IT-valdkonnas on alati olnud kompromiss uute funktsioonide ja funktsionaalsuse tarnimise ja tehnilise võla tasumise vahel, mis hõlmab selliseid asju nagu töökindlus, jõudlus, testimine … ja jah, turvalisus.
Praegusel "laeva kiiresti ja katki asju" ajastul on tagatisvõlgade kogumine otsus, mille organisatsioonid teevad vabatahtlikult. Igal organisatsioonil on oma Jira mahajäämustesse “ükski päevaks” pandud turbeülesanded – näiteks turvapaikade juurutamine ning programmeerimiskeelte ja -raamistike uusimate, kõige stabiilsemate versioonide käitamine. Õigete asjade tegemine võtab aega ja meeskonnad lükkavad need ülesanded tahtlikult edasi, kuna seavad prioriteediks uued funktsioonid. Suur osa CISO tööst on nende hetkede äratundmine, mil tuleb tagatisvõlad tasuda.
Üks asi, mis pani Log4j ärakasutamine CISOde jaoks oli nii murettekitav arusaam, et seal on tohutu kogunenud võlg, mida isegi nende radaril ei olnud. See paljastas varjatud turvalünkade klassi avatud lähtekoodiga projektide ja loojate, hooldajate, paketihaldurite ja neid kasutavate organisatsioonide ökosüsteemide vahel.
Tarkvara tarneahela turvalisus on turvavõla bilansis ainulaadne rida, kuid CISO-d saavad selle tasumiseks koostada sidusa plaani.
Uus haavatavuse klass
Enamik ettevõtteid on oma võrguturbe lukustamisel väga hästi hakkama saanud. Kuid on olemas terve hulk ärakasutusi, mis on võimalikud, kuna arendajatel loodud süsteemidel ja nende poolt rakenduste kirjutamiseks kasutatavatel tarkvaraartefaktidel puudub usaldusmehhanism ega turvaline järelevalveahel.
Tänapäeval teab igaüks, kellel on mõistust, turvariskide tõttu mitte võtta juhuslikku mälupulka ja seda arvutisse ühendada. Kuid aastakümneid on arendajad alla laadinud avatud lähtekoodiga paketid ilma et oleks võimalik kontrollida, kas need on ohutud.
Halvad näitlejad kasutavad seda rünnakuvektorit ära, sest see on uus madalal rippuv vili. Nad mõistavad, et pääsevad nende aukude kaudu ligi, ja sisenedes pöörduvad kõigi teiste süsteemide poole, mis sõltuvad mis tahes ebaturvalisest artefaktist, mida nad sisenemiseks kasutasid.
Lõpetage kaevamine, lukustades ehitussüsteemid
CISO-de põhiline lähtepunkt, mis on kinnitatud sellistes materjalides nagu arendaja juhend "Tarkvara tarneahela turvamine”, on hakata kasutama avatud lähtekoodiga raamistikke, nagu NISTi turvalise tarkvara arendamise raamistik (SSDF) ja OpenSSF. Tarkvaraartefaktide tarneahela tasemed (SLSA). Need on põhimõtteliselt ettekirjutavad sammud tarneahela lukustamiseks. SLSA 1. tase on ehitussüsteemi kasutamine. 2. tase on eksportida mõned logid ja metaandmed (et saate hiljem asju otsida ja juhtumitele reageerida). 3. tase on järgida mitmeid parimaid tavasid. 4. tase on kasutada tõeliselt turvalist ehitussüsteemi. Neid esimesi samme järgides saavad CISOd luua tugeva aluse vaikimisi turvalise tarkvara tarneahela ülesehitamiseks.
Asjad muutuvad nüansirikkamaks, kui CISO-d mõtlevad poliitikale selle kohta, kuidas arendajameeskonnad omandavad avatud lähtekoodiga tarkvara. Kuidas saavad arendajad teada, millised on nende ettevõtte poliitikad selle kohta, mida peetakse turvaliseks? Ja kuidas nad teavad, et avatud lähtekoodiga, mida nad omandavad (mis moodustab suur enamus kogu tarkvarast, mida arendajad tänapäeval kasutavad) on tõepoolest muutmata?
Lukustades ehitussüsteemid ja luues korratava meetodi tarkvaraartefaktide päritolu kontrollimiseks enne nende keskkonda toomist, saavad CISOd tõhusalt lõpetada oma organisatsioonile tagatisvõlgadesse sügavama augu kaevamise.
Kuidas on lood vana tarkvara tarneahela turvavõla tasumisega?
Kui olete lõpetanud kaevamise, lukustades oma põhikujutised ja ehituskeskkonnad, peate nüüd värskendama oma tarkvara ja parandama turvaauke, sealhulgas põhikujutise versioone.
Tarkvara värskendamine ja CVE-de parandamine on väga tüütu. See on igav, aeganõudev, tüütu — see on töö. See on küberturvalisuse "söö oma köögivilju". Selle võla tasumine nõuab sügavat koostööd CISO-de ja arendusmeeskondade vahel. Samuti on mõlemal meeskonnal võimalus kokku leppida turvalisemates, produktiivsemates tööriistades ja protsessides, mis aitavad muuta organisatsiooni tarkvara tarneahela vaikimisi turvaliseks.
Nii nagu mõnele inimesele ei meeldi muutused, ei meeldi ka mõnele tarkvarameeskonnale konteineri baaspiltide värskendamine. Põhipilt on konteineripõhiste tarkvararakenduste esimene kiht. Baaspildi värskendamine uuele versioonile võib mõnikord tarkvararakenduse rikkuda, eriti kui test on ebapiisav. Seega eelistavad mõned tarkvarameeskonnad status quo'd, luues sisuliselt lõpmatuseni töötava baaspildi versiooni kallal, mis tõenäoliselt kogub iga päev CVE-sid.
Haavatavuste kuhjumise vältimiseks peaksid tarkvarameeskonnad pilte sageli väikeste muudatustega värskendama ja kasutama "tootmises testimise" tavasid, nagu Canary väljalasked. Kasutades konteinerkujutisi, mis on kõvastunud, minimaalse suurusega ja koostatud kriitiliste tarkvara tarneahela turbemetaandmetega, näiteks tarkvara materjaliarved (SBOM), päritolu ja allkirjad, võivad aidata leevendada baaspiltide igapäevase haavatavuse haldamise aeganõudvat valu. Need tehnikad loovad õige tasakaalu turvalisuse tagamise ja selle vahel, et tootmine ei väheneks.
Alustage maksmist nagu lähete
Tagatisvõla puhul on ainulaadne ebameeldiv see, et kui te seda lihtsalt "ükski päevaks" esitate, tõstab see tavaliselt pead, kui olete kõige haavatavam ja saate selle maksmist endale lubada kõige vähem. Log4j haavatavus tabas vahetult enne tihedat pühadeaegset e-kaubanduse tsüklit ja kahjustas paljusid inseneri- ja turvameeskondi ka järgmisel aastal. Ükski CISO ei taha varjatud turvaüllatusi.
Iga CISO peaks tegema minimaalse investeeringu turvalisematesse ehitussüsteemidesse, tarkvara allkirjastamise meetoditesse, et teha kindlaks tarkvara päritolu enne, kui arendajad selle keskkonda toovad, ning tugevdatud, minimaalsetesse konteineripõhistesse kujutistesse, mis vähendavad rünnakupinda tarkvara ja rakenduste alustamisel. .
Sellesse tohutusse tarkvara tarneahela turvavõlgade tasumisse sügavamal seisavad CISO-d silmitsi mõistatusega, kui palju nad on nõus oma arendajatel maksma (värskendades pidevalt haavatavustega baaspilte ja tarkvara), võrreldes selle võla edasilükkamisega ja vastuvõetava taseme saavutamisega. haavatavus.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :on
- :on
- :mitte
- $ UP
- 1
- 7
- a
- MEIST
- vastuvõetav
- juurdepääs
- Kogunenud
- kogunemine
- saavutamisel
- omandama
- omandamine
- osalejad
- Materjal: BPA ja flataatide vaba plastik
- leevendada
- Ka
- alati
- an
- ja
- keegi
- taotlus
- rakendused
- OLEME
- AS
- At
- rünnak
- vältima
- ära
- Saldo
- Eelarve
- baas
- Põhimõtteliselt
- BE
- sest
- olnud
- enne
- BEST
- parimaid tavasid
- vahel
- Suur
- Arved
- Bore
- mõlemad
- Murdma
- tooma
- Toomine
- ehitama
- Ehitus
- ehitatud
- hõivatud
- kuid
- by
- CAN
- suurtähtedega
- kett
- muutma
- Vaidluste lahendamine
- CISO
- klass
- SIDUS
- koostöö
- ühine
- Ettevõtted
- ettevõte
- arvuti
- kaaluda
- Konteiner
- jätkuvalt
- nõgusus
- katmine
- looma
- loomine
- loojad
- kriitiline
- Hooldusõigus
- Küberturvalisus
- tsükkel
- iga päev
- Päeva
- Võlg
- aastakümnete
- otsus
- sügav
- sügavam
- vaikimisi
- juurutamine
- arendaja
- Arendajad
- & Tarkvaraarendus
- do
- ei
- teeme
- don
- alla
- ajam
- kaks
- e-kaubandus
- sööma
- ökosüsteemid
- tõhusalt
- Inseneriteadus
- kanne
- keskkond
- keskkondades
- Ajastu
- eriti
- põhiliselt
- looma
- Isegi
- Iga
- ärakasutamine
- eksport
- avatud
- nägu
- KIIRE
- FUNKTSIOONID
- Esitamine
- esimene
- esimesed sammud
- järgima
- Järel
- eest
- Sihtasutus
- Raamistik
- raamistikud
- sageli
- funktsionaalsus
- põhiline
- kasu
- lünki
- saama
- Go
- hea
- suunata
- Olema
- juhataja
- aitama
- varjatud
- Auk
- Augud
- puhkus
- Kuidas
- HTTPS
- tohutu
- if
- pilt
- pildid
- in
- juhtum
- intsidentidele reageerimine
- hõlmab
- Kaasa arvatud
- ebakindel
- sees
- sisse
- investeering
- IT
- ITS
- töö
- lihtsalt
- hoidma
- Teadma
- Keeled
- pärast
- kiht
- kõige vähem
- Tase
- taset
- Finantsvõimendus
- nagu
- Tõenäoliselt
- joon
- log4j
- Vaata
- tehtud
- tegema
- Tegemine
- juhtimine
- Juhid
- palju
- suur
- materjalid
- mehhanism
- Metaandmed
- meetod
- meetodid
- minimaalne
- miinimum
- Hetki
- rohkem
- kõige
- palju
- peab
- Vajadus
- võrk
- Network Security
- Uus
- Uued funktsioonid
- Uusim
- nst
- ei
- nüüd
- of
- Vana
- on
- kunagi
- avatud
- avatud lähtekoodiga
- Võimalus
- or
- organisatsioon
- organisatsioonid
- Muu
- üle
- pakend
- makstud
- Valu
- osa
- Plaaster
- Paikade
- Lappimine
- Maksma
- pöörates
- Inimesed
- jõudlus
- valima
- Pöördetelg
- Koht
- kava
- Platon
- Platoni andmete intelligentsus
- PlatoData
- pistik
- Punkt
- Poliitika
- võimalik
- tavad
- eelistama
- prioriteetsuse
- Protsessid
- Produktsioon
- produktiivne
- Programming
- programmeerimiskeeled
- projektid
- päritolu
- panema
- radar
- juhuslik
- RE
- realiseerimine
- mõistma
- tõesti
- tunnustamine
- vähendama
- Pressiteated
- usaldusväärsus
- korratav
- Vajab
- vastus
- õige
- riskide
- jooksmine
- s
- ohutu
- kindlustama
- turvalisus
- turvariskid
- tunne
- Seeria
- leht
- LAEV
- Transport TASUTA
- peaks
- Allkirjad
- allkirjastamine
- SUURUS
- väike
- So
- tarkvara
- tarkvaraarenduse
- mõned
- someday
- allikas
- stabiilne
- algus
- Käivitus
- olek
- Sammud
- Peatus
- peatatud
- lööma
- tugev
- super
- varustama
- tarneahelas
- kindel
- Pind
- üllatusi
- süsteem
- süsteemid
- võtab
- ülesanded
- meeskonnad
- Tehniline
- tehnikat
- test
- Testimine
- et
- .
- oma
- Neile
- Seal.
- Need
- nad
- asi
- asjad
- mõtlema
- see
- need
- Läbi
- aeg
- aega võttev
- et
- kokku
- Usalda
- tüüpiliselt
- ainulaadne
- ainulaadselt
- Värskendused
- ajakohastamine
- kasutama
- Kasutatud
- kasutamine
- Ve
- kontrollima
- versioon
- Versus
- vabatahtlikult
- Haavatavused
- haavatavus
- Haavatav
- tahab
- oli
- ei olnud
- Tee..
- Hästi
- M
- mis iganes
- millal
- mis
- WHO
- kogu
- valmis
- koos
- Töö
- töö
- kirjutama
- aasta
- jah
- sa
- Sinu
- sephyrnet