IT-alalla on aina ollut kompromissi uusien ominaisuuksien ja toiminnallisuuden toimittamisen ja teknisen velan maksamisen välillä, mikä sisältää muun muassa luotettavuuden, suorituskyvyn, testauksen… ja kyllä, turvallisuuden.
Tällä "laivaa nopeasti ja riko asioita" aikakaudella vakuusvelan kerääminen on päätös, jonka organisaatiot tekevät vapaaehtoisesti. Jokaisella organisaatiolla on tietoturvatehtäviä, jotka on täytetty Jira-ruuhkakuvioihinsa "joku päivä" varten – esimerkiksi tietoturvakorjausten käyttöönotto ja ohjelmointikielten ja -kehysten uusimpien, vakaimpien versioiden käyttäminen. Oikeiden asioiden tekeminen vie aikaa, ja tiimit lykkäävät näitä tehtäviä tahallaan, koska he priorisoivat uusia ominaisuuksia. Suuri osa CISO:n työstä on niiden hetkien tunnistaminen, jolloin vakuusvelat on maksettava.
Yksi asia, joka teki Log4j hyödyntää niin hälyttävää CISO:lle oli tieto siitä, että siellä oli tämä valtava kertynyt velka, joka ei ollut heidän tutkassaan. Se paljasti piilotetun luokan tietoturva-aukot avoimen lähdekoodin projektien ja tekijöiden, ylläpitäjien, pakettien hallinnoijien ja niitä käyttävien organisaatioiden ekosysteemien välillä.
Ohjelmiston toimitusketjun tietoturva on ainutlaatuinen rivi turvavelan taseessa, mutta CISO:t voivat laatia johdonmukaisen suunnitelman sen maksamiseksi.
Uusi haavoittuvuusluokka
Useimmat yritykset ovat onnistuneet lukitsemaan verkkosuojansa todella hyvin. Mutta on olemassa joukko hyväksikäyttöjä, jotka ovat mahdollisia, koska kehittäjien rakentamissa järjestelmissä ja niiden sovellusten kirjoittamiseen käyttämissä ohjelmistoartefakteissa ei ole luottamusmekanismia tai turvallista valvontaketjua.
Nykyään kuka tahansa tervettä järkeä käyttävä tietää, ettei turvariskien vuoksi saa ottaa satunnaista muistitikua ja kytkeä sitä tietokoneeseensa. Mutta vuosikymmenten ajan kehittäjät ovat ladanneet avoimen lähdekoodin paketteja ilman mitään keinoa varmistaa, että ne ovat turvallisia.
Huonot näyttelijät hyödyntävät tätä hyökkäysvektoria, koska se on uusi alhaalla roikkuva hedelmä. He ymmärtävät, että he voivat päästä käsiksi näiden reikien kautta, ja kun he ovat sisällä, he kääntyvät kaikkiin muihin järjestelmiin, jotka ovat riippuvaisia mistä tahansa epävarmasta esineestä, jota he käyttivät päästäkseen sisään.
Lopeta kaivaminen lukitsemalla rakennusjärjestelmät
CISO:n perustavanlaatuinen lähtökohta, joka on vahvistettu materiaaleissa, kuten kehittäjäoppaassa "Ohjelmiston toimitusketjun turvaaminen”, on aloittaa avoimen lähdekoodin kehysten, kuten NISTin Secure Software Development Framework (SSDF) ja OpenSSF:n käyttö. Toimitusketjun tasot ohjelmistoartefakteille (SLSA). Nämä ovat periaatteessa ohjeellisia vaiheita toimitusketjun lukitsemiseksi. SLSA Level 1 on koontijärjestelmän käyttäminen. Taso 2 on viedä joitakin lokeja ja metatietoja (jotta voit myöhemmin etsiä asioita ja reagoida tapauksiin). Taso 3 on noudattaa parhaita käytäntöjä. Taso 4 on käyttää todella turvallista rakennusjärjestelmää. Seuraamalla näitä ensimmäisiä vaiheita CISO:t voivat luoda vahvan perustan ohjelmiston toimitusketjun rakentamiselle, joka on oletusarvoisesti turvallinen.
Asiat muuttuvat vivahteikkaammiksi, kun CISO:t ajattelevat käytäntöjä siitä, kuinka kehittäjätiimit hankkivat avoimen lähdekoodin ohjelmistoja alun perin. Mistä kehittäjät tietävät, mitkä heidän yrityksensä noudattavat "turvallisiksi katsottuja" käytäntöjä? Ja mistä he tietävät, että heidän hankkimansa avoin lähdekoodi (joka muodostaa suuri enemmistö kaikista kehittäjien nykyään käyttämistä ohjelmistoista) on todellakin koskematon?
Lukitsemalla rakennusjärjestelmät ja luomalla toistettavan menetelmän ohjelmistoartefaktien alkuperän tarkistamiseksi ennen niiden tuomista ympäristöön, CISO:t voivat tehokkaasti lopettaa organisaatiolleen syvemmän kuopan kaivamisen turvavelkoihin.
Entä vanhan ohjelmiston toimitusketjun turvavelan maksaminen?
Kun olet lopettanut kaivauksen lukitsemalla peruskuvasi ja rakennusympäristösi, sinun on nyt päivitettävä ohjelmistosi ja korjattava haavoittuvuuksiasi, mukaan lukien peruskuvaversiot.
Ohjelmiston päivittäminen ja CVE-päivitys on erittäin työlästä. Se on tylsää, se vie aikaa, se on urakka – se on työtä. Se on kyberturvallisuuden "syö vihanneksia". Tämän velan maksaminen vaatii syvää yhteistyötä CISO:n ja kehitystiimien välillä. Se tarjoaa myös molemmille tiimeille mahdollisuuden sopia turvallisemmista, tuottavammista työkaluista ja prosesseista, jotka voivat auttaa tekemään organisaation ohjelmistojen toimitusketjusta oletusarvoisesti turvallisen.
Aivan kuten jotkut ihmiset eivät pidä muutoksesta, jotkin ohjelmistotiimit eivät pidä konttipohjakuvien päivittämisestä. Peruskuva on konttipohjaisten ohjelmistosovellusten ensimmäinen kerros. Peruskuvan päivittäminen uuteen versioon voi joskus rikkoa ohjelmistosovelluksen, varsinkin jos testikattavuus ei ole riittävä. Joten jotkin ohjelmistotiimit pitävät parempana status quoa, pääasiallisesti oleskelevat loputtomiin toimivan peruskuvaversion parissa, joka todennäköisesti kerää CVE:itä päivittäin.
Välttääkseen tämän haavoittuvuuksien kertymisen ohjelmistotiimien tulisi päivittää kuvia usein pienin muutoksin ja käyttää "tuotannon testaus" -käytäntöjä, kuten Canary-julkaisuja. Säiliökuvien käyttäminen, jotka ovat karkaistuja, pienikokoisia ja rakennettu kriittisten ohjelmistojen toimitusketjun tietoturvan metatiedoilla, kuten ohjelmistojen materiaalilaskut (SBOM), alkuperä ja allekirjoitukset, voivat auttaa lievittämään peruskuvien päivittäisen haavoittuvuuden hallinnan aikaa vievää tuskaa. Nämä tekniikat löytävät oikean tasapainon turvallisuuden ja tuotannon vähenemisen välttämisen välillä.
Aloita maksaminen kuten menet
Se, mikä on ainutlaatuisen epämiellyttävää arvopaperivelassa, on se, että kun jatkat sen arkistointia "jonnakin päivänä", se nostaa päätään yleensä silloin, kun olet haavoittuvimmassa asemassa ja sinulla on vähiten varaa maksaa sitä. Log4j-haavoittuvuus iski juuri ennen kiireistä loman sähköisen kaupankäynnin sykliä ja lamautti monia suunnittelu- ja turvallisuustiimejä pitkälle seuraavaan vuoteen. Mikään CISO ei halua piilotettuja turvallisuusyllätyksiä.
Jokaisen CISO:n tulisi tehdä vähimmäisinvestoinnit turvallisempiin rakennusjärjestelmiin, ohjelmistojen allekirjoitusmenetelmiin ohjelmiston alkuperän selvittämiseksi ennen kuin kehittäjät tuovat sen ympäristöön, sekä kovetettuihin, minimaalisiin konttipohjakuviin, jotka vähentävät hyökkäyspintaa ohjelmistojen ja sovellusten perustassa. .
Syvemmin tähän massiiviseen ohjelmistojen toimitusketjun turvavelkojen maksuun CISO:t kohtaavat hämmennyksen siitä, kuinka paljon ne ovat valmiita maksamaan kehittäjilleen menonsa mukaan (päivittämällä jatkuvasti peruskuvia ja ohjelmistoja haavoittuvuuksilla) verrattuna velan lykkäämiseen ja hyväksyttävän tason saavuttamiseen. haavoittuvuus.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :on
- :On
- :ei
- $ YLÖS
- 1
- 7
- a
- Meistä
- hyväksyttävä
- pääsy
- kertyneet
- kertymä
- saavuttamisessa
- hankkia
- hankkiminen
- toimijoiden
- Kaikki
- lievittää
- Myös
- aina
- an
- ja
- joku
- Hakemus
- sovellukset
- OVAT
- AS
- At
- hyökkäys
- välttää
- pois
- Balance
- Tase
- pohja
- Pohjimmiltaan
- BE
- koska
- ollut
- ennen
- PARAS
- parhaat käytännöt
- välillä
- Iso
- Setelit
- Tylsä
- sekä
- Tauko
- tuoda
- Tuominen
- rakentaa
- Rakentaminen
- rakennettu
- kiireinen
- mutta
- by
- CAN
- hyödyntäminen
- ketju
- muuttaa
- Muutokset
- CISO
- luokka
- JOHDONMUKAINEN
- yhteistyö
- Yhteinen
- Yritykset
- yritys
- tietokone
- harkittu
- Kontti
- jatkuvasti
- arvoitus
- kattavuus
- luoda
- Luominen
- luojat
- kriittinen
- huolto
- tietoverkkojen
- sykli
- päivittäin
- päivää
- Velka
- vuosikymmeninä
- päätös
- syvä
- syvempää
- oletusarvo
- levityspinnalta
- Kehittäjä
- kehittäjille
- Kehitys
- do
- doesnt
- tekee
- Don
- alas
- ajaa
- kaksi
- verkkokaupan
- syödä
- ekosysteemit
- tehokkaasti
- Tekniikka
- merkintä
- ympäristö
- ympäristöissä
- Aikakausi
- erityisesti
- olennaisesti
- perustaa
- Jopa
- Joka
- hyödyntää
- vienti
- avoin
- Kasvot
- FAST
- Ominaisuudet
- Arkistointi
- Etunimi
- Ensiaskeleet
- seurata
- jälkeen
- varten
- perusta
- Puitteet
- puitteet
- usein
- toiminnallisuus
- perus-
- Saada
- aukkoja
- saada
- Go
- hyvä
- ohjaavat
- Olla
- pää
- auttaa
- kätketty
- Reikä
- Holes
- Loma
- Miten
- HTTPS
- valtava
- if
- kuva
- kuvien
- in
- tapaus
- tapahtuman vastaus
- sisältää
- Mukaan lukien
- turvaton
- sisällä
- tulee
- investointi
- IT
- SEN
- Job
- vain
- Pitää
- Tietää
- kielet
- myöhemmin
- kerros
- vähiten
- Taso
- tasot
- Vaikutusvalta
- pitää
- Todennäköisesti
- linja
- log4j
- katso
- tehty
- tehdä
- Tekeminen
- johto
- Päättäjät
- monet
- massiivinen
- tarvikkeet
- mekanismi
- Metadata
- menetelmä
- menetelmät
- minimi
- minimi
- Moments
- lisää
- eniten
- paljon
- täytyy
- Tarve
- verkko
- Network Security
- Uusi
- Uudet ominaisuudet
- Uusimmat
- NIST
- Nro
- nyt
- of
- Vanha
- on
- kerran
- avata
- avoimen lähdekoodin
- Tilaisuus
- or
- organisaatio
- organisaatioiden
- Muut
- yli
- paketti
- maksettu
- Kipu
- osa
- läikkä
- Merkit
- kauneuspilkku
- Maksaa
- maksaa
- Ihmiset
- suorituskyky
- poimia
- Tappi
- Paikka
- suunnitelma
- Platon
- Platonin tietotieto
- PlatonData
- pistoke
- Kohta
- politiikkaa
- mahdollinen
- käytännöt
- mieluummin
- priorisointi
- Prosessit
- tuotanto
- tuottava
- Ohjelmointi
- ohjelmointikielet
- hankkeet
- alkuperä
- laittaa
- tutka
- satunnainen
- RE
- toteutuminen
- ymmärtää
- ihan oikeesti
- tunnustaa
- vähentää
- Tiedotteet
- luotettavuus
- toistettavissa
- Vaatii
- vastaus
- oikein
- riskit
- juoksu
- s
- turvallista
- turvallinen
- turvallisuus
- turvallisuusriskit
- tunne
- Sarjat
- arkki
- LAIVA
- Lähetys
- shouldnt
- allekirjoitukset
- allekirjoittaminen
- Koko
- pieni
- So
- Tuotteemme
- ohjelmistokehitys
- jonkin verran
- jonain päivänä
- lähde
- vakaa
- Alkaa
- Aloita
- Tila
- Askeleet
- stop
- pysähtynyt
- lakko
- vahva
- suuri
- toimittaa
- toimitusketju
- varma
- pinta
- yllätyksiä
- järjestelmä
- järjestelmät
- vie
- tehtävät
- tiimit
- Tekninen
- tekniikat
- testi
- Testaus
- että
- -
- heidän
- Niitä
- Siellä.
- Nämä
- ne
- asia
- asiat
- ajatella
- tätä
- ne
- Kautta
- aika
- aikaavievä
- että
- yhdessä
- Luottamus
- tyypillisesti
- unique
- ainoastaan
- Päivitykset
- päivittäminen
- käyttää
- käytetty
- käyttämällä
- Ve
- todentaa
- versio
- Vastaan
- vapaaehtoisesti
- haavoittuvuuksia
- alttius
- Haavoittuva
- haluaa
- oli
- ei ollut
- Tapa..
- HYVIN
- Mitä
- mikä tahansa
- kun
- joka
- KUKA
- koko
- halukas
- with
- Referenssit
- työskentely
- kirjoittaa
- vuosi
- Joo
- Voit
- Sinun
- zephyrnet