Blocca la catena di fornitura del software con "Secure by Design"

Un software che dia priorità alla sicurezza al suo livello più fondamentale significa progettare il sistema con la sicurezza del cliente come obiettivo chiave piuttosto che come caratteristica aggiuntiva. E questo concetto, ovvero la sicurezza fin dalla progettazione, sta diventando sempre più cruciale poiché gli aggressori iniziano a prendere di mira le catene di approvvigionamento con maggiore frequenza.

“Capiscono che possono avere un impatto maggiore sfruttando con successo la catena di approvvigionamento”, afferma Thomas Pace, CEO di NetRise. Poiché le soluzioni di sicurezza tradizionali come EDR, firewall e filtri anti-spam sono diventate efficaci nel prevenire gli attacchi frontali, afferma, gli aggressori devono cercare aperture più a monte della catena.

E i sistemi incollati insieme forniscono proprio questo tipo di apertura. “Gli attacchi informatici sono più facili quando le aziende e i fornitori tentano di potenziare la sicurezza a posteriori”, afferma David Brumley, CEO di ForAllSecure. "È come mettere uno stereo aftermarket nella tua macchina: semplicemente non funziona esattamente nel modo giusto."

Per migliorare la sicurezza del software a livello globale, la Cybersecurity and Infrastructure Security Agency (CISA) ha proposto un’iniziativa volta a rivoluzionare le pratiche di sviluppo abbracciando i principi “secure by design” nel ciclo di vita dello sviluppo del software. Riflette uno spostamento fondamentale verso misure di sicurezza proattive.

Il richiesta di informazioni si concentra sulla risoluzione delle vulnerabilità software ricorrenti, sul rafforzamento della tecnologia operativa e sulla valutazione dell’impatto delle pratiche sicure sui costi. L’invito a presentare commenti, aperto fino al 20 febbraio 2024, sottolinea anche la responsabilità collettiva dei produttori e dei consumatori di tecnologia nel promuovere un futuro in cui la tecnologia sia intrinsecamente sicura e protetta.

"Secure by design significa che la sicurezza è parte integrante del modo in cui si costruisce il software da zero", spiega Brumley. “Ciò significa che è molto più resistente agli attacchi”.

Un livello di sicurezza fondamentale

Ken Dunham, direttore delle minacce informatiche presso Qualys Threat Research Unit, spiega che la sicurezza fin dalla progettazione inizia con l'architettura e i principi di gestione del rischio nelle operazioni prima che un'organizzazione migri o inizi a utilizzare il cloud.

“Questo è un elemento critico di un’infrastruttura ibrida moderna e complessa”, afferma. “In un mondo di responsabilità condivisa, le organizzazioni devono decidere quale rischio è accettabile da condividere, e potenzialmente a rischio più elevato, con terze parti rispetto a quello che è interamente posseduto e gestito internamente”.

Sottolinea che il ciclo di vita della produzione di software è sempre più complesso, con molte parti interessate che devono essere tutte sicure per ridurre i rischi. Dunham chiede: "I tuoi sviluppatori, che hanno a cuore la funzionalità e l'esperienza utente, sono esperti nei principi di codifica sicura, negli attacchi moderni, nelle contromisure di sicurezza e nelle SecOps?"

Le aspettative di sicurezza organizzativa mettono sotto pressione un team di onboarding affinché implementi, configuri e monitori correttamente il software all'interno dell'architettura aziendale. "Quanto sono maturi i vostri servizi di risposta agli incidenti e di intelligence sulle minacce informatiche?" lui chiede. "Hai fiducia in loro in un mondo di cloud ibrido in cui potresti subire un attacco di intrusione complesso a velocità incredibile?"

"Una volta che si hanno le persone giuste, il processo è ben compreso", concorda Brumley. "Architetti il ​​prodotto con una difesa approfondita, assicurati che le tue dipendenze e il software di terze parti siano aggiornati e utilizzi una tecnica moderna come il fuzzing per trovare vulnerabilità sconosciute."

Per Brumley, essere sicuri per impostazione predefinita significa progettare una sicurezza che funzioni con il modo in cui le persone utilizzano il software. "Esistono principi di progettazione che abbracciano più principi: proprio come quando si costruisce un grattacielo, è necessario pensare a tutto, dal supporto strutturale all'aria condizionata", spiega.

È necessario un cambiamento di paradigma nella sicurezza IT

Dunham osserva che il 2023 era pieno di esempi where condizioni di gara esisteva da zero giorni: le vulnerabilità sono state invertite e sfruttate come armi da soggetti malintenzionati più velocemente di quanto non lo fossero le organizzazioni potrebbero patcharli.

"Ci sono ancora alcune organizzazioni che faticano a risolvere le vulnerabilità di Log4J dopo tutto questo tempo", sottolinea.

Secondo lui, le organizzazioni devono identificare la propria superficie di attacco, interna ed esterna, e dare priorità alle risorse e alla gestione del rischio di conseguenza, per poter essere in vantaggio quando lo sfruttamento e il rischio di attacco correlato a una vulnerabilità aumentano.

Dal punto di vista di Pace, il settore della sicurezza IT deve subire un cambiamento di paradigma nel modo in cui considera il rischio e come assegnargli al meglio la priorità, e ciò può avvenire solo con la visibilità della catena di fornitura. Ha condiviso un esempio in cui una “organizzazione molto grande” non sapeva quali dipendenze avesse il suo sistema di sicurezza quando ha doverosamente aggiornato quel sistema. “Dopo l'aggiornamento è stato scansionato da uno scanner di vulnerabilità ed è stato stabilito che il recente vulnerabilità critica di Apache Struts era presente", dice. "Ora questa organizzazione ha introdotto un grave rischio per la propria organizzazione."

Progettazione sicura nell'era dell'IoT

John Gallagher, vicepresidente di Viakoo Labs presso Viakoo, afferma che una sfida chiave è progettare la sicurezza in dispositivi di lunga durata come quelli che fanno parte dell'Internet delle cose (IoT) che potrebbero non aver avuto la sicurezza come considerazione di progettazione inizialmente.

"Ciò richiede test più approfonditi e potrebbe richiedere nuove risorse ingegneristiche", afferma. “Allo stesso modo, integrare nuove funzionalità di sicurezza è un modo per introdurre nuove vulnerabilità di sicurezza”.

Gallagher afferma che i produttori di software dovrebbero abbracciare l'uso delle distinte materiali del software (SBOM) per individuare e correggere le vulnerabilità più rapidamente. Egli osserva che le aziende stanno incorporando pratiche di progettazione sicure nei nuovi prodotti, che in definitiva costituiranno un fattore competitivo sul mercato.

"Oltre all'MFA e ai privilegi di accesso limitato, nei prodotti vengono progettate altre misure come l'eliminazione delle password predefinite e la fornitura di meccanismi per aggiornare il firmware in modo più semplice e rapido", afferma.

Evitare la “sicurezza attraverso l’oscurità” è un altro principio della sicurezza fin dalla progettazione, sottolinea Gallagher. Le SBOM e il software open source, ad esempio, forniscono sicurezza offrendo trasparenza sul codice software.

Pace afferma che una delle aree di cui è più entusiasta per quanto riguarda la sicurezza per impostazione predefinita e la sicurezza fin dalla progettazione è la visibilità significativamente migliore nella catena di fornitura del software. "Una volta raggiunta questa visibilità, possiamo iniziare a capire veramente dove sono i nostri problemi a livello fondamentale e quindi iniziare a dare loro la priorità in un modo che abbia senso", afferma.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design