Η βιομηχανία ασφάλειας χάνει συλλογικά το μυαλό της όταν ανακαλύπτονται νέα τρωτά σημεία στο λογισμικό. Το OpenSSL δεν αποτελεί εξαίρεση και δύο νέα τρωτά σημεία κατέκλυσαν τις ροές ειδήσεων στα τέλη Οκτωβρίου και στις αρχές Νοεμβρίου 2022. Η ανακάλυψη και η αποκάλυψη είναι μόνο η αρχή αυτού του ατέρμονου κύκλου ευπάθειας. Οι επηρεαζόμενοι οργανισμοί έρχονται αντιμέτωποι με αποκατάσταση, η οποία είναι ιδιαίτερα επώδυνη για όσους βρίσκονται στην πρώτη γραμμή της πληροφορικής. Οι ηγέτες ασφάλειας πρέπει να διατηρήσουν μια αποτελεσματική στρατηγική κυβερνοασφάλειας για να βοηθήσουν στο φιλτράρισμα μέρους του θορύβου σε νέα τρωτά σημεία, να αναγνωρίσουν τις επιπτώσεις στις αλυσίδες εφοδιασμού και να εξασφαλίσουν ανάλογα τα περιουσιακά τους στοιχεία.
Οι επιθέσεις εφοδιαστικής αλυσίδας δεν εξαφανίζονται
Μέσα σε ένα χρόνο περίπου, έχουμε υποφέρει από σοβαρές ευπάθειες στα εξαρτήματα συμπεριλαμβανομένων log4j, Εαρινό πλαίσιο, να OpenSSL. Η εκμετάλλευση παλαιότερων τρωτών σημείων επίσης δεν σταματά ποτέ από εφαρμογές που δεν έχουν ρυθμιστεί σωστά ή που χρησιμοποιούν γνωστές ευάλωτες εξαρτήσεις. Τον Νοέμβριο του 2022, το κοινό έμαθε για ένα εκστρατεία επίθεσης κατά του Ομοσπονδιακού Πολιτικού Εκτελεστικού Κλάδου (FCEB), που αποδίδεται σε μια ιρανική απειλή που χρηματοδοτείται από το κράτος. Αυτή η ομοσπονδιακή οντότητα των ΗΠΑ εκτελούσε υποδομή VMware Horizon που περιείχε την ευπάθεια Log4Shell, η οποία χρησίμευε ως το αρχικό διάνυσμα επίθεσης. Το FCEB χτυπήθηκε με μια πολύπλοκη αλυσίδα επίθεσης που περιελάμβανε πλευρική κίνηση, συμβιβασμό διαπιστευτηρίων, συμβιβασμό συστήματος, επιμονή δικτύου, παράκαμψη προστασίας τελικού σημείου και κρυπτοτζάκινγκ.
Οι οργανισμοί μπορεί να ρωτήσουν "γιατί να καταναλώνουν OSS καθόλου;" μετά από συμβάντα ασφαλείας από ευάλωτα πακέτα όπως το OpenSSL ή το Log4j. Οι επιθέσεις στην αλυσίδα εφοδιασμού συνεχίζουν να έχουν ανοδική τάση, επειδή η επαναχρησιμοποίηση εξαρτημάτων έχει «καλή επιχειρηματική λογική» για τους συνεργάτες και τους προμηθευτές. Κατασκευάζουμε συστήματα επανατοποθετώντας τον υπάρχοντα κώδικα αντί να χτίζουμε από την αρχή. Αυτό γίνεται για να μειωθεί η προσπάθεια μηχανικής, να κλιμακωθεί λειτουργικά και να παραδοθεί γρήγορα. Το λογισμικό ανοιχτού κώδικα (OSS) θεωρείται γενικά αξιόπιστο λόγω του δημόσιου ελέγχου που λαμβάνει. Ωστόσο, το λογισμικό αλλάζει διαρκώς και προκύπτουν προβλήματα λόγω σφαλμάτων κωδικοποίησης ή συνδεδεμένων εξαρτήσεων. Νέα ζητήματα αποκαλύπτονται επίσης μέσω της εξέλιξης των τεχνικών δοκιμών και εκμετάλλευσης.
Αντιμετώπιση τρωτών σημείων εφοδιαστικής αλυσίδας
Οι οργανισμοί χρειάζονται κατάλληλα εργαλεία και διαδικασίες για να εξασφαλίσουν μοντέρνα σχέδια. Οι παραδοσιακές προσεγγίσεις, όπως η διαχείριση τρωτών σημείων ή οι επιμέρους αξιολογήσεις από μόνες τους, δεν μπορούν να συμβαδίσουν. Οι κανονισμοί ενδέχεται να εξακολουθούν να επιτρέπουν αυτές τις προσεγγίσεις, οι οποίες διαιωνίζουν το χάσμα μεταξύ "ασφαλούς" και "συμμορφούμενου". Οι περισσότεροι οργανισμοί φιλοδοξούν να αποκτήσουν κάποιο επίπεδο ωριμότητας DevOps. Το "Συνεχές" και το "Αυτοματοποιημένο" είναι κοινά χαρακτηριστικά των πρακτικών DevOps. Οι διαδικασίες ασφαλείας δεν πρέπει να διαφέρουν. Οι ηγέτες ασφάλειας πρέπει να διατηρήσουν την εστίασή τους σε όλη τη φάση κατασκευής, παράδοσης και χρόνου εκτέλεσης ως μέρος της στρατηγικής ασφαλείας τους:
- Συνεχής σάρωση σε CI/CD: Επιδιώξτε να εξασφαλίσετε σωλήνες κατασκευής (δηλαδή, shift-αριστερά), αλλά αναγνωρίστε ότι δεν θα μπορείτε να σαρώσετε όλο τον κώδικα και τον ένθετο κώδικα. Η επιτυχία με τις προσεγγίσεις μετατόπισης προς τα αριστερά περιορίζεται από την αποτελεσματικότητα του σαρωτή, τη συσχέτιση της εξόδου του σαρωτή, την αυτοματοποίηση των αποφάσεων έκδοσης και την ολοκλήρωση του σαρωτή εντός των παραθύρων έκδοσης. Τα εργαλεία θα πρέπει να βοηθούν στην ιεράρχηση του κινδύνου ευρημάτων. Δεν είναι όλα τα ευρήματα αξιοποιήσιμα και τα τρωτά σημεία μπορεί να μην είναι εκμεταλλεύσιμα στην αρχιτεκτονική σας.
- Συνεχής σάρωση κατά την παράδοση: Συμβαίνει συμβιβασμός στοιχείων και περιβαλλοντική μετατόπιση. Οι εφαρμογές, η υποδομή και ο φόρτος εργασίας θα πρέπει να σαρώνονται κατά την παράδοση, σε περίπτωση που κάτι παραβιάστηκε στην ψηφιακή αλυσίδα εφοδιασμού όταν προέρχονται από μητρώα ή αποθετήρια και έχουν εκκινήσει.
- Συνεχής σάρωση σε χρόνο εκτέλεσης: Η ασφάλεια χρόνου εκτέλεσης είναι το σημείο εκκίνησης πολλών προγραμμάτων ασφάλειας και η παρακολούθηση της ασφάλειας στηρίζει τις περισσότερες προσπάθειες για την ασφάλεια στον κυβερνοχώρο. Χρειάζεστε μηχανισμούς που μπορούν να συλλέγουν και να συσχετίζουν την τηλεμετρία σε όλους τους τύπους περιβαλλόντων, συμπεριλαμβανομένων των περιβαλλόντων cloud, κοντέινερ και Kubernetes. Οι πληροφορίες που συγκεντρώθηκαν κατά το χρόνο εκτέλεσης θα πρέπει να ανατροφοδοτούν τα προηγούμενα στάδια κατασκευής και παράδοσης. Αλληλεπιδράσεις ταυτότητας και υπηρεσιών
- Δώστε προτεραιότητα στις ευπάθειες που εκτίθενται στο χρόνο εκτέλεσης: Όλοι οι οργανισμοί δυσκολεύονται να έχουν αρκετό χρόνο και πόρους για να σαρώσουν και να διορθώσουν τα πάντα. Η ιεράρχηση με βάση τον κίνδυνο είναι θεμελιώδης για την εργασία του προγράμματος ασφάλειας. Η έκθεση στο Διαδίκτυο είναι μόνο ένας παράγοντας. Ένα άλλο είναι η σοβαρότητα της ευπάθειας και οι οργανισμοί συχνά επικεντρώνονται σε θέματα υψηλής και κρίσιμης σοβαρότητας, καθώς θεωρείται ότι έχουν τον μεγαλύτερο αντίκτυπο. Αυτή η προσέγγιση μπορεί ακόμα να σπαταλά κύκλους ομάδων μηχανικής και ασφάλειας, επειδή μπορεί να κυνηγούν ευπάθειες που δεν φορτώνονται ποτέ κατά το χρόνο εκτέλεσης και που δεν είναι εκμεταλλεύσιμες. Χρησιμοποιήστε τη νοημοσύνη χρόνου εκτέλεσης για να επαληθεύσετε ποια πακέτα φορτώνονται πραγματικά σε εφαρμογές και υποδομές που εκτελούνται για να γνωρίζετε τον πραγματικό κίνδυνο ασφάλειας για τον οργανισμό σας.
Έχουμε δημιουργήσει καθοδήγηση για το συγκεκριμένο προϊόν για να οδηγήσουν τους πελάτες στην πρόσφατη τρέλα OpenSSL.
Η τελευταία ευπάθεια OpenSSL και το Log4Shell μας υπενθυμίζουν την ανάγκη για ετοιμότητα στον κυβερνοχώρο και αποτελεσματική στρατηγική ασφάλειας. Πρέπει να θυμόμαστε ότι τα CVE-ID είναι ακριβώς εκείνα τα γνωστά ζητήματα στο δημόσιο λογισμικό ή υλικό. Πολλά τρωτά σημεία δεν αναφέρονται, ιδιαίτερα αδυναμίες στον εγχώριο κώδικα ή περιβαλλοντικές εσφαλμένες διαμορφώσεις. Η στρατηγική σας στον κυβερνοχώρο πρέπει να λαμβάνει υπόψη την κατανεμημένη και ποικίλη τεχνολογία σύγχρονων σχεδίων. Χρειάζεστε ένα εκσυγχρονισμένο πρόγραμμα διαχείρισης ευπάθειας που χρησιμοποιεί πληροφορίες χρόνου εκτέλεσης για να δώσει προτεραιότητα στις εργασίες αποκατάστασης για τις ομάδες μηχανικών. Χρειάζεστε επίσης δυνατότητες ανίχνευσης απειλών και απόκρισης που συσχετίζουν τα σήματα σε περιβάλλοντα για να αποφύγετε εκπλήξεις.
Σχετικά με το Συγγραφέας
.png?width=690&quality=80&format=webply&disable=upscale "Κίνδυνοι εφοδιαστικής αλυσίδας Σε κατέβασαν; Μείνετε ήρεμοι και πάρτε στρατηγική!")
Ο Michael Isbitski, Διευθυντής Στρατηγικής για την Κυβερνοασφάλεια στο Sysdig, έχει ερευνήσει και συμβουλεύει για την ασφάλεια στον κυβερνοχώρο για περισσότερα από πέντε χρόνια. Γνωρίζει την ασφάλεια cloud, την ασφάλεια κοντέινερ, την ασφάλεια Kubernetes, την ασφάλεια API, τις δοκιμές ασφαλείας, την ασφάλεια κινητών, την προστασία εφαρμογών και την ασφαλή συνεχή παράδοση. Έχει καθοδηγήσει αμέτρητους οργανισμούς παγκοσμίως στις πρωτοβουλίες τους για την ασφάλεια και στην υποστήριξη της επιχείρησής τους.
Πριν από την ερευνητική και συμβουλευτική του εμπειρία, ο Mike πήρε πολλά σκληρά μαθήματα στην πρώτη γραμμή της πληροφορικής με πάνω από 20 χρόνια εμπειρίας επαγγελματία και ηγεσία επικεντρωμένη στην ασφάλεια εφαρμογών, τη διαχείριση ευπάθειας, την αρχιτεκτονική επιχειρήσεων και τη μηχανική συστημάτων.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
