Az informatika területén mindig is kompromisszum volt az új funkciók és a funkcionalitás szállítása, illetve a technikai adósságok kifizetése között, amely magában foglalja a megbízhatóságot, a teljesítményt, a tesztelést… és igen, a biztonságot.
Ebben a „gyorsítsd és törd meg a dolgokat” korszakban a biztonsági adósság felhalmozása olyan döntés, amelyet a szervezetek önként hoznak meg. Minden szervezetnek vannak biztonsági feladatai a Jira-hátralékaiba „egyszer” – például biztonsági javítások telepítése és a programozási nyelvek és keretrendszerek legújabb, legstabilabb verzióinak futtatása. A helyes cselekedet időbe telik, és a csapatok szándékosan elhalasztják ezeket a feladatokat, mert az új funkciókat helyezik előtérbe. A CISO munkájának nagy része az, hogy felismerje azokat a pillanatokat, amikor az értékpapír-tartozásokat ki kell fizetni.
Egy dolog, ami miatt a Log4j exploit annyira riasztó volt a CISO-k számára, hogy felismerték, hogy van ez a hatalmas felhalmozott adósság, amely nem is volt a radarjukon. Felfedte a biztonsági rések rejtett osztályát a nyílt forráskódú projektek és az alkotók, karbantartók, csomagkezelők és az ezeket használó szervezetek ökoszisztémái között.
A szoftverellátási lánc biztonsága az értékpapír-tartozás mérlegének egyedi sora, de a CISO-k összeállíthatnak egy koherens tervet annak kifizetésére.
A sebezhetőség új osztálya
A legtöbb vállalat nagyon jól sikerült a hálózat biztonságának lezárásában. De a kihasználások egész osztálya lehetséges, mivel a fejlesztők által összeállított rendszerek és az általuk az alkalmazások írásához felhasznált szoftvertermékek nem rendelkeznek bizalmi mechanizmussal vagy biztonságos felügyeleti lánccal.
Manapság mindenki tudja, hogy józan esze van, hogy a biztonsági kockázatok miatt nem szabad elővennie egy véletlenszerű pendrive-ot és csatlakoztatnia a számítógépéhez. De a fejlesztők évtizedek óta letöltik nyílt forráskódú csomagok nincs mód annak ellenőrzésére, hogy biztonságban vannak-e.
A rossz színészek kihasználják ezt a támadási vektort, mert ez az új, alacsonyan lógó gyümölcs. Felismerik, hogy bejuthatnak ezeken a lyukakon keresztül, és bejutva az összes többi rendszerhez fordulhatnak, amelyek függenek attól a bizonytalan műterméktől, amelyet a bejutáshoz használtak.
Hagyja abba az ásást az építési rendszerek lezárásával
A CISO-k alapvető kiindulópontja, amelyet olyan anyagok támogatnak, mint a fejlesztői útmutató.A szoftver-ellátási lánc biztosítása”, az olyan nyílt forráskódú keretrendszerek használatának megkezdése, mint a NIST Secure Software Development Framework (SSDF) és az OpenSSF. A szoftvertermékek ellátási láncának szintjei (SLSA). Ezek alapvetően előírásszerű lépések az ellátási lánc lezárásához. Az SLSA 1. szintje összeállítási rendszert használ. A 2. szint bizonyos naplók és metaadatok exportálása (így később utánanézhet, és reagálhat az incidensekre). A 3. szint egy sor bevált gyakorlat követése. A 4. szint egy igazán biztonságos összeállítási rendszer használata. Ezen első lépések követésével a CISO-k szilárd alapot teremthetnek az alapértelmezés szerint biztonságos szoftverellátási lánc felépítéséhez.
A dolgok árnyaltabbá válnak, ahogy a CISO-k elgondolkodnak azon irányelveken, hogy a fejlesztői csapatok hogyan szerezzenek be először nyílt forráskódú szoftvereket. Honnan tudhatják a fejlesztők, hogy mi a vállalatuk irányelvei a „biztonságosnak” tekintett termékekre? És honnan tudják, hogy az általuk megvásárolt nyílt forráskód (ami a nagy többség a fejlesztők által manapság használt összes szoftver közül) valóban nem érinti?
Az építési rendszerek lezárásával és egy megismételhető módszer létrehozásával a szoftverműtermékek eredetének ellenőrzésére, mielőtt azokat a környezetbe juttatnák, a CISO-k hatékonyan megakadályozhatják, hogy szervezetük számára mélyebb gödröt ássanak a biztonsági adósságban.
Mi a helyzet a régi szoftver-ellátási lánc biztonsági adósságának kifizetésével?
Miután abbahagyta az alaplemezképek és az építési környezetek zárolásával végzett kutatást, most frissítenie kell a szoftvert, és ki kell javítania a biztonsági réseket, beleértve az alapképverziókat is.
A szoftverfrissítés és a CVE-k javítása rendkívül fárasztó. Unalmas, időigényes, melós – ez munka. Ez a kiberbiztonság „egyél meg zöldséget”. Ennek az adósságnak a törlesztéséhez mélyreható együttműködésre van szükség a CISO-k és a fejlesztőcsapatok között. Ez egy lehetőség arra is, hogy mindkét csapat megállapodjon a biztonságosabb, termelékenyebb eszközökről és folyamatokról, amelyek segíthetnek a szervezet szoftverellátási láncának alapértelmezés szerint biztonságossá tételében.
Ahogy egyesek nem szeretik a változást, úgy egyes szoftvercsapatok sem szeretik frissíteni a konténer alapképeit. Az alapkép a konténer alapú szoftveralkalmazások első rétege. Az alapkép új verzióra való frissítése időnként tönkreteheti a szoftveralkalmazást, különösen akkor, ha a teszt lefedettsége nem megfelelő. Így néhány szoftvercsapat a status quo-t részesíti előnyben, lényegében a végtelenségig ácsorog egy működő alapképverzión, amely valószínűleg naponta halmoz fel CVE-ket.
A sebezhetőségek felhalmozódásának elkerülése érdekében a szoftvercsapatoknak gyakran kell frissíteniük a képeket, kis változtatásokkal, és olyan „éles tesztelési” gyakorlatokat kell alkalmazniuk, mint a Canary kiadások. Olyan tárolóképek használata, amelyek keményítettek, minimális méretűek, és kritikus szoftver-ellátási lánc biztonsági metaadatokkal vannak felszerelve, mint pl szoftveres anyagjegyzékek (SBOM), származási helye és aláírásai segíthetnek enyhíteni a napi sebezhetőség-kezelés időigényes fájdalmát az alapképeken. Ezek a technikák megtalálják a megfelelő egyensúlyt a biztonság megőrzése és annak biztosítása között, hogy a termelés ne csökkenjen.
Kezdjen el azonnal fizetni
Egyedülállóan kellemetlen az értékpapír-tartozásban az, hogy ha folyamatosan beadja azt „egyszer”, akkor általában akkor üti fel a fejét, amikor Ön a legsebezhetőbb, és a legkevésbé engedheti meg magának, hogy kifizesse. A Log4j sebezhetősége közvetlenül a nyüzsgő ünnepi e-kereskedelmi ciklus előtt támadt, és sok mérnöki és biztonsági csapatot megbénított a következő évre. Egyetlen CISO sem akar rejtett biztonsági meglepetéseket rejteni.
Minden CISO-nak minimális befektetést kell befektetnie a biztonságosabb összeállítású rendszerekbe, a szoftveraláírási módszerekbe, hogy megállapítsák a szoftver eredetét, mielőtt a fejlesztők behozzák azt a környezetbe, valamint olyan keményített, minimális konténer alapképekbe, amelyek csökkentik a támadási felületet a szoftverek és alkalmazások alapjain. .
Mélyebben belemerülve ebbe a hatalmas szoftver-ellátási lánc biztonsági adósságfizetésébe, a CISO-k azzal a rejtvényekkel szembesülnek, hogy mennyit hajlandók fizetni a fejlesztőiktől (az alapképek és a szoftverek sebezhetőségeinek folyamatos frissítésével), szemben az adósság elhalasztásával és egy elfogadható szint elérésével. sebezhetőség.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :van
- :is
- :nem
- $ UP
- 1
- 7
- a
- Rólunk
- elfogadható
- hozzáférés
- Felgyülemlett
- felhalmozódás
- elérése
- szerez
- megszerzése
- szereplők
- Minden termék
- enyhít
- Is
- mindig
- an
- és a
- bárki
- Alkalmazás
- alkalmazások
- VANNAK
- AS
- At
- támadás
- elkerülése érdekében
- el
- Egyenleg
- Mérleg
- bázis
- Alapvetően
- BE
- mert
- óta
- előtt
- BEST
- legjobb gyakorlatok
- között
- Nagy
- Bankjegyek
- Unalmas
- mindkét
- szünet
- hoz
- Bringing
- épít
- Épület
- épült
- elfoglalt
- de
- by
- TUD
- nagybetűs
- lánc
- változik
- Változások
- CISO
- osztály
- ÖSSZEFÜGGŐ
- együttműködés
- Közös
- Companies
- vállalat
- számítógép
- figyelembe vett
- Konténer
- folyamatosan
- találós kérdés
- lefedettség
- teremt
- létrehozása
- alkotók
- kritikai
- Őrizet
- Kiberbiztonság
- ciklus
- napi
- Nap
- Adósság
- évtizedek
- döntés
- mély
- mélyebb
- alapértelmezett
- bevezetéséhez
- Fejlesztő
- fejlesztők
- Fejlesztés
- do
- nem
- Ennek
- Don
- le-
- hajtás
- két
- e-commerce
- eszik
- ökoszisztémák
- hatékonyan
- Mérnöki
- belépés
- Környezet
- környezetek
- Ez volt
- különösen
- lényegében
- létrehozni
- Még
- Minden
- hasznosítja
- export
- kitett
- Arc
- GYORS
- Jellemzők
- Benyújtás
- vezetéknév
- első lépések
- következik
- következő
- A
- Alapítvány
- Keretrendszer
- keretek
- gyakran
- funkcionalitás
- alapvető
- Nyereség
- rések
- kap
- Go
- jó
- útmutató
- Legyen
- fej
- segít
- Rejtett
- Lyuk
- Holes
- Ünnep
- Hogyan
- HTTPS
- hatalmas
- if
- kép
- képek
- in
- incidens
- eseményre adott válasz
- magában foglalja a
- Beleértve
- bizonytalan
- belső
- bele
- beruházás
- IT
- ITS
- Munka
- éppen
- Tart
- Ismer
- Nyelvek
- a későbbiekben
- réteg
- legkevésbé
- szint
- szintek
- Tőkeáttétel
- mint
- Valószínű
- vonal
- log4j
- néz
- készült
- csinál
- Gyártás
- vezetés
- Menedzserek
- sok
- tömeges
- anyagok
- mechanizmus
- Metaadatok
- módszer
- mód
- minimális
- minimum
- Pillanatok
- több
- a legtöbb
- sok
- kell
- Szükség
- hálózat
- Network Security
- Új
- Új funkciók
- legújabb
- nst
- nem
- Most
- of
- Régi
- on
- egyszer
- nyitva
- nyílt forráskódú
- Alkalom
- or
- szervezet
- szervezetek
- Más
- felett
- csomag
- fizetett
- Fájdalom
- rész
- Tapasz
- Patches
- Foltozás
- Fizet
- fizet
- Emberek (People)
- teljesítmény
- vedd
- tengely
- Hely
- terv
- Plató
- Platón adatintelligencia
- PlatoData
- dugó
- pont
- Politikák
- lehetséges
- gyakorlat
- jobban szeret
- prioritások
- Folyamatok
- Termelés
- termelő
- Programozás
- programozási nyelvek
- projektek
- eredet
- tesz
- radar
- véletlen
- RE
- megvalósítás
- észre
- tényleg
- felismerés
- csökkenteni
- Releases
- megbízhatóság
- megismételhető
- megköveteli,
- válasz
- jobb
- kockázatok
- futás
- s
- biztonságos
- biztonság
- biztonság
- biztonsági kockázatok
- értelemben
- Series of
- adatlap
- HAJÓ
- Szállítás
- kellene
- aláírások
- aláírás
- Méret
- kicsi
- So
- szoftver
- szoftverfejlesztés
- néhány
- majd egyszer
- forrás
- stabil
- kezdet
- Kezdve
- Állapot
- Lépései
- megáll
- megállt
- sztrájk
- erős
- szuper
- kínálat
- ellátási lánc
- biztos
- felületi
- meglepetés
- rendszer
- Systems
- tart
- feladatok
- csapat
- Műszaki
- technikák
- teszt
- Tesztelés
- hogy
- A
- azok
- Őket
- Ott.
- Ezek
- ők
- dolog
- dolgok
- Szerintem
- ezt
- azok
- Keresztül
- idő
- időigényes
- nak nek
- együtt
- Bízzon
- jellemzően
- egyedi
- egyedileg
- Frissítések
- frissítése
- használ
- használt
- segítségével
- Ve
- ellenőrzése
- változat
- Ellen
- önként
- sérülékenységek
- sebezhetőség
- Sebezhető
- akar
- volt
- nem volt
- Út..
- JÓL
- Mit
- bármi
- amikor
- ami
- WHO
- egész
- hajlandó
- val vel
- Munka
- dolgozó
- ír
- év
- Igen
- te
- A te
- zephyrnet