Siempre ha habido un equilibrio en TI entre ofrecer nuevas características y funcionalidades versus pagar la deuda técnica, que incluye aspectos como confiabilidad, rendimiento, pruebas... y sí, seguridad.
En esta era de “enviar rápido y romper cosas”, acumular deuda de seguridad es una decisión que las organizaciones toman voluntariamente. Cada organización tiene tareas de seguridad acumuladas en sus trabajos pendientes de Jira para “algún día”, cosas como implementar parches de seguridad y ejecutar las versiones más nuevas y estables de lenguajes y marcos de programación. Hacer lo correcto lleva tiempo y los equipos posponen voluntariamente estas tareas porque están priorizando nuevas funciones. Gran parte del trabajo del CISO es reconocer esos momentos en los que se deben pagar las deudas de seguridad.
Una cosa que hizo que Explotación de Log4j Tan alarmante para los CISO fue darse cuenta de que había una enorme deuda acumulada que ni siquiera estaba en su radar. Expuso una clase oculta de brechas de seguridad entre los proyectos de código abierto y los ecosistemas de creadores, mantenedores, administradores de paquetes y organizaciones que los utilizan.
La seguridad de la cadena de suministro de software es una partida única en el balance de la deuda de seguridad, pero los CISO pueden elaborar un plan coherente para pagarla.
Una nueva clase de vulnerabilidad
La mayoría de las empresas se han vuelto muy buenas a la hora de bloquear la seguridad de su red. Pero hay toda una clase de exploits que son posibles porque los desarrolladores construyen sistemas y los artefactos de software que aprovechan para escribir aplicaciones no tienen un mecanismo de confianza ni una cadena de custodia segura.
Hoy en día, cualquiera con sentido común sabe que no debe coger una memoria USB al azar y conectarla a su computadora debido a los riesgos de seguridad. Pero durante décadas, los desarrolladores han estado descargando paquetes de código abierto sin forma de verificar que estén seguros.
Los malos actores están aprovechando este vector de ataque porque es la nueva fruta al alcance de la mano. Se dan cuenta de que pueden obtener acceso a través de estos agujeros y, una vez dentro, pasar a todos los demás sistemas que dependen de cualquier artefacto inseguro que hayan utilizado para acceder.
Deje de excavar bloqueando los sistemas de construcción
El punto de partida fundamental para los CISO, avalado en materiales como la guía para desarrolladores”Asegurar la cadena de suministro de software”, es comenzar a utilizar marcos de código abierto como el Marco de desarrollo de software seguro (SSDF) del NIST y OpenSSF. Niveles de la cadena de suministro para artefactos de software (SLSA). Estos son básicamente pasos prescriptivos para bloquear su cadena de suministro. SLSA Nivel 1 consiste en utilizar un sistema de compilación. El nivel 2 consiste en exportar algunos registros y metadatos (para que luego pueda buscar cosas y responder a incidentes). El nivel 3 consiste en seguir una serie de mejores prácticas. El nivel 4 consiste en utilizar un sistema de construcción realmente seguro. Siguiendo estos primeros pasos, los CISO pueden crear una base sólida para construir una cadena de suministro de software que sea segura de forma predeterminada.
Las cosas se vuelven más matizadas a medida que los CISO piensan en políticas sobre cómo los equipos de desarrolladores adquieren software de código abierto en primer lugar. ¿Cómo saben los desarrolladores cuáles son las políticas de su empresa en cuanto a lo que se considera "seguro"? ¿Y cómo saben que el código abierto que están adquiriendo (que constituye el gran mayoría de todo el software utilizado por los desarrolladores hoy en día) está realmente intacto?
Al bloquear los sistemas de compilación y crear un método repetible para verificar la procedencia de los artefactos de software antes de incorporarlos al entorno, los CISO pueden dejar de cavar un agujero más profundo para su organización en deuda de seguridad.
¿Qué pasa con el pago de la antigua deuda de seguridad de la cadena de suministro de software?
Una vez que haya dejado de investigar bloqueando sus imágenes base y entornos de compilación, ahora necesita actualizar su software y parchear sus vulnerabilidades, incluidas las versiones de las imágenes base.
Actualizar software y parchear CVE es muy tedioso. Es aburrido, requiere mucho tiempo, es una tarea ardua, es trabajo. Es el “come tus verduras” de la ciberseguridad. Pagar esta deuda requiere una colaboración profunda entre los CISO y los equipos de desarrollo. También es una oportunidad para que ambos equipos lleguen a un acuerdo sobre herramientas y procesos más seguros y productivos que puedan ayudar a que la cadena de suministro de software de una organización sea segura de forma predeterminada.
Así como a algunas personas no les gustan los cambios, a algunos equipos de software no les gusta actualizar las imágenes base de sus contenedores. La imagen base es la primera capa de aplicaciones de software basadas en contenedores. La actualización de una imagen base a una nueva versión a veces puede dañar la aplicación de software, especialmente si la cobertura de prueba es inadecuada. Por lo tanto, algunos equipos de software prefieren el status quo, esencialmente holgazaneando indefinidamente en una versión de imagen base funcional que probablemente esté acumulando CVE diariamente.
Para evitar esta acumulación de vulnerabilidades, los equipos de software deben actualizar las imágenes con frecuencia con pequeños cambios y utilizar prácticas de "pruebas en producción", como versiones canary. Usar imágenes de contenedores reforzadas, de tamaño mínimo y construidas con metadatos críticos de seguridad de la cadena de suministro de software, como listas de materiales de software (SBOM), procedencia y firmas, pueden ayudar a aliviar el dolor de la gestión diaria de vulnerabilidades en imágenes base que consume mucho tiempo. Estas técnicas logran el equilibrio adecuado entre mantenerse seguro y garantizar que la producción no disminuya.
Comience a pagar sobre la marcha
Lo que es singularmente desagradable acerca de la deuda de seguridad es que cuando sigues archivándola para “algún día”, normalmente asoma la cabeza cuando eres más vulnerable y menos puedes permitirte pagarla. La vulnerabilidad Log4j apareció justo antes del ajetreado ciclo de comercio electrónico navideño y paralizó a muchos equipos de ingeniería y seguridad hasta bien entrado el año siguiente. Ningún CISO quiere tener sorpresas de seguridad ocultas al acecho.
Cada CISO debería hacer una inversión mínima en sistemas de compilación más seguros, métodos de firma de software para establecer la procedencia del software antes de que los desarrolladores lo incorporen al entorno e imágenes base de contenedores mínimas y reforzadas que reduzcan la superficie de ataque en la base del software y las aplicaciones. .
En lo más profundo de este pago masivo de la deuda de seguridad de la cadena de suministro de software, los CISO enfrentan el enigma de cuánto están dispuestos a que sus desarrolladores paguen sobre la marcha (actualizando continuamente las imágenes base y el software con vulnerabilidades) versus posponer esa deuda y lograr un nivel aceptable de seguridad. vulnerabilidad.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :posee
- :es
- :no
- $ UP
- 1
- 7
- a
- Nuestra Empresa
- aceptable
- de la máquina
- Acumulado
- acumulación
- el logro de
- adquirir
- adquisición
- los actores
- Todos
- aliviar
- también
- hacerlo
- an
- y
- nadie
- Aplicación
- aplicaciones
- somos
- AS
- At
- atacar
- evitar
- lejos
- Balance
- Balance
- bases
- Básicamente
- BE
- porque
- esto
- antes
- MEJOR
- y las mejores prácticas
- entre
- Big
- Billetes
- Aburrido
- ambas
- Descanso
- llevar
- Trayendo
- build
- Construir la
- construido
- ocupado
- pero
- by
- PUEDEN
- sacando provecho de
- cadena
- el cambio
- Cambios
- CISO
- clase
- COHERENTE
- colaboración
- Algunos
- Empresas
- compañía
- computadora
- considerado
- Envase
- continuamente
- adivinanza
- cobertura
- Para crear
- Creamos
- creadores
- crítico
- Custodia
- La Ciberseguridad
- Cycle
- todos los días
- Días
- Deuda
- décadas
- Koops
- profundo
- más profundo
- Predeterminado
- Desplegando
- Developer
- desarrolladores
- Desarrollo
- do
- doesn
- "Hacer"
- don
- DE INSCRIPCIÓN
- el lado de la transmisión
- dos
- comercio electrónico
- comer
- ecosistemas
- de manera eficaz
- Ingeniería
- entrada
- Entorno
- ambientes
- Era
- especialmente
- esencialmente
- establecer
- Incluso
- Cada
- exploits
- exportar
- expuesto
- Cara
- RÁPIDO
- Caracteristicas
- Presentación
- Nombre
- primeros pasos
- seguir
- siguiendo
- Fundación
- Marco conceptual
- marcos
- frecuentemente
- a la fatiga
- fundamental
- Obtén
- lagunas
- obtener
- Go
- candidato
- guía
- Tienen
- cabeza
- ayuda
- Oculto
- Agujero
- Agujeros
- Vacaciones
- Cómo
- HTTPS
- enorme
- if
- imagen
- imágenes
- in
- incidente
- respuesta al incidente
- incluye
- Incluye
- inseguro
- dentro
- dentro
- inversión extranjera
- IT
- SUS
- Trabajos
- solo
- Guardar
- Saber
- Idiomas
- luego
- .
- menos
- Nivel
- Apalancamiento
- como
- que otros
- línea
- log4j
- Mira
- hecho
- para lograr
- Realizar
- Management
- Managers
- muchos
- masivo
- materiales
- mecanismo
- metadatos
- Método
- métodos
- mínimo
- mínimo
- Momentos
- más,
- MEJOR DE TU
- mucho más
- debe
- ¿ Necesita ayuda
- del sistema,
- Red de Seguridad
- Nuevo
- Nuevas características
- Más Nuevos
- nist
- no
- ahora
- of
- Viejo
- on
- una vez
- habiertos
- de código abierto
- Oportunidad
- or
- organización
- para las fiestas.
- Otro
- Más de
- paquete
- dinero
- Dolor
- parte
- Patch
- Parches
- parcheo
- Pagar
- pago
- (PDF)
- Personas
- actuación
- recoger
- Pivot
- Colocar
- plan
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- enchufe
- punto
- políticas
- posible
- prácticas
- preferir
- priorización
- en costes
- Producción
- productivo
- Programación
- lenguajes de programación
- proyecta
- procedencia
- poner
- radar
- azar
- RE
- realización
- darse cuenta de
- realmente
- reconociendo
- reducir
- Estrenos
- fiabilidad
- repetible
- requiere
- respuesta
- Derecho
- riesgos
- correr
- s
- ambiente seguro
- seguro
- EN LINEA
- los riesgos de seguridad
- sentido
- Serie
- hoja
- ENVIAR
- Envíos
- tienes
- Firmas
- firma
- Tamaño
- chica
- So
- Software
- Desarrollo de software ad-hoc
- algo
- algún día
- Fuente
- estable
- comienzo
- Comience a
- Estado
- pasos
- Detener
- detenido
- strike
- fuerte
- súper
- suministro
- cadena de suministro
- seguro
- Superficie
- sorpresas
- te
- Todas las funciones a su disposición
- toma
- tareas
- equipos
- Técnico
- técnicas
- test
- Pruebas
- esa
- La
- su
- Les
- Ahí.
- Estas
- ellos
- cosa
- cosas
- pensar
- así
- aquellos
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- prolongado
- a
- juntos
- Confía en
- típicamente
- único
- únicamente
- Actualizar
- actualización
- utilizan el
- usado
- usando
- Ve
- verificar
- versión
- Versus
- voluntariamente
- Vulnerabilidades
- vulnerabilidad
- Vulnerable
- quiere
- fue
- no fue
- Camino..
- WELL
- ¿
- lo que
- cuando
- que
- QUIENES
- todo
- dispuestas
- Actividades:
- trabajando
- escribir
- año
- si
- Usted
- tú
- zephyrnet