תעשיית האבטחה מאבדת את דעתה באופן קולקטיבי כאשר מתגלות נקודות תורפה חדשות בתוכנה. OpenSSL אינו יוצא מן הכלל, ושתי נקודות תורפה חדשות הכריעו עדכוני חדשות בסוף אוקטובר ותחילת נובמבר 2022. גילוי וחשיפה הם רק ההתחלה של מחזור הפגיעות הבלתי נגמר הזה. ארגונים מושפעים מתמודדים עם תיקון, אשר כואב במיוחד עבור אלו הנמצאים בחזית ה-IT. מנהיגי אבטחה חייבים לשמור על אסטרטגיית אבטחת סייבר יעילה כדי לעזור לסנן חלק מהרעש על פגיעויות חדשות, לזהות השפעות על שרשראות האספקה, ולאבטח את נכסיהם בהתאם.
התקפות שרשרת האספקה לא נעלמים
במשך כשנה, סבלנו מפגיעות חמורות ברכיבים כולל log4j, מסגרת האביב, ו OpenSSL. ניצול של פגיעויות ישנות יותר אף פעם לא פוסק מיישומים המוגדרים בצורה שגויה או המשתמשות בתלות פגיעות ידועות. בנובמבר 2022 נודע לציבור על א מסע תקיפה נגד הזרוע הפדרלית האזרחית הפדרלית (FCEB), המיוחס לאיום איראני בחסות המדינה. ישות פדרלית זו של ארה"ב הריצה תשתית VMware Horizon שהכילה את הפגיעות Log4Shell, ששימשה כווקטור ההתקפה הראשוני. FCEB נפגעה בשרשרת תקיפה מורכבת שכללה תנועה לרוחב, התפשרות על אישורים, התפשרות על המערכת, התמדה ברשת, עקיפת הגנה על נקודות קצה ופריצת קריפטו.
ארגונים עשויים לשאול "מדוע לצרוך OSS בכלל?" לאחר תקריות אבטחה מחבילות פגיעות כמו OpenSSL או Log4j. התקפות שרשרת האספקה ממשיכות במגמת עלייה מכיוון שלשימוש חוזר ברכיבים יש "היגיון עסקי טוב" עבור שותפים וספקים. אנו מהנדסים מערכות על ידי שימוש מחדש בקוד הקיים במקום לבנות מאפס. זאת כדי לצמצם את המאמץ ההנדסי, להגדיל באופן תפעולי ולספק במהירות. תוכנת קוד פתוח (OSS) נחשבת בדרך כלל מהימנה בזכות הביקורת הציבורית שהיא זוכה לה. עם זאת, התוכנה משתנה ללא הרף, ובעיות מתעוררות באמצעות טעויות קידוד או תלות מקושרת. בעיות חדשות נחשפות גם באמצעות אבולוציה של טכניקות בדיקה וניצול.
טיפול בפגיעויות בשרשרת האספקה
ארגונים צריכים כלי עבודה ותהליך מתאים כדי להבטיח עיצובים מודרניים. גישות מסורתיות כגון ניהול פגיעות או הערכות נקודת זמן לבדן אינן יכולות לעמוד בקצב. התקנות עדיין עשויות לאפשר גישות אלו, מה שמנציח את הפער בין "מאובטח" ל"תואם". רוב הארגונים שואפים להשיג רמה מסוימת של בשלות DevOps. "רציף" ו"אוטומטי" הן תכונות נפוצות של שיטות DevOps. תהליכי אבטחה לא צריכים להיות שונים. מובילי אבטחה חייבים לשמור על מיקוד לאורך שלבי הבנייה, האספקה וזמן הריצה כחלק מאסטרטגיית האבטחה שלהם:
- סריקה רציפה ב-CI/CD: כוון לאבטחת צינורות בנייה (כלומר, העבר לשמאל) אך הודה שלא תוכל לסרוק את כל הקוד והקוד המקנן. ההצלחה עם גישות העברה-שמאל מוגבלת על ידי יעילות הסורק, מתאם של פלט הסורק, אוטומציה של החלטות שחרור והשלמת הסורק בתוך חלונות שחרור. כלי עבודה אמור לעזור לתעדף את הסיכון לממצאים. לא כל הממצאים ניתנים לפעולה, וייתכן שלא ניתן יהיה לנצל פגיעויות בארכיטקטורה שלך.
- סריקה רציפה במהלך הלידה: פשרות רכיבים וסחיפה סביבתית קורים. יש לסרוק יישומים, תשתית ועומסי עבודה תוך כדי אספקה למקרה שמשהו נפגע בשרשרת האספקה הדיגיטלית כאשר מקורם מרישום או מאגרים ומקורם באתחול.
- סריקה רציפה בזמן ריצה: אבטחת זמן ריצה היא נקודת המוצא של תוכניות אבטחה רבות, וניטור אבטחה עומד בבסיס רוב מאמצי אבטחת הסייבר. אתה צריך מנגנונים שיכולים לאסוף ולתאם טלמטריה בכל סוגי הסביבות, כולל סביבות ענן, מיכל וסביבות Kubernetes. תובנות שנאספו בזמן ריצה צריכות להזיז לשלבי בנייה והגשה מוקדמים יותר. אינטראקציות זהות ושירות
- תעדוף פגיעויות שנחשפו בזמן ריצה: כל הארגונים נאבקים עם מספיק זמן ומשאבים כדי לסרוק ולתקן הכל. תעדוף מבוסס סיכונים הוא בסיסי לעבודת תוכנית האבטחה. חשיפה לאינטרנט היא רק גורם אחד. אחר הוא חומרת הפגיעות, וארגונים מתמקדים לעתים קרובות בבעיות חומרה גבוהות וקריטיות מכיוון שהן נחשבות כבעלי ההשפעה הגדולה ביותר. גישה זו עדיין יכולה לבזבז מחזורים של צוותי הנדסה ואבטחה מכיוון שהם עלולים לרדוף אחר נקודות תורפה שלעולם לא נטענות בזמן ריצה ואינן ניתנות לניצול. השתמש במודיעין זמן ריצה כדי לוודא אילו חבילות נטענות בפועל ביישומים ובתשתית פועלים כדי לדעת את סיכון האבטחה האמיתי לארגון שלך.
אנחנו יצרנו הנחיות ספציפיות למוצר לנווט לקוחות דרך טירוף ה-OpenSSL האחרון.
הפגיעות העדכנית ביותר של OpenSSL ו-Log4Shell מזכירות לנו את הצורך בהיערכות לאבטחת סייבר ובאסטרטגיית אבטחה יעילה. עלינו לזכור שמזהי CVE הם רק אותן בעיות ידועות בתוכנה או בחומרה ציבורית. פגיעויות רבות אינן מדווחות, במיוחד חולשות בקוד תוצרת בית או בתצורות סביבתיות שגויות. אסטרטגיית אבטחת הסייבר שלך חייבת להתייחס לטכנולוגיה מבוזרת ומגוונת של עיצובים מודרניים. אתה צריך תוכנית מודרנית לניהול פגיעות המשתמשת בתובנות זמן ריצה כדי לתעדף את עבודת התיקון עבור צוותי הנדסה. אתה זקוק גם ליכולות זיהוי ותגובה של איומים שמתאמים אותות בין סביבות כדי למנוע הפתעות.
על המחבר
.png?width=690&quality=80&format=webply&disable=upscale "סיכוני שרשרת האספקה הורידו אותך? הישאר רגוע וקבל אסטרטגיות!")
מייקל איסביטסקי, מנהל אסטרטגיית אבטחת סייבר ב-Sysdig, חקר וייעץ בנושא אבטחת סייבר כבר למעלה מחמש שנים. הוא מתמצא באבטחת ענן, אבטחת מיכלים, אבטחת Kubernetes, אבטחת API, בדיקות אבטחה, אבטחה ניידת, הגנת יישומים ואספקה רציפה מאובטחת. הוא הדריך אינספור ארגונים ברחבי העולם ביוזמות האבטחה שלהם ותמך בעסקיהם.
לפני הניסיון שלו במחקר ובייעוץ, מייק למד שיעורים רבים בחזית ה-IT עם למעלה מ-20 שנות ניסיון של מתרגלים ומנהיגות המתמקדים באבטחת יישומים, ניהול פגיעות, ארכיטקטורה ארגונית והנדסת מערכות.
