Industri keamanan secara kolektif kehilangan akal ketika kerentanan baru ditemukan dalam perangkat lunak. Tidak terkecuali OpenSSL, dan dua kerentanan baru membanjiri umpan berita pada akhir Oktober dan awal November 2022. Penemuan dan pengungkapan hanyalah awal dari siklus kerentanan yang tidak pernah berakhir ini. Organisasi yang terkena dampak dihadapkan pada perbaikan, yang sangat menyakitkan bagi mereka yang berada di garis depan TI. Pemimpin keamanan harus mempertahankan strategi keamanan siber yang efektif untuk membantu menyaring beberapa gangguan pada kerentanan baru, mengenali dampak pada rantai pasokan, dan mengamankan aset mereka sesuai dengan itu.
Serangan Rantai Pasokan Tidak Akan Hilang
Kira-kira dalam waktu satu tahun, kami telah mengalami kerentanan parah dalam komponen termasuk log4j, Spring Framework, dan OpenSSL. Eksploitasi kerentanan lama juga tidak pernah berhenti dari implementasi yang salah konfigurasi atau yang menggunakan dependensi rentan yang diketahui. Pada November 2022, publik mengetahui tentang sebuah kampanye serangan terhadap Cabang Eksekutif Sipil Federal (FCEB), yang disebabkan oleh ancaman Iran yang disponsori negara. Entitas federal AS ini menjalankan infrastruktur VMware Horizon yang berisi kerentanan Log4Shell, yang berfungsi sebagai vektor serangan awal. FCEB terkena rantai serangan kompleks yang mencakup gerakan lateral, kompromi kredensial, kompromi sistem, kegigihan jaringan, bypass perlindungan titik akhir, dan cryptojacking.
Organisasi mungkin bertanya "mengapa mengkonsumsi OSS?" setelah insiden keamanan dari paket yang rentan seperti OpenSSL atau Log4j. Serangan rantai pasokan terus mengarah ke atas karena penggunaan kembali komponen membuat โakal bisnis yang baikโ bagi mitra dan pemasok. Kami merekayasa sistem dengan menggunakan kembali kode yang ada daripada membangun dari awal. Hal ini untuk mengurangi upaya teknis, menskalakan secara operasional, dan mengirimkan dengan cepat. Perangkat lunak open source (OSS) umumnya dianggap dapat dipercaya berdasarkan pengawasan publik yang diterimanya. Namun, perangkat lunak selalu berubah, dan masalah muncul melalui kesalahan pengkodean atau ketergantungan terkait. Masalah baru juga terungkap melalui evolusi teknik pengujian dan eksploitasi.
Mengatasi Kerentanan Rantai Pasokan
Organisasi membutuhkan perkakas dan proses yang tepat untuk mengamankan desain modern. Pendekatan tradisional seperti manajemen kerentanan atau penilaian langsung saja tidak dapat mengikuti. Peraturan mungkin masih mengizinkan pendekatan ini, yang melanggengkan perbedaan antara "aman" dan "patuh". Sebagian besar organisasi bercita-cita untuk mendapatkan tingkat kematangan DevOps tertentu. "Berkelanjutan" dan "otomatis" adalah ciri umum dari praktik DevOps. Proses keamanan seharusnya tidak berbeda. Pemimpin keamanan harus mempertahankan fokus selama fase pembangunan, pengiriman, dan runtime sebagai bagian dari strategi keamanan mereka:
- Terus memindai dalam CI/CD: Bertujuan untuk mengamankan alur pembangunan (yaitu, shift-kiri) tetapi akui bahwa Anda tidak akan dapat memindai semua kode dan kode bersarang. Sukses dengan pendekatan shift-kiri dibatasi oleh kemanjuran pemindai, korelasi output pemindai, otomatisasi keputusan pelepasan, dan penyelesaian pemindai dalam jendela rilis. Perkakas harus membantu memprioritaskan risiko temuan. Tidak semua temuan dapat ditindaklanjuti, dan kerentanan mungkin tidak dapat dieksploitasi dalam arsitektur Anda.
- Terus memindai selama pengiriman: Kompromi komponen dan penyimpangan lingkungan terjadi. Aplikasi, infrastruktur, dan beban kerja harus dipindai saat dikirimkan jika ada sesuatu yang dikompromikan dalam rantai pasokan digital saat bersumber dari pendaftar atau repositori dan di-bootstrap.
- Terus memindai dalam waktu proses: Keamanan runtime adalah titik awal dari banyak program keamanan, dan pemantauan keamanan mendasari sebagian besar upaya keamanan siber. Anda memerlukan mekanisme yang dapat mengumpulkan dan menghubungkan telemetri di semua jenis lingkungan, termasuk lingkungan cloud, container, dan Kubernetes. Wawasan yang dikumpulkan dalam waktu proses harus memberi umpan balik ke tahap pembuatan dan pengiriman sebelumnya. Identitas dan interaksi layanan
- Prioritaskan kerentanan yang terekspos saat runtime: Semua organisasi berjuang untuk memiliki cukup waktu dan sumber daya untuk memindai dan memperbaiki semuanya. Prioritas berbasis risiko sangat penting untuk pekerjaan program keamanan. Paparan internet hanyalah salah satu faktor. Yang lainnya adalah tingkat keparahan kerentanan, dan organisasi sering berfokus pada masalah tingkat keparahan tinggi dan kritis karena dianggap memiliki dampak paling besar. Pendekatan ini masih dapat membuang siklus tim teknik dan keamanan karena mereka mungkin mengejar kerentanan yang tidak pernah dimuat saat runtime dan tidak dapat dieksploitasi. Gunakan intelijen runtime untuk memverifikasi paket apa yang benar-benar dimuat dalam menjalankan aplikasi dan infrastruktur untuk mengetahui risiko keamanan sebenarnya bagi organisasi Anda.
Kami telah membuat panduan khusus produk untuk mengarahkan pelanggan melalui kegilaan OpenSSL baru-baru ini.
Kerentanan OpenSSL terbaru dan Log4Shell mengingatkan kita akan perlunya kesiapan keamanan siber dan strategi keamanan yang efektif. Kita harus ingat bahwa CVE-ID hanyalah masalah yang diketahui dalam perangkat lunak atau perangkat keras publik. Banyak kerentanan tidak dilaporkan, khususnya kelemahan dalam kode buatan sendiri atau kesalahan konfigurasi lingkungan. Strategi keamanan siber Anda harus memperhitungkan teknologi modern yang terdistribusi dan beragam. Anda memerlukan program pengelolaan kerentanan yang dimodernisasi yang menggunakan wawasan waktu proses untuk memprioritaskan pekerjaan perbaikan bagi tim teknik. Anda juga memerlukan kemampuan deteksi ancaman dan respons yang menghubungkan sinyal di seluruh lingkungan untuk menghindari kejutan.
tentang Penulis
.png?width=690&quality=80&format=webply&disable=upscale "Risiko Rantai Pasokan Membuat Anda Turun? Tetap Tenang dan Dapatkan Strategis!")
Michael Isbitski, Direktur Strategi Keamanan Siber di Sysdig, telah meneliti dan memberi nasihat tentang keamanan siber selama lebih dari lima tahun. Dia berpengalaman dalam keamanan cloud, keamanan kontainer, keamanan Kubernetes, keamanan API, pengujian keamanan, keamanan seluler, perlindungan aplikasi, dan pengiriman berkelanjutan yang aman. Dia telah memandu banyak organisasi secara global dalam inisiatif keamanan mereka dan mendukung bisnis mereka.
Sebelum pengalaman penelitian dan penasihatnya, Mike belajar banyak pelajaran keras di garis depan TI dengan lebih dari 20 tahun pengalaman praktisi dan kepemimpinan yang berfokus pada keamanan aplikasi, manajemen kerentanan, arsitektur perusahaan, dan rekayasa sistem.
