν τα τρωτά σημεία του Log4J μετά από τόσο καιρό», επισημαίνει.

Λέει ότι οι οργανισμοί πρέπει να προσδιορίσουν την επιφάνεια επιθέσεών τους, εσωτερική και εξωτερική, και να δώσουν προτεραιότητα στα περιουσιακά στοιχεία και τη διαχείριση κινδύνων ανάλογα, προκειμένου να βγουν μπροστά όταν η εκμετάλλευση και ο κίνδυνος επίθεσης που σχετίζεται με μια ευπάθεια αυξάνεται.

Από τη σκοπιά του Pace, ο κλάδος της ασφάλειας πληροφορικής πρέπει να υποστεί μια αλλαγή παραδείγματος στον τρόπο με τον οποίο εξετάζει τον κίνδυνο και τον καλύτερο τρόπο ιεράρχησής του — και αυτό μπορεί να συμβεί μόνο με ορατότητα στην αλυσίδα εφοδιασμού. Μοιράστηκε ένα παράδειγμα στο οποίο ένας «πολύ μεγάλος οργανισμός» δεν γνώριζε ποιες εξαρτήσεις είχε το σύστημα ασφαλείας του όταν ενημέρωσε με υπευθυνότητα αυτό το σύστημα. «Μετά την ενημέρωση σαρώθηκε από έναν σαρωτή ευπάθειας και διαπιστώθηκε ότι η πρόσφατη κρίσιμη ευπάθεια Apache Struts ήταν παρών», λέει. «Τώρα αυτός ο οργανισμός έχει εισαγάγει σοβαρό κίνδυνο για τον οργανισμό του».

Ασφαλής σχεδιασμός στην εποχή του IoT

Ο John Gallagher, αντιπρόεδρος των Viakoo Labs στη Viakoo, λέει ότι μια βασική πρόκληση είναι ο σχεδιασμός της ασφάλειας σε συσκευές μεγάλης διάρκειας, όπως εκείνες του τμήματος του Διαδικτύου των πραγμάτων (IoT) που μπορεί να μην είχαν την ασφάλεια ως σχεδιαστικό στοιχείο αρχικά.

«Αυτό απαιτεί πιο εκτεταμένες δοκιμές και μπορεί να απαιτήσει νέους μηχανικούς πόρους», λέει. "Ομοίως, η δημιουργία νέων χαρακτηριστικών ασφαλείας είναι ένας τρόπος εισαγωγής νέων τρωτών σημείων ασφαλείας."

Ο Gallagher λέει ότι οι κατασκευαστές λογισμικού θα πρέπει να αγκαλιάσουν τη χρήση των λογαριασμών λογισμικού (SBOMs) για να εντοπίζουν και να αποκαθιστούν τα τρωτά σημεία πιο γρήγορα. Σημειώνει ότι οι εταιρείες ενσωματώνουν ασφαλείς πρακτικές σχεδιασμού σε νέα προϊόντα, τα οποία τελικά θα αποτελέσουν ανταγωνιστικό παράγοντα στην αγορά.

«Εκτός από τα προνόμια MFA και περιορισμένης πρόσβασης, άλλα μέτρα, όπως η εξάλειψη των προεπιλεγμένων κωδικών πρόσβασης και η παροχή μηχανισμών για πιο εύκολη και γρήγορη ενημέρωση υλικολογισμικού, σχεδιάζονται στα προϊόντα», λέει.

Η αποφυγή της «ασφάλειας μέσω της αφάνειας» είναι μια άλλη αρχή της ασφάλειας από το σχεδιασμό, επισημαίνει ο Gallagher. Τα SBOM και το λογισμικό ανοιχτού κώδικα, για παράδειγμα, παρέχουν ασφάλεια προσφέροντας διαφάνεια γύρω από τον κώδικα λογισμικού.

Ο Pace λέει ότι ένας από τους τομείς για τον οποίο είναι πιο ενθουσιασμένος καθώς σχετίζεται με την ασφάλεια από προεπιλογή και την ασφάλεια από το σχεδιασμό είναι σημαντικά καλύτερη ορατότητα στην αλυσίδα εφοδιασμού λογισμικού. «Μόλις επιτευχθεί αυτή η ορατότητα, μπορούμε να αρχίσουμε να καταλαβαίνουμε πραγματικά πού βρίσκονται τα προβλήματά μας από θεμελιώδες επίπεδο και στη συνέχεια να αρχίσουμε να τα ιεραρχούμε με τρόπο που να έχει νόημα», λέει.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design