Turvatööstus kaotab ühiselt mõistuse, kui tarkvaras avastatakse uusi turvaauke. OpenSSL pole erand ja kaks uut haavatavust tõrjusid uudistevoogusid 2022. aasta oktoobri lõpus ja novembri alguses. Avastamine ja avalikustamine on alles selle lõputu haavatavuse tsükli algus. Mõjutatud organisatsioonid seisavad silmitsi heastamistöödega, mis on eriti valus neile, kes on IT eesliinil. Turvajuhid peavad järgima tõhusat küberturvalisuse strateegiat, et aidata filtreerida osa uutest haavatavustest tulenevat müra, tuvastada mõju tarneahelatele ja kaitsta oma varasid vastavalt.
Tarneahela rünnakud ei kao kuhugi
Ligikaudu aasta jooksul oleme kannatanud komponentide, sealhulgas tõsiste haavatavuste all log4j, Kevadraamatusseja OpenSSL. Vanemate haavatavuste ärakasutamine ei lõpe kunagi ka valesti konfigureeritud või teadaolevaid haavatavaid sõltuvusi kasutavate juurutuste puhul. 2022. aasta novembris sai avalikkus teada an rünnakukampaania föderaalse tsiviiltäitevvõimu vastu (FCEB), mis on tingitud Iraani riiklikult toetatud ohust. See USA föderaalüksus kasutas VMware Horizon infrastruktuuri, mis sisaldas Log4Shelli haavatavust, mis toimis esialgse rünnakuvektorina. FCEB-d tabas keeruline ründeahel, mis hõlmas külgsuunalist liikumist, mandaatide kompromisse, süsteemi kompromisse, võrgu püsivust, lõpp-punkti kaitse ümbersõitu ja krüptovõrku.
Organisatsioonid võivad küsida "miks OSS-i üldse tarbida?" pärast turvaintsidente haavatavatest pakettidest, nagu OpenSSL või Log4j. Tarneahela rünnakud tõusevad jätkuvalt, kuna komponentide korduvkasutamine on partnerite ja tarnijate jaoks "äriliselt kasulik". Me projekteerime süsteeme olemasoleva koodi ümberkasutamise teel, mitte nullist üles ehitades. Selle eesmärk on vähendada tehnilisi jõupingutusi, skaleerida operatiivselt ja tarnida kiiresti. Avatud lähtekoodiga tarkvara (OSS) peetakse üldiselt usaldusväärseks selle avaliku kontrolli tõttu. Tarkvara on aga pidevas muutumises ja probleemid tekivad kodeerimisvigade või seotud sõltuvuste tõttu. Uusi probleeme avastatakse ka testimis- ja kasutusmeetodite arendamise kaudu.
Tarneahela haavatavustega tegelemine
Organisatsioonid vajavad kaasaegse disaini tagamiseks sobivaid tööriistu ja protsesse. Traditsioonilised lähenemisviisid, nagu haavatavuse haldamine või ajahetkel hindamine, üksi ei suuda sammu pidada. Määrused võivad siiski lubada neid lähenemisviise, mis säilitab lõhe "turvalise" ja "nõuetekohasuse" vahel. Enamik organisatsioone soovib saavutada teatud DevOpsi küpsustaseme. "Pidev" ja "automaatne" on DevOpsi tavade tavalised tunnused. Turvaprotsessid ei tohiks erineda. Turvajuhid peavad oma turvastrateegia osana keskenduma kogu ehitamise, tarnimise ja käitusfaasi ajal.
- Pidev skannimine CI-s/CD-s: Eesmärk on kaitsta ehituskonveierid (st nihutus vasakule), kuid pidage meeles, et te ei saa skannida kogu koodi ja pesastatud koodi. Vasakule nihutamise lähenemisviiside edu piirab skanneri tõhusus, skanneri väljundi korrelatsioon, vabastamisotsuste automatiseerimine ja skanneri valmimine väljalaskeakendes. Tööriistad peaksid aitama leidude riski tähtsuse järjekorda seada. Kõik leiud ei ole rakendatavad ja teie arhitektuuri haavatavused ei pruugi olla kasutatavad.
- Pidev skaneerimine kohaletoimetamise ajal: Toimuvad komponentide kompromissid ja keskkonna triivimine. Rakendusi, infrastruktuuri ja töökoormust tuleks tarnimise ajal skannida juhuks, kui digitaalses tarneahelas oleks registritest või hoidlatest hankimisel ja alglaadimisel midagi ohtu sattunud.
- Pidev skannimine käitusajal: Käitusaegne turvalisus on paljude turvaprogrammide lähtepunkt ja turbeseire on enamiku küberturvalisusega seotud jõupingutuste aluseks. Teil on vaja mehhanisme, mis suudavad koguda ja korreleerida telemeetriat igat tüüpi keskkondades, sealhulgas pilve-, konteineri- ja Kubernetese keskkondades. Käitusajal kogutud ülevaated peaksid andma tagasisidet varasematele koostamise ja tarnimisetappidele. Identiteet ja teenuste vastasmõju
- Eelistage käitusajal paljastatud turvaauke. Kõik organisatsioonid näevad vaeva, et neil oleks piisavalt aega ja ressursse, et kõike skannida ja parandada. Riskipõhine prioriseerimine on turvaprogrammide töös ülioluline. Internetiga kokkupuude on vaid üks tegur. Teine on haavatavuse tõsidus ja organisatsioonid keskenduvad sageli kõrge ja kriitilise raskusastmega probleemidele, kuna nende mõju peetakse kõige suuremaks. Selline lähenemine võib siiski raisata inseneri- ja turvameeskondade töötsükleid, sest nad võivad jahtida turvaauke, mida käitusajal kunagi ei laadita ja mida ei saa kasutada. Kasutage käitusaegset luureandmeid, et kontrollida, millised paketid töötavatesse rakendustesse ja infrastruktuuri tegelikult laaditakse, et teada saada teie organisatsiooni tegelikku turberiski.
Oleme loonud tootespetsiifilised juhised et juhtida kliente läbi hiljutise OpenSSL-i hulluse.
Uusim OpenSSL-i haavatavus ja Log4Shell tuletavad meile meelde küberturvalisuse valmisoleku ja tõhusa turvastrateegia vajadust. Peame meeles pidama, et CVE-ID-d on vaid avaliku tarkvara või riistvara teadaolevad probleemid. Paljud haavatavused jäävad teatamata, eriti kodukoodi nõrkused või keskkonna väärkonfiguratsioonid. Teie küberturvalisuse strateegia peab arvestama hajutatud ja mitmekesist kaasaegse disainiga tehnoloogiat. Teil on vaja ajakohastatud haavatavuse haldusprogrammi, mis kasutab insenerimeeskondade parandustööde prioriteediks käitusaegset ülevaadet. Teil on vaja ka ohtude tuvastamise ja reageerimise võimalusi, mis korreleerivad signaale erinevates keskkondades, et vältida üllatusi.
Teave Autor
.png?width=690&quality=80&format=webply&disable=upscale "Tarneahela riskid tõid teid alla? Olge rahulik ja olge strateegiline!")
Sysdigi küberjulgeoleku strateegia direktor Michael Isbitski on küberjulgeolekut uurinud ja nõustanud üle viie aasta. Ta on kursis pilveturbe, konteinerite turvalisuse, Kubernetese turvalisuse, API turvalisuse, turvatestimise, mobiiliturbe, rakenduste kaitse ja turvalise pideva tarnimisega. Ta on juhendanud lugematuid organisatsioone kogu maailmas nende turvaalgatustes ja nende äri toetamisel.
Enne uurimis- ja nõustamiskogemust omandas Mike IT eesliinil palju raskeid õppetunde, olles üle 20-aastase praktiku- ja juhtimiskogemusega, mis keskendus rakenduste turvalisusele, haavatavuse haldamisele, ettevõtte arhitektuurile ja süsteemitehnoloogiale.
