Nell'IT c'è sempre stato un compromesso tra la fornitura di nuove caratteristiche e funzionalità e il pagamento del debito tecnico, che include aspetti come affidabilità, prestazioni, test... e sì, sicurezza.
In quest’era di “spedisci velocemente e rompi le cose”, accumulare debito di sicurezza è una decisione che le organizzazioni prendono volontariamente. Ogni organizzazione ha attività di sicurezza inserite nei propri backlog Jira per "un giorno", cose come la distribuzione di patch di sicurezza e l'esecuzione delle versioni più recenti e stabili dei linguaggi di programmazione e dei framework. Fare la cosa giusta richiede tempo e i team rimandano volontariamente queste attività perché stanno dando priorità alle nuove funzionalità. Gran parte del lavoro del CISO consiste nel riconoscere i momenti in cui i debiti di sicurezza devono essere pagati.
Una cosa che ha reso il Sfruttamento Log4j per i CISO era così allarmante rendersi conto che c'era questo enorme debito accumulato che non era nemmeno sul loro radar. Ha messo in luce una classe nascosta di lacune di sicurezza tra i progetti open source e gli ecosistemi di creatori, manutentori, gestori di pacchetti e organizzazioni che li utilizzano.
La sicurezza della catena di fornitura del software è una voce unica nel bilancio del debito relativo ai titoli, ma i CISO possono mettere insieme un piano coerente per ripagarla.
Una nuova classe di vulnerabilità
La maggior parte delle aziende è diventata davvero brava a bloccare la sicurezza della propria rete. Ma esiste un'intera classe di exploit possibili perché i sistemi di creazione degli sviluppatori e gli artefatti software che sfruttano per scrivere applicazioni non hanno un meccanismo di fiducia o una catena di custodia sicura.
Oggi, chiunque abbia buon senso sa di non prendere una chiavetta USB a caso e di collegarla al proprio computer a causa dei rischi per la sicurezza. Ma da decenni gli sviluppatori scaricano pacchetti open source senza alcun modo per verificare che siano al sicuro.
I malintenzionati stanno capitalizzando su questo vettore di attacco perché è il nuovo frutto a portata di mano. Si rendono conto che possono accedere attraverso questi buchi e, una volta dentro, si rivolgono a tutti gli altri sistemi che dipendono da qualunque artefatto insicuro abbiano utilizzato per ottenere l'accesso.
Smetti di scavare bloccando i sistemi di costruzione
Il punto di partenza fondamentale per i CISO, approvato in materiali come la guida per gli sviluppatori “Protezione della catena di fornitura del software”, consiste nell'iniziare a utilizzare framework open source come Secure Software Development Framework (SSDF) del NIST e OpenSSF Livelli della catena di fornitura per artefatti software (SLSA). Si tratta fondamentalmente di passaggi prescrittivi per bloccare la catena di approvvigionamento. SLSA Livello 1 consiste nell'utilizzare un sistema di compilazione. Il livello 2 consiste nell'esportare alcuni registri e metadati (in modo da poter successivamente cercare le informazioni e rispondere agli incidenti). Il livello 3 consiste nel seguire una serie di migliori pratiche. Il livello 4 consiste nell'utilizzare un sistema di compilazione veramente sicuro. Seguendo questi primi passi, i CISO possono creare una solida base per costruire una catena di fornitura software sicura per impostazione predefinita.
Le cose diventano più sfumate quando i CISO pensano in primo luogo alle politiche su come i team di sviluppatori acquisiscono software open source. Come fanno gli sviluppatori a sapere quali sono le politiche della loro azienda riguardo a ciò che è considerato "sicuro"? E come fanno a sapere che l'open source che stanno acquisendo (che costituisce il grande maggioranza di tutto il software utilizzato oggigiorno dagli sviluppatori) è effettivamente intatto?
Bloccando i sistemi di build e creando un metodo ripetibile per verificare la provenienza degli artefatti software prima di immetterli nell'ambiente, i CISO possono effettivamente smettere di scavare un buco più profondo per la loro organizzazione nel debito di sicurezza.
Che ne dici di ripagare il vecchio debito legato alla sicurezza della catena di fornitura del software?
Dopo aver smesso di scavare bloccando le immagini di base e gli ambienti di creazione, ora devi aggiornare il software e correggere le vulnerabilità, comprese le versioni delle immagini di base.
L'aggiornamento del software e l'applicazione di patch ai CVE sono estremamente noiosi. È noioso, richiede tempo, è un lavoro ingrato: è un lavoro. È il “mangia le tue verdure” della sicurezza informatica. Ripagare questo debito richiede una profonda collaborazione tra i CISO e i team di sviluppo. Si tratta inoltre di un'opportunità per entrambi i team di concordare strumenti e processi più sicuri e produttivi che possano contribuire a rendere sicura per impostazione predefinita la catena di fornitura software di un'organizzazione.
Proprio come ad alcune persone non piace il cambiamento, ad alcuni team software non piace aggiornare le immagini di base del contenitore. L'immagine di base è il primo livello delle applicazioni software basate su contenitori. L'aggiornamento di un'immagine di base a una nuova versione può talvolta danneggiare l'applicazione software, soprattutto se la copertura del test è inadeguata. Pertanto, alcuni team di software preferiscono lo status quo, essenzialmente bighellonando indefinitamente su una versione di immagine di base funzionante che probabilmente accumula CVE quotidianamente.
Per evitare questo accumulo di vulnerabilità, i team software dovrebbero aggiornare frequentemente le immagini con piccole modifiche e utilizzare pratiche di "test in produzione" come le versioni canary. Utilizzando immagini di contenitori rafforzate, di dimensioni minime e costruite con metadati critici per la sicurezza della catena di fornitura del software, come distinte base software (SBOM), provenienza e firme possono aiutare ad alleviare il lungo lavoro di gestione quotidiana delle vulnerabilità nelle immagini di base. Queste tecniche raggiungono il giusto equilibrio tra la sicurezza e l’assicurazione che la produzione non diminuisca.
Inizia a pagare in base al consumo
Ciò che è particolarmente spiacevole riguardo al debito di sicurezza è che quando continui ad archiviarlo per "un giorno", in genere alza la testa quando sei più vulnerabile e meno puoi permetterti di pagarlo. La vulnerabilità Log4j si è verificata subito prima dell’intenso ciclo di e-commerce festivo e ha paralizzato molti team di ingegneria e sicurezza fino all’anno successivo. Nessun CISO vuole avere sorprese nascoste in termini di sicurezza in agguato.
Ogni CISO dovrebbe fare un investimento minimo in sistemi di build più sicuri, metodi di firma del software per stabilire la provenienza del software prima che gli sviluppatori lo introducano nell'ambiente e immagini di base dei contenitori minime e rafforzate che riducano la superficie di attacco alla base del software e delle applicazioni .
Più in profondità in questo massiccio rimborso del debito per la sicurezza della catena di fornitura del software, i CISO si trovano ad affrontare l'enigma di quanto sono disposti a far pagare ai propri sviluppatori man mano che procedono (aggiornando continuamente le immagini di base e il software con vulnerabilità) rispetto a rinviare quel debito e raggiungere un livello accettabile di vulnerabilità.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :ha
- :È
- :non
- $ SU
- 1
- 7
- a
- WRI
- accettabile
- accesso
- Accumulato
- accumulazione
- il raggiungimento
- acquisire
- l'acquisizione di
- attori
- Tutti
- alleviare
- anche
- sempre
- an
- ed
- chiunque
- Applicazioni
- applicazioni
- SONO
- AS
- At
- attacco
- evitare
- lontano
- Equilibrio
- Bilancio patrimoniale
- base
- fondamentalmente
- BE
- perché
- stato
- prima
- MIGLIORE
- best practice
- fra
- Big
- Bills
- Noioso
- entrambi
- Rompere
- portare
- Portare
- costruire
- Costruzione
- costruito
- occupato
- ma
- by
- Materiale
- capitalizzando
- catena
- il cambiamento
- Modifiche
- CISO
- classe
- COERENTE
- collaborazione
- Uncommon
- Aziende
- azienda
- computer
- considerato
- Contenitore
- continuamente
- enigma
- copertura
- creare
- Creazione
- creatori
- critico
- Custodia
- Cybersecurity
- ciclo
- alle lezioni
- Giorni
- Debito
- decenni
- decisione
- deep
- più profondo
- Predefinito
- distribuzione
- Costruttori
- sviluppatori
- Mercato
- do
- doesn
- fare
- don
- giù
- guidare
- dovuto
- e-commerce
- mangiare
- ecosistemi
- in maniera efficace
- Ingegneria
- iscrizione
- Ambiente
- ambienti
- epoca
- particolarmente
- essenzialmente
- stabilire
- Anche
- Ogni
- gesta
- export
- esposto
- Faccia
- FAST
- Caratteristiche
- Limatura
- Nome
- primi passi
- seguire
- i seguenti
- Nel
- Fondazione
- Contesto
- quadri
- frequentemente
- funzionalità
- fondamentale
- Guadagno
- lacune
- ottenere
- Go
- buono
- guida
- Avere
- capo
- Aiuto
- nascosto
- Foro
- Fori
- Vacanza
- Come
- HTTPS
- Enorme
- if
- Immagine
- immagini
- in
- incidente
- risposta agli incidenti
- inclusi
- Compreso
- insicuro
- interno
- ai miglioramenti
- investimento
- IT
- SUO
- Lavoro
- ad appena
- mantenere
- Sapere
- Le Lingue
- dopo
- strato
- meno
- Livello
- livelli
- Leva
- piace
- probabile
- linea
- log4j
- Guarda
- fatto
- make
- Fare
- gestione
- I gestori
- molti
- massiccio
- Materiale
- meccanismo
- Metadati
- metodo
- metodi
- minimo
- ordine
- Moments
- Scopri di più
- maggior parte
- molti
- devono obbligatoriamente:
- Bisogno
- Rete
- Sicurezza di rete
- New
- Nuove funzionalità
- Nuovi Arrivi
- nista
- no
- adesso
- of
- Vecchio
- on
- una volta
- aprire
- open source
- Opportunità
- or
- organizzazione
- organizzazioni
- Altro
- ancora
- pacchetto
- pagato
- Dolore
- parte
- Toppa
- Patch
- patching
- Paga le
- pagamento
- Persone
- performance
- scegliere
- Perno
- posto
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- spina
- punto
- Termini e Condizioni
- possibile
- pratiche
- preferire
- prioritizzazione
- i processi
- Produzione
- produttivo
- Programmazione
- linguaggi di programmazione
- progetti
- provenienza
- metti
- radar
- casuale
- RE
- realizzazione
- rendersi conto
- veramente
- riconoscendo
- ridurre
- Uscite
- problemi di
- ripetibile
- richiede
- risposta
- destra
- rischi
- running
- s
- sicura
- sicuro
- problemi di
- rischi per la sicurezza
- senso
- Serie
- foglio
- NAVE
- Spedizione
- dovrebbero
- firme
- firma
- Taglia
- piccole
- So
- Software
- lo sviluppo del software
- alcuni
- un giorno
- Fonte
- stabile
- inizia a
- Di partenza
- Stato dei servizi
- Passi
- Fermare
- fermato
- sciopero
- forte
- Super
- fornire
- supply chain
- sicuro
- superficie
- sorprese
- sistema
- SISTEMI DI TRATTAMENTO
- prende
- task
- le squadre
- Consulenza
- tecniche
- test
- Testing
- che
- Il
- loro
- Li
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cosa
- cose
- think
- questo
- quelli
- Attraverso
- tempo
- richiede tempo
- a
- insieme
- Affidati ad
- tipicamente
- unico
- univocamente
- Aggiornanento
- aggiornamento
- uso
- utilizzato
- utilizzando
- Ve
- verificare
- versione
- contro
- volontariamente
- vulnerabilità
- vulnerabilità
- Vulnerabile
- vuole
- Prima
- non lo era
- Modo..
- WELL
- Che
- qualunque
- quando
- quale
- OMS
- tutto
- disposto
- con
- Lavora
- lavoro
- scrivere
- anno
- sì
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro