जब सॉफ़्टवेयर में नई भेद्यताएँ खोजी जाती हैं तो सुरक्षा उद्योग सामूहिक रूप से अपना दिमाग खो देता है। OpenSSL कोई अपवाद नहीं है, और दो नई कमजोरियों ने अक्टूबर के अंत और नवंबर 2022 की शुरुआत में समाचार फ़ीड को अभिभूत कर दिया। खोज और प्रकटीकरण केवल इस कभी न खत्म होने वाले भेद्यता चक्र की शुरुआत हैं। प्रभावित संगठनों को उपचार का सामना करना पड़ रहा है, जो विशेष रूप से उन लोगों के लिए दर्दनाक है जो आईटी की अग्रिम पंक्ति में हैं। सुरक्षा नेताओं को नई कमजोरियों पर कुछ शोर को फ़िल्टर करने में मदद करने के लिए एक प्रभावी साइबर सुरक्षा रणनीति बनाए रखनी चाहिए, आपूर्ति श्रृंखलाओं पर पड़ने वाले प्रभावों को पहचानना चाहिए और तदनुसार अपनी संपत्ति को सुरक्षित करना चाहिए।
आपूर्ति श्रृंखला पर हमले थमने का नाम नहीं ले रहे हैं
मोटे तौर पर एक साल के समय में, हमने घटक सहित गंभीर कमजोरियों का सामना किया है लॉग4जे, स्प्रिंग फ्रेमवर्क, तथा ओपनएसएसएल. पुरानी कमजोरियों का शोषण भी उन कार्यान्वयनों से कभी नहीं रुकता है जो गलत कॉन्फ़िगर किए गए हैं या जो ज्ञात कमजोर निर्भरताओं का उपयोग करते हैं। नवंबर 2022 में, जनता को एक के बारे में पता चला संघीय नागरिक कार्यकारी शाखा के खिलाफ हमला अभियान (FCEB), एक राज्य प्रायोजित ईरानी खतरे के कारण। यह अमेरिकी संघीय इकाई VMware क्षितिज आधारभूत संरचना चला रही थी जिसमें Log4Shell भेद्यता शामिल थी, जो प्रारंभिक हमले वेक्टर के रूप में कार्य करती थी। एफसीईबी एक जटिल हमले की श्रृंखला से प्रभावित था जिसमें पार्श्व आंदोलन, क्रेडेंशियल समझौता, सिस्टम समझौता, नेटवर्क दृढ़ता, समापन बिंदु सुरक्षा बायपास और क्रिप्टोजैकिंग शामिल थे।
संगठन पूछ सकते हैं "ओएसएस का उपभोग क्यों करें?" OpenSSL या Log4j जैसे कमजोर पैकेज से सुरक्षा घटनाओं के बाद। आपूर्ति श्रृंखला के हमले ऊपर की ओर बढ़ रहे हैं क्योंकि घटकों का पुन: उपयोग भागीदारों और आपूर्तिकर्ताओं के लिए "अच्छी व्यावसायिक समझ" बनाता है। हम स्क्रैच से निर्माण करने के बजाय मौजूदा कोड को फिर से तैयार करके सिस्टम इंजीनियर करते हैं। यह इंजीनियरिंग के प्रयास को कम करने, संचालन के स्तर को बढ़ाने और शीघ्रता से वितरित करने के लिए है। ओपन सोर्स सॉफ़्टवेयर (OSS) को आम तौर पर इसे प्राप्त होने वाली सार्वजनिक जांच के आधार पर भरोसेमंद माना जाता है। हालाँकि, सॉफ़्टवेयर हमेशा बदलता रहता है, और कोडिंग गलतियों या लिंक्ड निर्भरता के कारण समस्याएँ उत्पन्न होती हैं। परीक्षण और शोषण तकनीकों के विकास के माध्यम से नए मुद्दे भी सामने आए हैं।
आपूर्ति श्रृंखला कमजोरियों से निपटना
आधुनिक डिजाइनों को सुरक्षित करने के लिए संगठनों को उपयुक्त टूलिंग और प्रक्रिया की आवश्यकता होती है। भेद्यता प्रबंधन या पॉइंट-इन-टाइम आकलन जैसे पारंपरिक दृष्टिकोण अकेले नहीं रख सकते। विनियम अभी भी इन दृष्टिकोणों के लिए अनुमति दे सकते हैं, जो "सुरक्षित" और "आज्ञाकारी" के बीच विभाजन को कायम रखता है। अधिकांश संगठन कुछ स्तर की DevOps परिपक्वता प्राप्त करने की आकांक्षा रखते हैं। "निरंतर" और "स्वचालित" DevOps प्रथाओं के सामान्य लक्षण हैं। सुरक्षा प्रक्रियाओं में अंतर नहीं होना चाहिए। सुरक्षा नेताओं को अपनी सुरक्षा रणनीति के भाग के रूप में पूरे निर्माण, वितरण और रनटाइम चरणों पर ध्यान केंद्रित करना चाहिए:
- सीआई/सीडी में लगातार स्कैन करें: निर्माण पाइपलाइनों को सुरक्षित करने का लक्ष्य (यानी, शिफ्ट-बाएं) लेकिन स्वीकार करें कि आप सभी कोड और नेस्टेड कोड को स्कैन नहीं कर पाएंगे। शिफ्ट-लेफ्ट एप्रोच के साथ सफलता स्कैनर प्रभावकारिता, स्कैनर आउटपुट के सहसंबंध, रिलीज़ निर्णयों के स्वचालन और रिलीज़ विंडो के भीतर स्कैनर पूर्णता द्वारा सीमित है। टूलिंग को निष्कर्षों के जोखिम को प्राथमिकता देने में मदद करनी चाहिए। सभी निष्कर्ष कार्रवाई योग्य नहीं हैं, और आपके आर्किटेक्चर में कमजोरियों का शोषण नहीं हो सकता है।
- डिलीवरी के दौरान लगातार स्कैन करें: घटक समझौता और पर्यावरण बहाव होता है। रजिस्ट्रियों या रिपॉजिटरी और बूटस्ट्रैप से प्राप्त होने पर डिजिटल सप्लाई चेन में कुछ समझौता किए जाने की स्थिति में डिलीवर किए जाने के दौरान एप्लिकेशन, इंफ्रास्ट्रक्चर और वर्कलोड को स्कैन किया जाना चाहिए।
- रनटाइम में लगातार स्कैन करें: रनटाइम सुरक्षा कई सुरक्षा कार्यक्रमों का शुरुआती बिंदु है, और सुरक्षा निगरानी अधिकांश साइबर सुरक्षा प्रयासों का आधार है। आपको ऐसे तंत्र की आवश्यकता है जो क्लाउड, कंटेनर और कुबेरनेट्स वातावरण सहित सभी प्रकार के वातावरणों में टेलीमेट्री को एकत्र और सहसंबंधित कर सके। रनटाइम में एकत्रित अंतर्दृष्टि पहले के निर्माण और वितरण चरणों में वापस आनी चाहिए। पहचान और सेवा सहभागिता
- रनटाइम में सामने आई कमजोरियों को प्राथमिकता दें: सभी संगठन सब कुछ स्कैन करने और ठीक करने के लिए पर्याप्त समय और संसाधन होने के साथ संघर्ष करते हैं। जोखिम-आधारित प्राथमिकता सुरक्षा कार्यक्रम कार्य के लिए मौलिक है। इंटरनेट एक्सपोजर सिर्फ एक कारक है। एक और भेद्यता गंभीरता है, और संगठन अक्सर उच्च और गंभीर गंभीरता के मुद्दों पर ध्यान केंद्रित करते हैं क्योंकि उन्हें सबसे अधिक प्रभाव माना जाता है। यह दृष्टिकोण अभी भी इंजीनियरिंग और सुरक्षा टीमों के चक्रों को बर्बाद कर सकता है क्योंकि वे कमजोरियों का पीछा कर रहे हैं जो कभी भी रनटाइम पर लोड नहीं होते हैं और जिनका शोषण नहीं किया जा सकता है। यह सत्यापित करने के लिए रनटाइम इंटेलिजेंस का उपयोग करें कि आपके संगठन के वास्तविक सुरक्षा जोखिम को जानने के लिए चल रहे एप्लिकेशन और बुनियादी ढांचे में वास्तव में कौन से पैकेज लोड होते हैं।
हमने बनाया है उत्पाद-विशिष्ट मार्गदर्शन हाल के ओपनएसएसएल पागलपन के माध्यम से ग्राहकों को चलाने के लिए।
नवीनतम OpenSSL भेद्यता और Log4Shell हमें साइबर सुरक्षा की तैयारी और प्रभावी सुरक्षा रणनीति की आवश्यकता की याद दिलाते हैं। हमें याद रखना चाहिए कि CVE-ID केवल सार्वजनिक सॉफ़्टवेयर या हार्डवेयर में ज्ञात समस्याएँ हैं। कई भेद्यताएं रिपोर्ट नहीं की जाती हैं, विशेष रूप से स्वदेशी कोड या पर्यावरणीय गलत कॉन्फ़िगरेशन में कमजोरियां। आपकी साइबर सुरक्षा रणनीति में आधुनिक डिजाइनों की वितरित और विविध प्रौद्योगिकी के लिए खाता होना चाहिए। आपको एक आधुनिक भेद्यता प्रबंधन कार्यक्रम की आवश्यकता है जो इंजीनियरिंग टीमों के लिए उपचारात्मक कार्य को प्राथमिकता देने के लिए रनटाइम इनसाइट्स का उपयोग करता है। आपको खतरे का पता लगाने और प्रतिक्रिया क्षमताओं की भी आवश्यकता है जो आश्चर्य से बचने के लिए वातावरण में संकेतों को सहसंबंधित करती हैं।
लेखक के बारे में
.png?width=690&quality=80&format=webply&disable=upscale "आपूर्ति श्रृंखला के जोखिम आपको परेशान कर रहे हैं? शांत रहें और रणनीतिक बनें!")
Sysdig में साइबर सुरक्षा रणनीति के निदेशक माइकल इस्बिट्स्की ने पांच वर्षों से अधिक समय तक साइबर सुरक्षा पर शोध और सलाह दी है। वह क्लाउड सुरक्षा, कंटेनर सुरक्षा, कुबेरनेट्स सुरक्षा, एपीआई सुरक्षा, सुरक्षा परीक्षण, मोबाइल सुरक्षा, एप्लिकेशन सुरक्षा और सुरक्षित निरंतर वितरण में पारंगत है। उन्होंने विश्व स्तर पर अनगिनत संगठनों को उनकी सुरक्षा पहलों और उनके व्यवसाय का समर्थन करने के लिए निर्देशित किया है।
अपने अनुसंधान और सलाहकार अनुभव से पहले, माइक ने अनुप्रयोग सुरक्षा, भेद्यता प्रबंधन, एंटरप्राइज आर्किटेक्चर और सिस्टम इंजीनियरिंग पर केंद्रित 20 से अधिक वर्षों के व्यवसायी और नेतृत्व के अनुभव के साथ आईटी की अग्रिम पंक्ति में कई कठिन सबक सीखे।
