Selalu ada trade-off di bidang TI antara menghadirkan fitur dan fungsionalitas baru versus membayar utang teknis, yang mencakup hal-hal seperti keandalan, kinerja, pengujianโฆ dan ya, keamanan.
Di era โkirim dengan cepat dan hancurkan barang-barangโ ini, akumulasi utang keamanan adalah keputusan yang diambil secara sukarela oleh organisasi. Setiap organisasi memiliki tugas keamanan yang dimasukkan ke dalam simpanan Jira mereka untuk โsuatu hari nantiโ โ hal-hal seperti menerapkan patch keamanan dan menjalankan versi bahasa pemrograman dan kerangka kerja terbaru dan paling stabil. Melakukan hal yang benar membutuhkan waktu, dan tim dengan sengaja menunda tugas ini karena mereka memprioritaskan fitur baru. Sebagian besar tugas CISO adalah mengenali momen-momen ketika utang jaminan harus dibayar.
Satu hal yang membuat Eksploitasi Log4j Yang sangat mengkhawatirkan bagi para CISO adalah kesadaran bahwa terdapat akumulasi utang dalam jumlah besar yang bahkan tidak mereka sadari. Hal ini mengungkap kesenjangan keamanan yang tersembunyi antara proyek sumber terbuka dan ekosistem pembuat, pengelola, pengelola paket, dan organisasi yang menggunakannya.
Keamanan rantai pasokan perangkat lunak adalah item unik dalam neraca utang keamanan, namun CISO dapat menyusun rencana yang koheren untuk melunasinya.
Kelas Kerentanan Baru
Sebagian besar perusahaan sudah sangat pandai dalam mengunci keamanan jaringan mereka. Namun ada berbagai macam eksploitasi yang mungkin terjadi karena pengembang membangun sistem dan artefak perangkat lunak yang mereka manfaatkan untuk menulis aplikasi tidak memiliki mekanisme kepercayaan atau lacak balak yang aman.
Saat ini, siapa pun yang berakal sehat tahu untuk tidak mengambil thumb drive sembarangan dan mencolokkannya ke komputer mereka karena risiko keamanannya. Namun selama beberapa dekade, pengembang telah mengunduh paket sumber terbuka tanpa ada cara untuk memverifikasi bahwa mereka aman.
Pihak-pihak yang tidak bertanggung jawab memanfaatkan vektor serangan ini karena ini adalah hal yang mudah untuk dilakukan. Mereka menyadari bahwa mereka dapat memperoleh akses melalui lubang-lubang ini, dan begitu masuk, mereka beralih ke semua sistem lain yang memiliki ketergantungan pada artefak tidak aman apa pun yang mereka gunakan untuk mendapatkan akses.
Berhenti Menggali dengan Mengunci Sistem Pembangunan
Titik awal yang mendasar bagi CISO, didukung dalam materi seperti panduan pengembang โMengamankan Rantai Pasokan Perangkat Lunak,โ adalah mulai menggunakan kerangka kerja sumber terbuka seperti Kerangka Pengembangan Perangkat Lunak Aman (SSDF) NIST dan Kerangka Kerja Pengembangan Perangkat Lunak OpenSSF Tingkat Rantai Pasokan untuk Artefak Perangkat Lunak (SLSA). Ini pada dasarnya merupakan langkah-langkah preskriptif untuk mengunci rantai pasokan Anda. SLSA Level 1 adalah menggunakan sistem build. Level 2 adalah mengekspor beberapa log dan metadata (sehingga nanti Anda dapat mencari tahu dan melakukan respons insiden). Level 3 adalah mengikuti serangkaian praktik terbaik. Level 4 adalah menggunakan sistem build yang benar-benar aman. Dengan mengikuti langkah-langkah pertama ini, CISO dapat menciptakan landasan yang kuat untuk membangun rantai pasokan perangkat lunak yang aman secara default.
Segalanya menjadi lebih berbeda ketika CISO memikirkan kebijakan tentang bagaimana tim pengembang memperoleh perangkat lunak sumber terbuka. Bagaimana pengembang mengetahui kebijakan perusahaannya mengenai apa yang dianggap โamanโ? Dan bagaimana mereka mengetahui bahwa sumber terbuka yang mereka peroleh (yang merupakan sebagian besar dari semua perangkat lunak yang digunakan oleh pengembang saat ini) memang tidak diubah?
Dengan mengunci sistem pembangunan dan menciptakan metode berulang untuk memverifikasi asal artefak perangkat lunak sebelum membawanya ke lingkungan, CISO dapat secara efektif berhenti menggali lubang yang lebih dalam bagi organisasi mereka dalam utang keamanan.
Bagaimana dengan Membayar Hutang Keamanan Rantai Pasokan Perangkat Lunak Lama?
Setelah Anda berhenti menggali dengan mengunci image dasar dan lingkungan build, sekarang Anda perlu memperbarui perangkat lunak dan menambal kerentanan Anda, termasuk versi image dasar.
Memperbarui perangkat lunak dan menambal CVE sangatlah membosankan. Membosankan, menyita waktu, tugas, dan pekerjaan. Ini adalah โmakan sayuran Andaโ dari keamanan siber. Pembayaran utang ini memerlukan kolaborasi mendalam antara CISO dan tim pengembangan. Ini juga merupakan peluang bagi kedua tim untuk menyepakati alat dan proses yang lebih aman dan produktif yang dapat membantu membuat rantai pasokan perangkat lunak suatu organisasi aman secara default.
Sama seperti beberapa orang yang tidak menyukai perubahan, beberapa tim perangkat lunak tidak suka memperbarui gambar basis kontainer mereka. Gambar dasar adalah lapisan pertama aplikasi perangkat lunak berbasis kontainer. Memperbarui gambar dasar ke versi baru terkadang dapat merusak aplikasi perangkat lunak, terutama jika cakupan pengujian tidak memadai. Jadi, beberapa tim perangkat lunak lebih memilih status quo, pada dasarnya bermalas-malasan tanpa batas waktu pada versi gambar dasar yang berfungsi yang kemungkinan mengumpulkan CVE setiap hari.
Untuk menghindari akumulasi kerentanan ini, tim perangkat lunak harus memperbarui gambar sesering mungkin dengan perubahan kecil dan menggunakan praktik โpengujian dalam produksiโ seperti rilis canary. Menggunakan gambar kontainer yang diperkeras, berukuran minimal, dan dibuat dengan metadata keamanan rantai pasokan perangkat lunak penting, misalnya tagihan bahan perangkat lunak (SBOM), asal, dan tanda tangan, dapat membantu meringankan kesulitan yang memakan waktu dalam pengelolaan kerentanan harian pada gambar dasar. Teknik-teknik ini memberikan keseimbangan yang tepat antara menjaga keamanan dan memastikan produksi tidak menurun.
Mulai Membayar Saat Anda Pergi
Hal unik yang tidak menyenangkan mengenai utang jaminan adalah ketika Anda terus mengajukannya untuk โsuatu hari nantiโ, hal ini biasanya muncul ketika Anda paling rentan dan paling tidak mampu membayarnya. Kerentanan Log4j terjadi tepat sebelum siklus e-commerce liburan yang sibuk dan melumpuhkan banyak tim teknik dan keamanan hingga tahun berikutnya. CISO tidak ingin ada kejutan keamanan tersembunyi yang mengintai.
Setiap CISO harus melakukan investasi minimum pada sistem pembangunan yang lebih aman, metode penandatanganan perangkat lunak untuk menetapkan asal perangkat lunak sebelum pengembang membawanya ke lingkungan, dan gambar dasar container yang diperkeras dan minimal yang mengurangi permukaan serangan pada dasar perangkat lunak dan aplikasi. .
Lebih jauh lagi dalam pembayaran utang keamanan rantai pasokan perangkat lunak yang sangat besar ini, CISO menghadapi teka-teki mengenai seberapa besar mereka bersedia agar pengembangnya membayar seiring berjalannya waktu (dengan terus memperbarui gambar dasar dan perangkat lunak yang memiliki kerentanan) versus menunda utang tersebut dan mencapai tingkat keamanan yang dapat diterima. kerentanan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :memiliki
- :adalah
- :bukan
- $NAIK
- 1
- 7
- a
- Tentang Kami
- diterima
- mengakses
- Akumulasi
- akumulasi
- mencapai
- memperoleh
- mengakuisisi
- aktor
- Semua
- meringankan
- juga
- selalu
- an
- dan
- siapapun
- Aplikasi
- aplikasi
- ADALAH
- AS
- At
- menyerang
- menghindari
- jauh
- Saldo
- Neraca keuangan
- mendasarkan
- Pada dasarnya
- BE
- karena
- menjadi
- sebelum
- TERBAIK
- Praktik Terbaik
- antara
- Besar
- Uang kertas
- Membosankan
- kedua
- Istirahat
- membawa
- Membawa
- membangun
- Bangunan
- dibangun di
- sibuk
- tapi
- by
- CAN
- memanfaatkan
- rantai
- perubahan
- Perubahan
- CISO
- kelas
- KOHEREN
- kolaborasi
- Umum
- Perusahaan
- perusahaan
- komputer
- dianggap
- Wadah
- terus-menerus
- teka-teki
- liputan
- membuat
- membuat
- pencipta
- kritis
- Tahanan
- Keamanan cyber
- siklus
- harian
- Hari
- Hutang
- dekade
- keputusan
- mendalam
- lebih dalam
- Default
- penggelaran
- Pengembang
- pengembang
- Pengembangan
- do
- doesn
- melakukan
- don
- turun
- mendorong
- dua
- e-commerce
- makan
- Ekosistem
- efektif
- Teknik
- masuk
- Lingkungan Hidup
- lingkungan
- Era
- terutama
- dasarnya
- menetapkan
- Bahkan
- Setiap
- eksploitasi
- ekspor
- terkena
- Menghadapi
- FAST
- Fitur
- Filing
- Pertama
- langkah pertama
- mengikuti
- berikut
- Untuk
- Prinsip Dasar
- Kerangka
- kerangka
- sering
- fungsi
- mendasar
- Mendapatkan
- kesenjangan
- mendapatkan
- Go
- baik
- membimbing
- Memiliki
- kepala
- membantu
- Tersembunyi
- Lubang
- Lubang
- Liburan
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- besar
- if
- gambar
- gambar
- in
- insiden
- respon insiden
- termasuk
- Termasuk
- tidak aman
- dalam
- ke
- investasi
- IT
- NYA
- Pekerjaan
- hanya
- Menjaga
- Tahu
- Bahasa
- kemudian
- lapisan
- paling sedikit
- Tingkat
- adalah ide yang bagus
- Leverage
- 'like'
- Mungkin
- baris
- log4j
- melihat
- terbuat
- membuat
- Membuat
- pengelolaan
- Manajer
- banyak
- besar-besaran
- bahan
- mekanisme
- Metadata
- metode
- metode
- minimal
- minimum
- Waktu
- lebih
- paling
- banyak
- harus
- Perlu
- jaringan
- Keamanan jaringan
- New
- Fitur Baru
- Terbaru
- nisan
- tidak
- sekarang
- of
- Tua
- on
- sekali
- Buka
- open source
- Kesempatan
- or
- organisasi
- organisasi
- Lainnya
- lebih
- paket
- dibayar
- Sakit
- bagian
- tambalan
- Patch
- Menambal
- Membayar
- pembayaran
- Konsultan Ahli
- prestasi
- memilih
- Poros
- Tempat
- rencana
- plato
- Kecerdasan Data Plato
- Data Plato
- steker
- Titik
- Kebijakan
- mungkin
- praktek
- lebih suka
- memprioritaskan
- proses
- Produksi
- produktif
- Pemrograman
- bahasa pemrograman
- memprojeksikan
- asal
- menempatkan
- radar
- acak
- RE
- realisasi
- menyadari
- benar-benar
- mengenali
- menurunkan
- Pers
- keandalan
- berulang
- membutuhkan
- tanggapan
- benar
- risiko
- berjalan
- s
- aman
- aman
- keamanan
- risiko keamanan
- rasa
- Seri
- lembar
- KAPAL
- Pengiriman
- harus
- Tanda tangan
- penandatanganan
- Ukuran
- kecil
- So
- Perangkat lunak
- pengembangan perangkat lunak
- beberapa
- suatu hari nanti
- sumber
- stabil
- awal
- Mulai
- Status
- Tangga
- berhenti
- terhenti
- menyerang
- kuat
- besar
- menyediakan
- supply chain
- yakin
- Permukaan
- kejutan
- sistem
- sistem
- Dibutuhkan
- tugas
- tim
- Teknis
- teknik
- uji
- pengujian
- bahwa
- Grafik
- mereka
- Mereka
- Sana.
- Ini
- mereka
- hal
- hal
- berpikir
- ini
- itu
- Melalui
- waktu
- membuang-buang waktu
- untuk
- bersama
- Kepercayaan
- khas
- unik
- unik
- Memperbarui
- memperbarui
- menggunakan
- bekas
- menggunakan
- Ve
- memeriksa
- versi
- Lawan
- sukarela
- Kerentanan
- kerentanan
- Rentan
- ingin
- adalah
- bukan
- Cara..
- BAIK
- Apa
- apa pun
- ketika
- yang
- SIAPA
- seluruh
- rela
- dengan
- Kerja
- kerja
- menulis
- tahun
- iya nih
- Kamu
- Anda
- zephyrnet.dll