आईटी में हमेशा नई सुविधाओं और कार्यक्षमता की शिपिंग बनाम तकनीकी ऋण का भुगतान करने के बीच एक समझौता रहा है, जिसमें विश्वसनीयता, प्रदर्शन, परीक्षण ... और हां, सुरक्षा जैसी चीजें शामिल हैं।
इस "तेज़ी से जहाज़ चलाओ और चीज़ों को तोड़ दो" के युग में, सुरक्षा ऋण जमा करना एक ऐसा निर्णय है जो संगठन स्वेच्छा से करते हैं। हर संगठन के जीरा बैकलॉग में "किसी दिन" के लिए सुरक्षा कार्य भरे होते हैं - सुरक्षा पैच तैनात करने और प्रोग्रामिंग भाषाओं और फ्रेमवर्क के नवीनतम, सबसे स्थिर संस्करणों को चलाने जैसी चीजें। सही काम करने में समय लगता है, और टीमें जानबूझकर इन कार्यों को स्थगित कर देती हैं क्योंकि वे नई सुविधाओं को प्राथमिकता दे रही हैं। सीआईएसओ के काम का एक बड़ा हिस्सा उन क्षणों को पहचानना है जब सुरक्षा ऋण का भुगतान किया जाना चाहिए।
एक चीज़ जिसने इसे बनाया Log4j शोषण सीआईएसओ के लिए यह अहसास बहुत चिंताजनक था कि इतना बड़ा संचित ऋण था जो उनके रडार पर भी नहीं था। इसने ओपन सोर्स प्रोजेक्ट्स और उनका उपयोग करने वाले रचनाकारों, अनुरक्षकों, पैकेज प्रबंधकों और संगठनों के पारिस्थितिकी तंत्र के बीच सुरक्षा अंतराल के एक छिपे हुए वर्ग को उजागर किया।
सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा सुरक्षा ऋण बैलेंस शीट पर एक अद्वितीय लाइन आइटम है, लेकिन सीआईएसओ इसे भुगतान करने के लिए एक सुसंगत योजना बना सकते हैं।
भेद्यता का एक नया वर्ग
अधिकांश कंपनियाँ अपने नेटवर्क सुरक्षा को बंद करने में वास्तव में अच्छी हो गई हैं। लेकिन कारनामों की एक पूरी श्रेणी है जो संभव है क्योंकि डेवलपर सिस्टम बनाते हैं और एप्लिकेशन लिखने के लिए जिन सॉफ़्टवेयर कलाकृतियों का उपयोग करते हैं उनमें कोई विश्वास तंत्र या हिरासत की सुरक्षित श्रृंखला नहीं होती है।
आज, सामान्य ज्ञान वाला कोई भी व्यक्ति सुरक्षा जोखिमों के कारण यादृच्छिक थंब ड्राइव को उठाकर उसे अपने कंप्यूटर में प्लग नहीं करना जानता है। लेकिन दशकों से, डेवलपर्स डाउनलोड कर रहे हैं ओपन सोर्स पैकेज यह सत्यापित करने का कोई तरीका नहीं है कि वे सुरक्षित हैं।
बुरे अभिनेता इस आक्रमण वेक्टर का लाभ उठा रहे हैं क्योंकि यह नया कम जोखिम वाला फल है। उन्हें एहसास होता है कि वे इन छिद्रों के माध्यम से पहुंच प्राप्त कर सकते हैं, और एक बार अंदर जाने के बाद, उन सभी अन्य प्रणालियों की ओर रुख करते हैं जिनकी निर्भरता प्रवेश पाने के लिए उपयोग की जाने वाली किसी भी असुरक्षित कलाकृति पर होती है।
बिल्ड सिस्टम को लॉक करके खुदाई बंद करें
सीआईएसओ के लिए मौलिक प्रारंभिक बिंदु, डेवलपर गाइड जैसी सामग्रियों में समर्थित है "सॉफ़्टवेयर आपूर्ति श्रृंखला को सुरक्षित करना,” का उद्देश्य एनआईएसटी के सिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ) और ओपनएसएसएफ जैसे ओपन सोर्स फ्रेमवर्क का उपयोग शुरू करना है। सॉफ़्टवेयर कलाकृतियों के लिए आपूर्ति श्रृंखला स्तर (एसएलएसए)। ये मूल रूप से आपकी आपूर्ति श्रृंखला को बंद करने के लिए निर्देशात्मक कदम हैं। एसएलएसए स्तर 1 एक बिल्ड सिस्टम का उपयोग करना है। स्तर 2 कुछ लॉग और मेटाडेटा निर्यात करना है (ताकि आप बाद में चीजों को देख सकें और घटना पर प्रतिक्रिया कर सकें)। स्तर 3 सर्वोत्तम प्रथाओं की एक श्रृंखला का पालन करना है। स्तर 4 वास्तव में सुरक्षित निर्माण प्रणाली का उपयोग करना है। इन पहले चरणों का पालन करके, सीआईएसओ एक सॉफ्टवेयर आपूर्ति श्रृंखला के निर्माण के लिए एक मजबूत आधार तैयार कर सकता है जो डिफ़ॉल्ट रूप से सुरक्षित है।
चीजें अधिक सूक्ष्म हो जाती हैं क्योंकि सीआईएसओ उन नीतियों के बारे में सोचते हैं कि डेवलपर टीमें पहले स्थान पर ओपन सोर्स सॉफ्टवेयर कैसे हासिल करती हैं। डेवलपर्स को कैसे पता चलता है कि "सुरक्षित" मानी जाने वाली चीज़ों के लिए उनकी कंपनी की नीतियां क्या हैं? और वे कैसे जानते हैं कि वे जो खुला स्रोत प्राप्त कर रहे हैं (जो कि इसका गठन करता है महान बहुमत इन दिनों डेवलपर्स द्वारा उपयोग किए जाने वाले सभी सॉफ़्टवेयर) वास्तव में छेड़छाड़ रहित हैं?
बिल्ड सिस्टम को लॉक करके और सॉफ़्टवेयर कलाकृतियों को पर्यावरण में लाने से पहले उनकी उत्पत्ति को सत्यापित करने के लिए एक दोहराने योग्य विधि बनाकर, सीआईएसओ प्रभावी रूप से सुरक्षा ऋण में अपने संगठन के लिए गहरा छेद खोदना बंद कर सकते हैं।
पुराने सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा ऋण का भुगतान करने के बारे में क्या?
अपनी आधार छवियों को लॉक करके खुदाई करना बंद करने और वातावरण बनाने के बाद, अब आपको अपने सॉफ़्टवेयर को अपडेट करने और आधार छवि संस्करणों सहित अपनी कमजोरियों को ठीक करने की आवश्यकता है।
सॉफ़्टवेयर को अपडेट करना और सीवीई को पैच करना बहुत कठिन है। यह उबाऊ है, इसमें समय लगता है, यह एक घर का काम है - यह काम है। यह साइबर सुरक्षा का "अपनी सब्जियां खाओ" है। इस ऋण का भुगतान करने के लिए सीआईएसओ और विकास टीमों के बीच गहरे सहयोग की आवश्यकता है। यह दोनों टीमों के लिए अधिक सुरक्षित, उत्पादक टूलींग और प्रक्रियाओं पर सहमत होने का एक अवसर है जो किसी संगठन की सॉफ़्टवेयर आपूर्ति श्रृंखला को डिफ़ॉल्ट रूप से सुरक्षित बनाने में मदद कर सकता है।
जैसे कुछ लोगों को बदलाव पसंद नहीं है, वैसे ही कुछ सॉफ़्टवेयर टीमें अपने कंटेनर बेस छवियों को अपडेट करना पसंद नहीं करती हैं। आधार छवि कंटेनर-आधारित सॉफ़्टवेयर अनुप्रयोगों की पहली परत है। आधार छवि को नए संस्करण में अपडेट करना कभी-कभी सॉफ़्टवेयर एप्लिकेशन को ख़राब कर सकता है, खासकर यदि अपर्याप्त परीक्षण कवरेज हो। इसलिए, कुछ सॉफ़्टवेयर टीमें यथास्थिति को प्राथमिकता देती हैं, अनिवार्य रूप से एक कार्यशील आधार छवि संस्करण पर अनिश्चित काल तक घूमती रहती हैं जो संभवतः प्रतिदिन सीवीई जमा कर रहा है।
कमजोरियों के इस संचय से बचने के लिए, सॉफ़्टवेयर टीमों को छोटे बदलावों के साथ छवियों को बार-बार अपडेट करना चाहिए और कैनरी रिलीज़ जैसी "उत्पादन में परीक्षण" प्रथाओं का उपयोग करना चाहिए। कंटेनर छवियों का उपयोग करना जो कठोर हैं, आकार में न्यूनतम हैं, और महत्वपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा मेटाडेटा के साथ निर्मित हैं, जैसे सामग्री के सॉफ्टवेयर बिल (एसबीओएम), उद्गम और हस्ताक्षर, आधार छवियों में दैनिक भेद्यता प्रबंधन के समय लेने वाले दर्द को कम करने में मदद कर सकते हैं। ये तकनीकें सुरक्षित रहने और यह सुनिश्चित करने के बीच सही संतुलन बनाती हैं कि उत्पादन कम न हो।
जैसे ही आप जाएं भुगतान करना शुरू करें
सुरक्षा ऋण के बारे में विशिष्ट रूप से अप्रिय बात यह है कि जब आप इसे "किसी दिन" के लिए दाखिल करते रहते हैं, तो यह आम तौर पर तब अपना सिर उठाता है जब आप सबसे कमजोर होते हैं और कम से कम इसका भुगतान करने में सक्षम होते हैं। Log4j भेद्यता व्यस्त अवकाश ई-कॉमर्स चक्र से ठीक पहले आई और अगले वर्ष के लिए कई इंजीनियरिंग और सुरक्षा टीमों को पंगु बना दिया। कोई भी सीआईएसओ गुप्त सुरक्षा आश्चर्य छिपाकर रखना नहीं चाहता।
प्रत्येक CISO को अधिक सुरक्षित बिल्ड सिस्टम में न्यूनतम निवेश करना चाहिए, डेवलपर्स द्वारा इसे पर्यावरण में लाने से पहले सॉफ़्टवेयर की उत्पत्ति स्थापित करने के लिए सॉफ़्टवेयर हस्ताक्षर करने के तरीके, और कठोर, न्यूनतम कंटेनर बेस छवियां जो सॉफ़्टवेयर और अनुप्रयोगों की नींव पर हमले की सतह को कम करती हैं। .
इस विशाल सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा ऋण अदायगी में गहराई से, सीआईएसओ को इस बात का सामना करना पड़ता है कि वे अपने डेवलपर्स को कितना भुगतान करने के इच्छुक हैं (कमजोरियों के साथ आधार छवियों और सॉफ़्टवेयर को लगातार अपडेट करके) बनाम उस ऋण को स्थगित करना और स्वीकार्य स्तर प्राप्त करना भेद्यता।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :हैस
- :है
- :नहीं
- $यूपी
- 1
- 7
- a
- About
- स्वीकार्य
- पहुँच
- जमा हुआ
- संचय
- प्राप्त करने
- अधिग्रहण
- प्राप्ति
- अभिनेताओं
- सब
- कम करना
- भी
- हमेशा
- an
- और
- किसी
- आवेदन
- अनुप्रयोगों
- हैं
- AS
- At
- आक्रमण
- से बचने
- दूर
- शेष
- तुलन पत्र
- आधार
- मूल रूप से
- BE
- क्योंकि
- किया गया
- से पहले
- BEST
- सर्वोत्तम प्रथाओं
- के बीच
- बड़ा
- विधेयकों
- बोरिंग
- के छात्रों
- टूटना
- लाना
- लाना
- निर्माण
- इमारत
- बनाया गया
- व्यस्त
- लेकिन
- by
- कर सकते हैं
- बड़े अक्षरों में
- श्रृंखला
- परिवर्तन
- परिवर्तन
- सीआईएसओ
- कक्षा
- सुसंगत
- सहयोग
- सामान्य
- कंपनियों
- कंपनी
- कंप्यूटर
- माना
- कंटेनर
- लगातार
- पहेली
- व्याप्ति
- बनाना
- बनाना
- रचनाकारों
- महत्वपूर्ण
- हिरासत
- साइबर सुरक्षा
- चक्र
- दैनिक
- दिन
- ऋण
- दशकों
- निर्णय
- गहरा
- और गहरा
- चूक
- तैनाती
- डेवलपर
- डेवलपर्स
- विकास
- do
- नहीं करता है
- कर
- डॉन
- नीचे
- ड्राइव
- दो
- ई - कॉमर्स
- खाने
- पारिस्थितिकी प्रणालियों
- प्रभावी रूप से
- अभियांत्रिकी
- प्रविष्टि
- वातावरण
- वातावरण
- युग
- विशेष रूप से
- अनिवार्य
- स्थापित करना
- और भी
- प्रत्येक
- कारनामे
- निर्यात
- उजागर
- चेहरा
- फास्ट
- विशेषताएं
- फाइलिंग
- प्रथम
- पहला चरण
- का पालन करें
- निम्नलिखित
- के लिए
- बुनियाद
- ढांचा
- चौखटे
- अक्सर
- कार्यक्षमता
- मौलिक
- लाभ
- अंतराल
- मिल
- Go
- अच्छा
- गाइड
- है
- सिर
- मदद
- छिपा हुआ
- छेद
- छेद
- छुट्टी का दिन
- कैसे
- HTTPS
- विशाल
- if
- की छवि
- छवियों
- in
- घटना
- घटना की प्रतिक्रिया
- शामिल
- सहित
- असुरक्षित
- अंदर
- में
- निवेश
- IT
- आईटी इस
- काम
- केवल
- रखना
- जानना
- भाषाऐं
- बाद में
- परत
- कम से कम
- स्तर
- स्तर
- लीवरेज
- पसंद
- संभावित
- लाइन
- लॉग4जे
- देखिए
- बनाया गया
- बनाना
- निर्माण
- प्रबंध
- प्रबंधक
- बहुत
- विशाल
- सामग्री
- तंत्र
- मेटाडाटा
- तरीका
- तरीकों
- कम से कम
- न्यूनतम
- लम्हें
- अधिक
- अधिकांश
- बहुत
- चाहिए
- आवश्यकता
- नेटवर्क
- नेटवर्क सुरक्षा
- नया
- नई सुविधाएँ
- नवीनतम
- NIST
- नहीं
- अभी
- of
- पुराना
- on
- एक बार
- खुला
- खुला स्रोत
- अवसर
- or
- संगठन
- संगठनों
- अन्य
- के ऊपर
- पैकेज
- प्रदत्त
- दर्द
- भाग
- पैच
- पैच
- पैच
- वेतन
- का भुगतान
- पीडीएफ
- स्टाफ़
- प्रदर्शन
- चुनना
- प्रधान आधार
- जगह
- योजना
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- प्लग
- बिन्दु
- नीतियाँ
- संभव
- प्रथाओं
- पसंद करते हैं
- प्राथमिकता
- प्रक्रियाओं
- उत्पादन
- उत्पादक
- प्रोग्रामिंग
- प्रोग्रामिंग की भाषाएँ
- परियोजनाओं
- सूत्र
- रखना
- राडार
- बिना सोचे समझे
- RE
- वसूली
- महसूस करना
- वास्तव में
- मान्यता देना
- को कम करने
- विज्ञप्ति
- विश्वसनीयता
- repeatable
- की आवश्यकता होती है
- प्रतिक्रिया
- सही
- जोखिम
- दौड़ना
- s
- सुरक्षित
- सुरक्षित
- सुरक्षा
- सुरक्षा जोखिम
- भावना
- कई
- चादर
- समुंद्री जहाज
- शिपिंग
- चाहिए
- हस्ताक्षर
- पर हस्ताक्षर
- आकार
- छोटा
- So
- सॉफ्टवेयर
- सॉफ्टवेयर विकास
- कुछ
- किसी दिन
- स्रोत
- स्थिर
- प्रारंभ
- शुरुआत में
- स्थिति
- कदम
- रुकें
- रोक
- हड़ताल
- मजबूत
- सुपर
- आपूर्ति
- आपूर्ति श्रृंखला
- निश्चित
- सतह
- आश्चर्य
- प्रणाली
- सिस्टम
- लेता है
- कार्य
- टीमों
- तकनीकी
- तकनीक
- परीक्षण
- परीक्षण
- कि
- RSI
- लेकिन हाल ही
- उन
- वहाँ।
- इन
- वे
- बात
- चीज़ें
- सोचना
- इसका
- उन
- यहाँ
- पहर
- बहुत समय लगेगा
- सेवा मेरे
- एक साथ
- ट्रस्ट
- आम तौर पर
- अद्वितीय
- विशिष्ट
- अपडेट
- अद्यतन
- उपयोग
- प्रयुक्त
- का उपयोग
- Ve
- सत्यापित
- संस्करण
- बनाम
- स्वेच्छा से
- कमजोरियों
- भेद्यता
- चपेट में
- चाहता है
- था
- नहीं था
- मार्ग..
- कुंआ
- क्या
- जो कुछ
- कब
- कौन कौन से
- कौन
- पूरा का पूरा
- तैयार
- साथ में
- काम
- काम कर रहे
- लिखना
- वर्ष
- हाँ
- आप
- आपका
- जेफिरनेट