Lukustage tarkvara tarneahel funktsiooniga "Secure by Design"

Tarkvara, mis seab turvalisuse esikohale oma kõige põhilisemal tasemel, tähendab süsteemi kujundamist nii, et põhieesmärgiks on kliendi turvalisus, mitte aga lisafunktsioon. Ja see kontseptsioon – konstruktsioonilt turvaline – muutub üha olulisemaks, kuna ründajad hakkavad üha sagedamini sihikule võtma tarneahelaid.

"Nad mõistavad, et tarneahela edukal kasutamisel on neil suurem mõju," ütleb NetRise'i tegevjuht Thomas Pace. Kuna traditsioonilised turvalahendused, nagu EDR, tulemüürid ja rämpspostifiltrid, on tema sõnul saanud headeks rünnakute ärahoidmiseks, peavad ründajad otsima avasid ahelast kõrgemal.

Ja kokkukleebitud süsteemid pakuvad just sellist avanemist. "Küberrünnakud on lihtsamad, kui ettevõtted ja müüjad püüavad pärast tõsiasja turvalisust tugevdada," ütleb ForAllSecure'i tegevjuht David Brumley. "See on nagu järelturu stereo paigaldamine autosse - see lihtsalt ei tööta täpselt."

Tarkvaraturbe suurendamiseks ülemaailmselt pakkus küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) välja algatuse, mille eesmärk on muuta arenduspraktikad revolutsiooniliseks, rakendades tarkvaraarenduse elutsüklis "secure by design" põhimõtteid. See peegeldab pöördelist nihet ennetavate turvameetmete suunas.

. teabenõue keskendub korduvate tarkvara haavatavuste kõrvaldamisele, töötehnoloogia tugevdamisele ja turvaliste tavade mõju hindamisele kuludele. Kommentaarikutse, mis on avatud 20. veebruarini 2024, rõhutab ka tehnoloogiatootjate ja tarbijate kollektiivset vastutust tuleviku edendamisel, kus tehnoloogia on oma olemuselt ohutu ja turvaline.

"Disainiga turvalisus tähendab, et turvalisus on osa tarkvara loomisest algusest peale," selgitab Brumley. "See tähendab, et see on rünnakute suhtes palju vastupidavam."

Põhiline turvalisuse tase

Qualys Threat Research Unit küberohtude direktor Ken Dunham selgitab, et projekteeritud turvalisus algab arhitektuurist ja riskijuhtimise põhimõtetest enne, kui organisatsioon pilvele migreerub või pilve kasutama hakkab.

"See on kaasaegse ja keeruka hübriidtaristu kriitiline element, " ütleb ta. "Jagatud vastutuse maailmas peavad organisatsioonid otsustama, millist riski on vastuvõetav jagada ja mis võib olla suurem risk kolmandate osapooltega võrreldes sellega, mis kuulub täielikult ettevõttesiseselt ja mida juhitakse."

Ta juhib tähelepanu sellele, et tarkvaratootmise elutsükkel on üha keerulisem ja paljude sidusrühmadega, kes kõik peavad riski vähendamiseks olema turvalised. Dunham küsib: "Kas teie arendajad, kes hoolivad funktsionaalsusest ja kasutajakogemustest, on turvalised kodeerimise põhimõtete, tänapäevaste rünnakute, turvalisuse vastumeetmete ja SecOpsiga?"

Organisatsiooni turbeootused avaldavad sisseelamismeeskonnale survet, et see tarkvara äriarhitektuuris korralikult välja töötaks, konfigureeriks ja jälgiks. "Kui küpsed on teie intsidentidele reageerimise ja küberohtude luureteenused?" ta küsib. "Kas usaldate neid hübriidpilvemaailmas, kus teil võib olla tohutul kiirusel keeruline sissetungirünnak?"

"Kui teil on õiged inimesed, on protsess hästi mõistetav," nõustub Brumley. "Arhiseerite toote põhjaliku kaitsega, veenduge, et teie sõltuvused ja kolmanda osapoole tarkvara oleksid ajakohased, ning kasutate tundmatute haavatavuste leidmiseks kaasaegset tehnikat, näiteks hägustamist."

Brumley jaoks tähendab vaikimisi turvalisus sellise turvalisuse kujundamist, mis töötab koos sellega, kuidas inimesed tarkvara kasutavad. "On disainipõhimõtteid, mis hõlmavad mitut põhimõtet – täpselt nagu pilvelõhkuja ehitamisel, peate mõtlema kõigele alates struktuuritoetusest kuni kliimaseadmeteni," selgitab ta.

IT-turvalisuses nõutav paradigma nihe

Dunham märgib, et 2023 oli täis näiteid kus võistlustingimused eksisteeris null päeva – haavatavused tühistati ja halvad näitlejad relvastasid kiiremini kui organisatsioonid võiksid neid parandada.

"Mõned organisatsioonid näevad endiselt vaeva Log4J haavatavuste lappimisega pärast kogu seda aega," märgib ta.

Ta ütleb, et organisatsioonid peavad tuvastama oma sisemise ja välise ründepinna ning seadma varade ja riskijuhtimise vastavalt prioriteediks, et pääseda ette, kui haavatavusega seotud ekspluateerimine ja rünnakurisk suureneb.

Pace'i vaatenurgast peab IT-turbetööstus läbima paradigma muutuse selles, kuidas ta riskib ja kuidas seda kõige paremini prioriseerida – ja see saab juhtuda ainult tarneahela nähtavuse korral. Ta jagas näidet, kus "väga suur organisatsioon" ei teadnud, millised sõltuvused tema turvasüsteemil olid, kui ta seda süsteemi kohusetundlikult uuendas. "Pärast värskendust kontrollis seda haavatavuse skanner ja tehti kindlaks, et hiljutine kriitiline Apache Strutsi haavatavus oli kohal,” räägib ta. "Nüüd on see organisatsioon oma organisatsioonile tõsise riski seadnud."

Turvaline disain asjade Interneti ajastul

Viakoo Viakoo Labsi asepresident John Gallagher ütleb, et üks peamisi väljakutseid on turvalisuse kujundamine pikaealistesse seadmetesse, nagu need osad asjade Internetist (IoT), mille puhul ei pruugitud turvalisust algselt kaaluda.

"See nõuab põhjalikumat testimist ja võib nõuda uusi inseneriressursse, " ütleb ta. "Samuti on uute turvafunktsioonide sisseehitamine viis uute turvaaukude tutvustamiseks."

Gallagher ütleb, et tarkvaratootjad peaksid turvaaukude kiiremaks leidmiseks ja kõrvaldamiseks kasutama tarkvaraarvete (SBOM) kasutamist. Ta märgib, et ettevõtted lisavad uutesse toodetesse disainilahenduse turvalisi tavasid, mis on lõppkokkuvõttes turul konkurentsitegur.

"Lisaks MFA-le ja piiratud juurdepääsuõigustele kavandatakse toodetesse ka muid meetmeid, nagu vaikeparoolide eemaldamine ja mehhanismide pakkumine püsivara lihtsamaks ja kiiremaks värskendamiseks, " ütleb ta.

Gallagher juhib tähelepanu sellele, et "turvalisuse läbi ebaselguse" vältimine on veel üks turvalise põhimõte. Näiteks SBOM-id ja avatud lähtekoodiga tarkvara pakuvad turvalisust, pakkudes tarkvarakoodi läbipaistvust.

Pace ütleb, et üks valdkondi, millest ta on kõige rohkem põnevil, kuna see on seotud vaikimisi ja disainiga turvalisega, on tarkvara tarneahela oluliselt parem nähtavus. "Kui see nähtavus on saavutatud, saame hakata tõeliselt mõistma, kus meie probleemid on põhitasandilt, ja seejärel hakata neid tähtsuse järjekorda seadma viisil, mis on mõttekas, " ütleb ta.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design