Il y a toujours eu un compromis en informatique entre la fourniture de nouvelles fonctionnalités et le remboursement de la dette technique, qui inclut des éléments tels que la fiabilité, les performances, les tests… et, bien sûr, la sécurité.
À l’ère du « expédier vite et casser les choses », accumuler des dettes de sécurité est une décision que les organisations prennent volontairement. Chaque organisation a des tâches de sécurité intégrées dans ses backlogs Jira pour « un jour » – des choses comme le déploiement de correctifs de sécurité et l'exécution des versions les plus récentes et les plus stables des langages et frameworks de programmation. Faire les bons choix prend du temps, et les équipes reportent délibérément ces tâches car elles donnent la priorité aux nouvelles fonctionnalités. Une grande partie du travail du RSSI consiste à reconnaître les moments où les dettes de sécurité doivent être payées.
Une chose qui a fait le Exploit Log4j Ce qui a été le plus alarmant pour les RSSI, c'est de se rendre compte qu'il existait une énorme dette accumulée qui n'était même pas sur leur radar. Il a révélé une classe cachée de failles de sécurité entre les projets open source et les écosystèmes des créateurs, des responsables, des gestionnaires de paquets et des organisations qui les utilisent.
La sécurité de la chaîne d’approvisionnement logicielle est un poste unique dans le bilan de la dette de sécurité, mais les RSSI peuvent élaborer un plan cohérent pour la rembourser.
Une nouvelle classe de vulnérabilité
La plupart des entreprises sont devenues très efficaces dans le verrouillage de la sécurité de leur réseau. Mais il existe toute une classe d'exploits possibles parce que les systèmes de construction des développeurs et les artefacts logiciels qu'ils exploitent pour écrire des applications ne disposent pas d'un mécanisme de confiance ni d'une chaîne de contrôle sécurisée.
Aujourd’hui, toute personne sensée sait qu’il ne faut pas prendre une clé USB au hasard et la brancher sur son ordinateur en raison des risques de sécurité. Mais depuis des décennies, les développeurs téléchargent paquets open source sans aucun moyen de vérifier qu'ils sont en sécurité.
Les mauvais acteurs capitalisent sur ce vecteur d’attaque car il s’agit du nouveau fruit à portée de main. Ils se rendent compte qu’ils peuvent accéder par ces trous et, une fois à l’intérieur, pivoter vers tous les autres systèmes qui dépendent de l’artefact non sécurisé qu’ils ont utilisé pour accéder.
Arrêtez de creuser en verrouillant les systèmes de construction
Le point de départ fondamental pour les RSSI, approuvé dans des documents comme le guide du développeur «Sécuriser la chaîne d'approvisionnement logicielle, » est de commencer à utiliser des frameworks open source comme le Secure Software Development Framework (SSDF) du NIST et OpenSSF. Niveaux de chaîne d’approvisionnement pour les artefacts logiciels (SLSA). Il s’agit essentiellement d’étapes normatives pour verrouiller votre chaîne d’approvisionnement. SLSA niveau 1 consiste à utiliser un système de build. Le niveau 2 consiste à exporter certains journaux et métadonnées (afin que vous puissiez ultérieurement rechercher des éléments et répondre aux incidents). Le niveau 3 consiste à suivre une série de bonnes pratiques. Le niveau 4 consiste à utiliser un système de construction vraiment sécurisé. En suivant ces premières étapes, les RSSI peuvent créer une base solide pour construire une chaîne d’approvisionnement logicielle sécurisée par défaut.
Les choses deviennent plus nuancées à mesure que les RSSI réfléchissent aux politiques régissant la manière dont les équipes de développeurs acquièrent en premier lieu les logiciels open source. Comment les développeurs savent-ils quelles sont les politiques de leur entreprise concernant ce qui est considéré comme « sécurisé » ? Et comment savent-ils que l'open source qu'ils acquièrent (qui constitue le grande majorité de tous les logiciels utilisés par les développeurs de nos jours) est effectivement intact ?
En verrouillant les systèmes de build et en créant une méthode reproductible pour vérifier la provenance des artefacts logiciels avant de les intégrer dans l'environnement, les RSSI peuvent effectivement cesser de creuser un trou plus profond pour leur organisation dans la dette de sécurité.
Qu’en est-il du remboursement des anciennes dettes de sécurité de la chaîne d’approvisionnement en logiciels ?
Après avoir arrêté de creuser en verrouillant vos images de base et vos environnements de construction, vous devez maintenant mettre à jour votre logiciel et corriger vos vulnérabilités, y compris les versions des images de base.
Mettre à jour les logiciels et corriger les CVE est extrêmement fastidieux. C'est ennuyeux, ça prend du temps, c'est une corvée, c'est du travail. C'est le « mangez vos légumes » de la cybersécurité. Rembourser cette dette nécessite une collaboration approfondie entre les RSSI et les équipes de développement. C'est également l'occasion pour les deux équipes de se mettre d'accord sur des outils et des processus plus sécurisés et productifs qui peuvent contribuer à sécuriser par défaut la chaîne d'approvisionnement logicielle d'une organisation.
Tout comme certaines personnes n'aiment pas le changement, certaines équipes logicielles n'aiment pas mettre à jour les images de leur base de conteneurs. L'image de base est la première couche d'applications logicielles basées sur des conteneurs. La mise à jour d'une image de base vers une nouvelle version peut parfois interrompre l'application logicielle, surtout si la couverture des tests est inadéquate. Ainsi, certaines équipes logicielles préfèrent le statu quo, flânant indéfiniment sur une version d’image de base de travail qui accumule probablement des CVE quotidiennement.
Pour éviter cette accumulation de vulnérabilités, les équipes logicielles doivent mettre à jour fréquemment les images avec de petites modifications et utiliser des pratiques de « tests en production » telles que les versions Canary. Utiliser des images de conteneurs renforcées, de taille minimale et construites avec des métadonnées critiques de sécurité de la chaîne d'approvisionnement logicielle, comme nomenclatures logicielles (SBOM), la provenance et les signatures peuvent contribuer à alléger la tâche fastidieuse liée à la gestion quotidienne des vulnérabilités dans les images de base. Ces techniques trouvent le juste équilibre entre rester en sécurité et garantir que la production ne baisse pas.
Commencez à payer au fur et à mesure
Ce qui est particulièrement désagréable avec les dettes de sécurité, c'est que lorsque vous continuez à les classer pour « un jour », elles surgissent généralement lorsque vous êtes le plus vulnérable et que vous pouvez le moins vous permettre de les payer. La vulnérabilité Log4j est apparue juste avant le cycle chargé du commerce électronique pendant les fêtes et a paralysé de nombreuses équipes d'ingénierie et de sécurité jusqu'au cours de l'année suivante. Aucun RSSI ne souhaite être confronté à des surprises de sécurité cachées.
Chaque RSSI devrait investir un minimum dans des systèmes de construction plus sécurisés, des méthodes de signature de logiciels pour établir la provenance du logiciel avant que les développeurs ne l'intègrent dans l'environnement, et des images de base de conteneurs renforcées et minimales qui réduisent la surface d'attaque à la base des logiciels et des applications. .
Plus profondément dans ce remboursement massif de la dette de sécurité de la chaîne d'approvisionnement logicielle, les RSSI sont confrontés à un dilemme : combien ils sont prêts à faire payer leurs développeurs au fur et à mesure (en mettant continuellement à jour les images de base et les logiciels avec des vulnérabilités) ou en reportant cette dette et en atteignant un niveau acceptable de dette ? vulnérabilité.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :possède
- :est
- :ne pas
- $UP
- 1
- 7
- a
- A Propos
- acceptable
- accès
- Accumulé
- accumulation
- la réalisation de
- acquérir
- acquisition
- acteurs
- Tous
- alléger
- aussi
- toujours
- an
- et les
- chacun.e
- Application
- applications
- SONT
- AS
- At
- attaquer
- éviter
- et
- Balance
- Bilan
- base
- En gros
- BE
- car
- était
- before
- LES MEILLEURS
- les meilleures pratiques
- jusqu'à XNUMX fois
- Big
- Billets
- Forage
- tous les deux
- Pause
- apporter
- Apporter
- construire
- Développement
- construit
- occupé
- mais
- by
- CAN
- capitalisant
- chaîne
- Change
- Modifications
- CISO
- classe
- COHÉRENT
- collaboration
- Commun
- Sociétés
- Société
- ordinateur
- considéré
- Contenant
- continuellement
- énigme
- couverture
- engendrent
- La création
- créateurs
- critique
- Garde
- Cybersécurité
- cycle
- Tous les jours
- jours
- Dette
- décennies
- décision
- profond
- profond
- Réglage par défaut
- déployer
- Développeur
- mobiles
- Développement
- do
- doesn
- faire
- Don
- down
- motivation
- deux
- e-commerce
- manger
- Écosystèmes
- de manière efficace
- ENGINEERING
- entrée
- Environment
- environnements
- Ère
- notamment
- essentiellement
- établir
- Pourtant, la
- Chaque
- exploits
- Exporter
- exposé
- Visage
- RAPIDE
- Fonctionnalités:
- Dépôt
- Prénom
- premières étapes
- suivre
- Abonnement
- Pour
- Fondation
- Framework
- cadres
- fréquemment
- fondamental
- Gain
- lacunes
- obtenez
- Go
- Bien
- guide
- Vous avez
- front
- aider
- caché
- Trou
- des trous
- Idées
- Comment
- HTTPS
- majeur
- if
- image
- satellite
- in
- incident
- réponse à l'incident
- inclut
- Y compris
- peu sûr
- à l'intérieur
- développement
- un investissement
- IT
- SES
- Emploi
- juste
- XNUMX éléments à
- Savoir
- Langues
- plus tard
- couche
- au
- Niveau
- niveaux
- Levier
- comme
- Probable
- Gamme
- log4j
- Style
- LES PLANTES
- a prendre une
- Fabrication
- gestion
- Gestionnaires
- de nombreuses
- massif
- matières premières.
- mécanisme
- Métadonnées
- méthode
- méthodes
- minimal
- minimum
- Des moments
- PLUS
- (en fait, presque toutes)
- beaucoup
- must
- Besoin
- réseau et
- Network Security
- Nouveauté
- Nouvelles fonctionnalités
- Date
- nist
- aucune
- maintenant
- of
- Vieux
- on
- une fois
- ouvert
- open source
- Opportunités
- or
- organisation
- organisations
- Autre
- plus de
- paquet
- payé
- Pain
- partie
- Pièce
- Patches
- patcher
- Payer
- payant
- Personnes
- performant
- en particulier pendant la préparation
- Pivoter
- Place
- plan
- Platon
- Intelligence des données Platon
- PlatonDonnées
- fiche
- Point
- politiques
- possible
- pratiques
- préfère
- priorisation
- les process
- Vidéo
- productif
- Programmation
- langages de programmation
- projets
- provenance
- mettre
- radar
- aléatoire
- RE
- la concrétisation
- réaliser
- vraiment
- reconnaissant
- réduire
- de Presse
- fiabilité
- répétable
- a besoin
- réponse
- bon
- risques
- pour le running
- s
- des
- sécurisé
- sécurité
- risques de sécurité
- sens
- Série
- feuille
- NAVIRE
- Livraison
- devrait
- Signatures
- signature
- Taille
- petit
- So
- Logiciels
- développement de logiciels
- quelques
- un jour
- Identifier
- stable
- Commencer
- Commencez
- Statut
- Étapes
- Arrêter
- arrêté
- grève
- STRONG
- Super
- la quantité
- chaîne d'approvisionnement
- sûr
- Surface
- surprises
- combustion propre
- Système
- prend
- tâches
- équipes
- Technique
- techniques
- tester
- Essais
- qui
- La
- leur
- Les
- Là.
- Ces
- l'ont
- chose
- des choses
- penser
- this
- ceux
- Avec
- fiable
- long
- à
- ensemble
- La confiance
- typiquement
- expérience unique et authentique
- uniquement
- Mises à jour
- la mise à jour
- utilisé
- d'utiliser
- en utilisant
- Ve
- vérifier
- version
- Versus
- volontairement
- vulnérabilités
- vulnérabilité
- Vulnérable
- veut
- était
- était
- Façon..
- WELL
- Quoi
- quelle que soit
- quand
- qui
- WHO
- la totalité
- prêt
- comprenant
- activités principales
- de travail
- écrire
- an
- Oui
- Vous n'avez
- Votre
- zéphyrnet