מאז ומתמיד היה פשרה ב-IT בין משלוח תכונות חדשות ופונקציונליות לעומת תשלום חוב טכני, הכולל דברים כמו אמינות, ביצועים, בדיקות... וכן, אבטחה.
בעידן זה של "ספינה מהר ושבור דברים", צבירת חובות ביטחונית היא החלטה שארגונים מקבלים מרצונם. לכל ארגון יש משימות אבטחה דחוסות בצבר ה-Jira שלו ל"יום אחד" - דברים כמו פריסת תיקוני אבטחה והפעלת הגרסאות החדשות והיציבות ביותר של שפות תכנות ומסגרות. לעשות את הדבר הנכון לוקח זמן, וצוותים דוחים בכוונה את המשימות הללו מכיוון שהם נותנים עדיפות לתכונות חדשות. חלק גדול מתפקידו של CISO הוא לזהות את הרגעים שבהם יש לשלם חובות ביטחון.
דבר אחד שעשה את Log4j נצל כל כך מדאיגה עבור CISOs הייתה ההבנה שיש את החוב המצטבר העצום הזה שאפילו לא היה על הרדאר שלהם. הוא חשף סוג נסתר של פערי אבטחה בין פרויקטים של קוד פתוח לבין המערכות האקולוגיות של יוצרים, מתחזקים, מנהלי חבילות וארגונים שמשתמשים בהם.
אבטחת שרשרת אספקת התוכנה היא פריט שורה ייחודי במאזן החוב לאבטחה, אך CISOs יכולים להרכיב תוכנית קוהרנטית לפירעון.
סוג חדש של פגיעות
רוב החברות השכילו לנעול את אבטחת הרשת שלהן. אבל יש מחלקה שלמה של ניצולים אפשריים מכיוון שלמפתחים בונים מערכות ולחפצי התוכנה שהם ממנפים לכתיבת יישומים אין מנגנון אמון או שרשרת משמורת מאובטחת.
כיום, כל מי שיש לו שכל ישר יודע לא להרים כונן אצבע אקראי ולחבר אותו למחשב שלו בגלל סיכוני האבטחה. אבל במשך עשרות שנים, מפתחים מורידים חבילות קוד פתוח ללא שום דרך לאמת שהם בטוחים.
שחקנים רעים מנצלים את וקטור ההתקפה הזה מכיוון שהוא הפרי החדש הנמוך. הם מבינים שהם יכולים לקבל גישה דרך החורים האלה, וברגע שנכנסו, פנו אל כל המערכות האחרות שיש להן תלות בכל חפץ לא בטוח שבו השתמשו כדי להיכנס.
הפסק לחפור על ידי נעילת מערכות בנייה
נקודת המוצא הבסיסית עבור CISOs, מאושרת בחומרים כמו המדריך למפתחים "אבטחת שרשרת אספקת התוכנה," היא להתחיל להשתמש במסגרות קוד פתוח כמו ה-Secure Software Development Framework (SSDF) ו-OpenSSF של NIST רמות שרשרת אספקה עבור חפצי תוכנה (SLSA). אלה הם בעצם שלבים מחייבים לנעילת שרשרת האספקה שלך. SLSA רמה 1 היא להשתמש במערכת בנייה. רמה 2 היא לייצא כמה יומנים ומטא נתונים (כדי שתוכל מאוחר יותר לחפש דברים ולבצע תגובה לאירועים). רמה 3 היא לבצע סדרה של שיטות עבודה מומלצות. רמה 4 היא להשתמש במערכת בנייה מאובטחת באמת. על ידי ביצוע השלבים הראשונים הללו, CISOs יכולים ליצור בסיס חזק לבניית שרשרת אספקת תוכנה מאובטחת כברירת מחדל.
הדברים מקבלים ניואנסים יותר כאשר CISOs חושבים על מדיניות לגבי האופן שבו צוותי מפתחים רוכשים תוכנת קוד פתוח מלכתחילה. איך מפתחים יודעים מהי מדיניות החברה שלהם לגבי מה שנחשב "מאובטח"? ואיך הם יודעים שהקוד הפתוח שהם רוכשים (המהווה את רוב גדול מכל התוכנות המשמשות מפתחים בימינו) אכן לא מעורפלת בה?
על ידי נעילת מערכות בנייה ויצירת שיטה שניתן לחזור עליה לאימות מקורם של חפצי תוכנה לפני הכנסתם לסביבה, CISOs יכולים למעשה להפסיק לחפור בור עמוק יותר עבור הארגון שלהם בחובות ביטחוניים.
מה לגבי פירעון חובות אבטחת שרשרת אספקת תוכנה ישנה?
לאחר שהפסקת לחפור על ידי נעילת תמונות הבסיס וסביבות הבנייה שלך, כעת עליך לעדכן את התוכנה שלך ולתקן את הפגיעויות שלך, כולל גרסאות תמונה בסיסיות.
עדכון תוכנה ותיקון CVEs הוא סופר מייגע. זה משעמם, זה גוזל זמן, זו מטלה - זו עבודה. זה "אכול את הירקות שלך" של אבטחת סייבר. פירעון החוב הזה דורש שיתוף פעולה עמוק בין CISOs וצוותי פיתוח. זוהי גם הזדמנות עבור שני הצוותים להסכים על כלים ותהליכים מאובטחים ופרודוקטיביים יותר שיכולים לעזור להפוך את שרשרת אספקת התוכנה של ארגון לאבטחת כברירת מחדל.
בדיוק כמו שאנשים מסוימים לא אוהבים שינוי, צוותי תוכנה מסוימים לא אוהבים לעדכן את תמונות הבסיס שלהם. תמונת הבסיס היא השכבה הראשונה של יישומי תוכנה מבוססי מיכל. עדכון תמונת בסיס לגרסה חדשה יכול לפעמים לשבור את אפליקציית התוכנה, במיוחד אם יש כיסוי בדיקה לא מספק. אז, כמה צוותי תוכנה מעדיפים את הסטטוס קוו, בעצם מסתובבים ללא הגבלת זמן על גרסת תמונה בסיסית עובדת שכנראה צוברת CVEs מדי יום.
כדי להימנע מהצטברות זו של פגיעויות, צוותי תוכנה צריכים לעדכן תמונות בתדירות גבוהה עם שינויים קטנים ולהשתמש בפרקטיקות של "בדיקות בייצור" כמו מהדורות קנריות. שימוש בתמונות מיכל שהן קשוחות, מינימליות בגודלן, ובנויות עם מטא נתונים קריטיים של אבטחת שרשרת האספקה של תוכנה, כמו רשימות חומרי תוכנה (SBOM), מקור וחתימות, יכולים לעזור להקל על הכאב שלוקח את הזמן של ניהול פגיעות יומיומי בתמונות בסיס. הטכניקות הללו מייצרות את האיזון הנכון בין שמירה על אבטחה ובין לוודא שהייצור לא יירד.
התחל לשלם תוך כדי
מה שלא נעים במיוחד בחוב אבטחה הוא שכשאתה רק ממשיך להגיש אותו ל"יום אחד", הוא בדרך כלל מרים את ראשו כאשר אתה הכי פגיע ויכול לפחות להרשות לעצמו לשלם אותו. הפגיעות של Log4j התרחשה ממש לפני מחזור המסחר האלקטרוני העמוס בחגים והרסה צוותי הנדסה ואבטחה רבים לתוך השנה שלאחר מכן. אף CISO לא רוצה שיהיו הפתעות אבטחה נסתרות.
כל CISO צריך להשקיע מינימום השקעה במערכות בנייה מאובטחות יותר, שיטות חתימת תוכנה כדי לבסס את מקור התוכנה לפני שמפתחים מביאים אותה לסביבה, ותמונות בסיס מוקשחות ומינימליות של קונטיינר המפחיתות את משטח ההתקפה בבסיס התוכנה והיישומים. .
עמוק יותר לתוך תשלומי החוב העצום הזה של שרשרת אספקת התוכנה, CISOs עומדים בפני חידה של כמה הם מוכנים שהמפתחים שלהם ישלמו תוך כדי (על ידי עדכון מתמיד של תמונות בסיס ותוכנה עם נקודות תורפה) לעומת דחיית החוב הזה והשגת רמה מקובלת של פגיעות.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 1
- 7
- a
- אודות
- קביל
- גישה
- מצטבר
- הצטברות
- השגתי
- לרכוש
- רכישה
- שחקנים
- תעשיות
- להקל
- גם
- תמיד
- an
- ו
- כל אחד
- בקשה
- יישומים
- ARE
- AS
- At
- לתקוף
- לְהִמָנַע
- רָחוֹק
- איזון
- מאזן
- בסיס
- בעיקרון
- BE
- כי
- היה
- לפני
- הטוב ביותר
- שיטות עבודה מומלצות
- בֵּין
- גָדוֹל
- שטרות
- משעמם
- שניהם
- לשבור
- להביא
- מביאים
- לִבנוֹת
- בִּניָן
- נבנה
- עסוק
- אבל
- by
- CAN
- מהוון
- שרשרת
- שינוי
- שינויים
- CISO
- בכיתה
- קוהרנטי
- שיתוף פעולה
- Common
- חברות
- חברה
- המחשב
- נחשב
- מכולה
- תמיד
- חידה
- כיסוי
- לִיצוֹר
- יוצרים
- יוצרים
- קריטי
- משמורת
- אבטחת סייבר
- מחזור
- יומי
- ימים
- חוב
- עשרות שנים
- החלטה
- עמוק
- עמוק יותר
- בְּרִירַת מֶחדָל
- פריסה
- מפתח
- מפתחים
- צעצועי התפתחות
- do
- לא איכפת
- עושה
- דון
- מטה
- נהיגה
- ראוי
- מסחר אלקטרוני
- לאכול
- מערכות אקולוגיות
- יעילות
- הנדסה
- כניסה
- סביבה
- סביבות
- תקופה
- במיוחד
- למעשה
- להקים
- אֲפִילוּ
- כל
- מעללים
- יצוא
- חשוף
- פָּנִים
- מהר
- תכונות
- תיוק
- ראשון
- צעדים ראשונים
- לעקוב
- הבא
- בעד
- קרן
- מסגרת
- מסגרות
- בתדירות גבוהה
- פונקציונלי
- יסודי
- לְהַשִׂיג
- פערים
- לקבל
- Go
- טוב
- מדריך
- יש
- ראש
- לעזור
- מוּסתָר
- חור
- חורים
- חַג
- איך
- HTTPS
- עצום
- if
- תמונה
- תמונות
- in
- תקרית
- תגובה לאירוע
- כולל
- כולל
- לא בטוח
- בתוך
- אל תוך
- השקעה
- IT
- שֶׁלָה
- עבודה
- רק
- שמור
- לדעת
- שפות
- מאוחר יותר
- שכבה
- הכי פחות
- רמה
- רמות
- תנופה
- כמו
- סביר
- קו
- log4j
- נראה
- עשוי
- לעשות
- עשייה
- ניהול
- מנהלים
- רב
- מסיבי
- חומרים
- מנגנון
- מידע נוסף
- שיטה
- שיטות
- מינימלי
- מינימום
- רגעים
- יותר
- רוב
- הרבה
- צריך
- צורך
- רשת
- אבטחת רשת
- חדש
- תכונות חדשות
- החדש ביותר
- ניסט
- לא
- עַכשָׁיו
- of
- זקן
- on
- פעם
- לפתוח
- קוד פתוח
- הזדמנות
- or
- ארגון
- ארגונים
- אחר
- יותר
- חבילה
- נפרע
- כְּאֵב
- חלק
- תיקון
- טלאים
- תיקון
- תשלום
- משלם
- אֲנָשִׁים
- ביצועים
- לבחור
- Pivot
- מקום
- תכנית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- תקע
- נקודה
- מדיניות
- אפשרי
- פרקטיקות
- לְהַעֲדִיף
- סדר עדיפויות
- תהליכים
- הפקה
- פּרוּדוּקטִיבִי
- תכנות
- שפות תכנות
- פרויקטים
- מוֹצָא
- גם
- מכ"ם
- אקראי
- RE
- מימוש
- להבין
- בֶּאֱמֶת
- זיהוי
- להפחית
- עיתונות
- אמינות
- הָדִיר
- דורש
- תגובה
- תקין
- סיכונים
- ריצה
- s
- בטוח
- לבטח
- אבטחה
- סיכוני אבטחה
- תחושה
- סדרה
- גיליון
- ספינה
- משלוח
- צריך
- חתימות
- חתימה
- מידה
- קטן
- So
- תוכנה
- פיתוח תוכנה
- כמה
- ביום מן הימים
- מָקוֹר
- יציב
- התחלה
- החל
- מצב
- צעדים
- עצור
- נעצר
- להכות
- חזק
- סוּפֶּר
- לספק
- שרשרת אספקה
- בטוח
- משטח
- הפתעות
- מערכת
- מערכות
- לוקח
- משימות
- צוותי
- טכני
- טכניקות
- מבחן
- בדיקות
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- דבר
- דברים
- לחשוב
- זֶה
- אלה
- דרך
- זמן
- דורש זמן רב
- ל
- יַחַד
- סומך
- בדרך כלל
- ייחודי
- באופן ייחודי
- עדכון
- עדכון
- להשתמש
- מְשׁוּמָשׁ
- באמצעות
- Ve
- לאמת
- גרסה
- נגד
- מרצון
- פגיעויות
- פגיעות
- פגיע
- רוצה
- היה
- לא היה
- דֶרֶך..
- טוֹב
- מה
- כלשהו
- מתי
- אשר
- מי
- כל
- מוכן
- עם
- תיק עבודות
- עובד
- לכתוב
- שנה
- כן
- אתה
- זפירנט