Lukitse ohjelmiston toimitusketju "Secure by Design" -sovelluksella

Ohjelmisto, joka priorisoi tietoturvan perustasollaan, tarkoittaa järjestelmän suunnittelua siten, että asiakasturvallisuus on keskeinen tavoite sen sijaan, että se on kiinnitetty ominaisuus. Ja tämä konsepti – suunniteltu turvalliseksi – on tulossa yhä tärkeämmäksi, kun hyökkääjät alkavat hyökätä toimitusketjuihin useammin.

"He ymmärtävät, että heillä voi olla suurempi vaikutus hyödyntämällä menestyksekkäästi toimitusketjua", sanoo NetRisen toimitusjohtaja Thomas Pace. Koska perinteiset tietoturvaratkaisut, kuten EDR, palomuurit ja roskapostisuodattimet, ovat onnistuneet estämään suorat hyökkäykset, hyökkääjien on etsittävä aukkoja ketjun ylemmältä.

Ja yhteen liitetyt järjestelmät tarjoavat juuri tällaisen avauksen. "Kyberhyökkäykset ovat helpompia, kun yritykset ja toimittajat yrittävät "kiveä" turvallisuutta jälkikäteen", sanoo David Brumley, ForAllSecuren toimitusjohtaja. "Se on kuin jälkimarkkinastereon laittaminen autoon - se ei vain toimi oikein."

Parantaakseen ohjelmistojen turvallisuutta maailmanlaajuisesti Cybersecurity and Infrastructure Security Agency (CISA) ehdotti aloitetta, jonka tavoitteena on mullistaa kehityskäytännöt ottamalla "secure by design" -periaatteet mukaan ohjelmistokehityksen elinkaareen. Se kuvastaa keskeistä muutosta kohti ennakoivia turvatoimia.

- tietopyyntö keskittyy toistuvien ohjelmiston haavoittuvuuksien korjaamiseen, operatiivisen teknologian vahvistamiseen ja turvallisten käytäntöjen vaikutuksen arvioimiseen kustannuksiin. Kommenttipyyntö, joka on avoinna 20 asti, korostaa myös teknologian valmistajien ja kuluttajien yhteistä vastuuta sellaisen tulevaisuuden edistämisessä, jossa teknologia on luonnostaan ​​turvallista.

"Suunnittelusuojaus tarkoittaa, että tietoturva on osa ohjelmiston rakentamista alusta alkaen", Brumley selittää. "Tämä tarkoittaa, että se on paljon kestävämpi hyökkäyksiä vastaan."

Turvallisuuden perustaso

Qualys Threat Research Unitin kyberuhkien johtaja Ken Dunham selittää, että suunniteltu suojaus alkaa arkkitehtuurista ja riskienhallinnan periaatteista toiminnassa ennen kuin organisaatio siirtyy pilveen tai alkaa käyttää sitä.

"Tämä on kriittinen osa nykyaikaista, monimutkaista hybridiinfrastruktuuria", hän sanoo. "Jaetun vastuun maailmassa organisaatioiden on päätettävä, mikä riski on hyväksyttävä ja mahdollisesti suurempi riski jaettava kolmansien osapuolten kanssa verrattuna siihen, mikä on täysin omistettu ja hallittu talon sisällä."

Hän huomauttaa, että ohjelmistotuotannon elinkaari on yhä monimutkaisempi, ja monet sidosryhmät, joiden kaikkien on oltava turvassa riskien vähentämiseksi. Dunham kysyy: "Ovatko toiminnallisuudesta ja käyttökokemuksista välittävät kehittäjät taitavia suojattujen koodausperiaatteiden, nykyajan hyökkäyksien, suojausvastatoimien ja SecOpsien suhteen?"

Organisaation tietoturvaodotukset painostavat käyttöönottotiimiä ottamaan käyttöön, konfiguroimaan ja valvomaan ohjelmistoja oikein yritysarkkitehtuurin sisällä. "Kuinka kypsiä tietoturva- ja kyberuhkien tiedustelupalvelusi ovat?" hän kysyy. "Luotatko heihin hybridipilvimaailmassa, jossa saatat joutua monimutkaiseen tunkeutumishyökkäykseen kiihtyvällä nopeudella?"

"Kun sinulla on oikeat ihmiset, prosessi ymmärretään hyvin", Brumley myöntää. "Suunnittelet tuotteen perusteellisesti, varmistat, että riippuvuutesi ja kolmannen osapuolen ohjelmistot ovat ajan tasalla, ja käytät modernia tekniikkaa, kuten fuzzingia, löytääksesi tuntemattomia haavoittuvuuksia.

Brumleylle oletusarvoisesti suojattu tarkoittaa tietoturvan suunnittelua, joka toimii sen kanssa, miten ihmiset käyttävät ohjelmistoa. "On olemassa useita suunnitteluperiaatteita, jotka kattavat useita periaatteita - aivan kuten pilvenpiirtäjää rakennettaessa, täytyy ajatella kaikkea rakenteellisesta tuesta ilmastointiin", hän selittää.

IT-tietoturvassa vaaditaan paradigman muutosta

Dunham huomauttaa, että vuosi 2023 oli täynnä esimerkkejä jossa rotuolosuhteet ollut olemassa nolla päivää – huonot toimijat kumosivat haavoittuvuudet ja aseistivat ne nopeammin kuin organisaatiot voisivat korjata ne.

"Jotkut organisaatiot kamppailevat edelleen korjatakseen Log4J-haavoittuvuuksia kaiken tämän ajan jälkeen", hän huomauttaa.

Hän sanoo, että organisaatioiden on tunnistettava hyökkäyspintansa, sisäiset ja ulkoiset, sekä priorisoitava omaisuus ja riskienhallinta sen mukaisesti, jotta he voivat selviytyä haavoittuvuuteen liittyvän hyväksikäytön ja hyökkäysriskin kasvaessa.

Pacen näkökulmasta IT-tietoturvateollisuuden täytyy käydä läpi paradigman muutos siinä, miten se suhtautuu riskeihin ja miten se priorisoidaan parhaiten – ja tämä voi tapahtua vain näkyvyyden myötä toimitusketjussa. Hän jakoi esimerkin, jossa "erittäin suuri organisaatio" ei tiennyt, mitä riippuvuuksia sen turvajärjestelmällä oli, kun se päivitti järjestelmään. "Päivityksen jälkeen se tarkistettiin haavoittuvuusskannerilla ja todettiin, että viimeisin kriittinen Apache Strutsin haavoittuvuus oli läsnä", hän sanoo. "Nyt tämä organisaatio on aiheuttanut vakavan riskin organisaatiolleen."

Turvallinen suunnittelu IoT-aikakaudella

Viakoon Viakoo Labsin varapuheenjohtaja John Gallagher sanoo, että yksi keskeinen haaste on turvallisuuden suunnittelu pitkäikäisille laitteille, kuten esineiden Internetiin (IoT) oleville laitteille, joiden suunnittelussa ei alun perin ollut turvallisuutta.

"Tämä vaatii laajempaa testausta ja saattaa vaatia uusia suunnitteluresursseja", hän sanoo. "Samalla tavalla uusien tietoturvaominaisuuksien rakentaminen on tapa tuoda uusia tietoturva-aukkoja."

Gallagher sanoo, että ohjelmistovalmistajien tulisi omaksua ohjelmistojen materiaalilaskujen (SBOM) käyttö haavoittuvuuksien löytämiseksi ja korjaamiseksi nopeammin. Hän huomauttaa, että yritykset ottavat käyttöön turvallisia suunnittelukäytäntöjä uusiin tuotteisiin, jotka ovat viime kädessä kilpailutekijä markkinoilla.

"MFA:n ja rajoitettujen käyttöoikeuksien lisäksi tuotteisiin suunnitellaan muita toimenpiteitä, kuten oletussalasanojen poistaminen ja mekanismien tarjoaminen laiteohjelmiston helpottamiseksi ja nopeammaksi päivittämiseksi", hän sanoo.

Gallagher huomauttaa, että "turvallisuuden kautta epäselvyyden" välttäminen on toinen turvallisuuden periaate. Esimerkiksi SBOM:t ja avoimen lähdekoodin ohjelmistot tarjoavat turvallisuutta tarjoamalla läpinäkyvyyttä ohjelmistokoodin ympärille.

Pace sanoo, että yksi osa-alueista, josta hän on eniten innoissaan oletus- ja suunnittelusuojaukseen liittyen, on huomattavasti parempi näkyvyys ohjelmistojen toimitusketjussa. "Kun tämä näkyvyys voidaan saavuttaa, voimme alkaa todella ymmärtää, missä ongelmamme ovat perustasolta ja alkaa sitten priorisoida niitä järkevällä tavalla", hän sanoo.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design