IT에는 새로운 기능을 제공하는 것과 안정성, 성능, 테스트, 그리고 예, 보안과 같은 것을 포함하는 기술적 부채를 갚는 것 사이에 항상 균형이 있었습니다.
"빠르게 배송하고 물건을 부수는" 시대에 담보 부채를 축적하는 것은 조직이 자발적으로 내리는 결정입니다. 모든 조직에는 "언젠가는" Jira 백로그에 보안 패치를 배포하고 가장 안정적인 최신 버전의 프로그래밍 언어 및 프레임워크를 실행하는 것과 같은 보안 작업이 있습니다. 옳은 일을 하려면 시간이 걸리고 팀은 새로운 기능을 우선시하기 때문에 이러한 작업을 의도적으로 연기합니다. CISO의 업무 중 상당 부분은 담보 부채를 갚아야 하는 순간을 인식하는 것입니다.
하게 만든 한 가지 Log4j 익스플로잇 CISO는 자신들의 레이더에 들어오지도 않은 막대한 누적 부채가 있다는 사실을 깨닫고 매우 놀랐습니다. 그것은 오픈 소스 프로젝트와 이를 사용하는 제작자, 유지 관리자, 패키지 관리자 및 조직의 생태계 사이에 숨겨진 보안 격차를 드러냈습니다.
소프트웨어 공급망 보안은 보안 부채 대차대조표의 고유 항목이지만 CISO는 이를 갚기 위한 일관된 계획을 세울 수 있습니다.
새로운 종류의 취약점
대부분의 회사는 네트워크 보안을 잠그는 데 정말 능숙해졌습니다. 그러나 개발자가 애플리케이션을 작성하는 데 활용하는 소프트웨어 아티팩트 및 빌드 시스템에 신뢰 메커니즘이나 보안 관리 체인이 없기 때문에 가능한 모든 종류의 익스플로잇이 있습니다.
오늘날 상식이 있는 사람은 보안 위험 때문에 임의의 썸 드라이브를 선택하여 컴퓨터에 연결하지 않는 것을 알고 있습니다. 그러나 수십 년 동안 개발자들은 오픈 소스 패키지 안전하다는 것을 확인할 방법이 없습니다.
나쁜 행위자는 이 공격 벡터를 악용하고 있습니다. 이는 쉽게 얻을 수 있는 새로운 열매이기 때문입니다. 그들은 이러한 구멍을 통해 액세스 권한을 얻을 수 있고 일단 내부에 들어가면 진입하는 데 사용한 안전하지 않은 아티팩트에 의존하는 다른 모든 시스템으로 피벗할 수 있다는 것을 알고 있습니다.
빌드 시스템을 잠가서 파기 중지
개발자 가이드 "와 같은 자료에서 보증하는 CISO의 기본 출발점소프트웨어 공급망 보안,”는 NIST의 보안 소프트웨어 개발 프레임워크(SSDF) 및 OpenSSF와 같은 오픈 소스 프레임워크를 사용하기 시작하는 것입니다. 소프트웨어 아티팩트의 공급망 수준 (SLSA). 이는 기본적으로 공급망을 잠그기 위한 규범적 단계입니다. SLSA 레벨 1은 빌드 시스템을 사용하는 것입니다. 레벨 2는 일부 로그 및 메타데이터를 내보내는 것입니다(따라서 나중에 상황을 조회하고 사고 대응을 수행할 수 있음). 레벨 3은 일련의 모범 사례를 따르는 것입니다. 레벨 4는 정말 안전한 빌드 시스템을 사용하는 것입니다. 이러한 첫 번째 단계를 따르면 CISO는 기본적으로 안전한 소프트웨어 공급망을 구축하기 위한 강력한 기반을 만들 수 있습니다.
CISO가 처음부터 개발자 팀이 오픈 소스 소프트웨어를 획득하는 방법에 대한 정책에 대해 생각함에 따라 상황은 더욱 미묘해집니다. 개발자는 "보안"으로 간주되는 것에 대한 회사의 정책이 무엇인지 어떻게 알 수 있습니까? 그리고 그들은 그들이 획득하고 있는 오픈 소스( 대다수 요즘 개발자들이 사용하는 모든 소프트웨어 중)이 실제로 변조되지 않았습니까?
빌드 시스템을 잠그고 반복 가능한 방법을 만들어 소프트웨어 아티팩트를 환경으로 가져오기 전에 검증함으로써 CISO는 조직의 보안 부채에 더 깊은 구멍을 파는 것을 효과적으로 멈출 수 있습니다.
오래된 소프트웨어 공급망 보안 부채를 상환하는 것은 어떻습니까?
기본 이미지를 잠그고 환경을 구축하여 탐색을 중지한 후에는 이제 소프트웨어를 업데이트하고 기본 이미지 버전을 포함하여 취약성을 패치해야 합니다.
소프트웨어를 업데이트하고 CVE를 패치하는 것은 매우 지루한 작업입니다. 지루하고, 시간이 많이 걸리고, 귀찮은 일입니다. 사이버 보안의 "야채를 먹어라"입니다. 이 빚을 갚으려면 CISO와 개발팀 간의 긴밀한 협력이 필요합니다. 또한 조직의 소프트웨어 공급망을 기본적으로 안전하게 만드는 데 도움이 될 수 있는 보다 안전하고 생산적인 도구 및 프로세스에 대해 두 팀이 합의할 수 있는 기회이기도 합니다.
일부 사람들이 변화를 좋아하지 않는 것처럼 일부 소프트웨어 팀은 컨테이너 기본 이미지 업데이트를 좋아하지 않습니다. 기본 이미지는 컨테이너 기반 소프트웨어 애플리케이션의 첫 번째 계층입니다. 기본 이미지를 새 버전으로 업데이트하면 특히 테스트 범위가 부적절한 경우 소프트웨어 애플리케이션이 중단될 수 있습니다. 따라서 일부 소프트웨어 팀은 기본적으로 매일 CVE를 축적할 가능성이 있는 작업 기본 이미지 버전에서 무기한 배회하는 현상 유지를 선호합니다.
이러한 취약성의 누적을 방지하기 위해 소프트웨어 팀은 작은 변경 사항으로 이미지를 자주 업데이트하고 카나리아 릴리스와 같은 "프로덕션 테스트" 방법을 사용해야 합니다. 강화되고 최소 크기이며 다음과 같은 중요한 소프트웨어 공급망 보안 메타데이터로 구축된 컨테이너 이미지를 사용합니다. 소프트웨어 재료 명세서(SBOM), 출처 및 서명은 기본 이미지에서 일상적인 취약성 관리의 시간 소모적인 고통을 완화하는 데 도움이 될 수 있습니다. 이러한 기술은 보안을 유지하는 것과 생산이 중단되지 않도록 하는 것 사이에서 올바른 균형을 유지합니다.
종량제 시작
보안 부채의 독특한 점은 "언젠가"를 위해 계속 보관할 때 일반적으로 가장 취약하고 지불할 여력이 없을 때 고개를 든다는 것입니다. Log4j 취약점은 바쁜 전자 상거래 주기 직전에 발생하여 다음 해까지 많은 엔지니어링 및 보안 팀을 마비시켰습니다. 어떤 CISO도 숨겨진 놀라운 보안 기능을 원하지 않습니다.
모든 CISO는 보다 안전한 빌드 시스템, 개발자가 소프트웨어를 환경에 도입하기 전에 소프트웨어의 출처를 설정하는 소프트웨어 서명 방법, 소프트웨어 및 애플리케이션의 기반에서 공격 표면을 줄이는 강화된 최소 컨테이너 기본 이미지에 최소한의 투자를 해야 합니다. .
이 막대한 소프트웨어 공급망 보안 채무 상환에 대해 더 깊이 파고들면 CISO는 개발자가 (취약성이 있는 기본 이미지와 소프트웨어를 지속적으로 업데이트하여) 얼마를 지불할 의향이 있는지와 해당 채무를 연기하고 수용 가능한 수준을 달성하는지에 대한 수수께끼에 직면합니다. 취약점.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :있다
- :이다
- :아니
- $UP
- 1
- 7
- a
- 소개
- 허용
- ACCESS
- 누적 된
- 축적
- 달성
- 얻다
- 취득
- 배우
- All
- 덜다
- 또한
- 항상
- an
- 및
- 누군가
- 어플리케이션
- 어플리케이션
- 있군요
- AS
- At
- 공격
- 피하기
- 떨어져
- 잔액
- 대차 대조표
- 기지
- 원래
- BE
- 때문에
- 된
- 전에
- BEST
- 모범 사례
- 사이에
- 큰
- 지폐
- 지루한
- 두
- 흩어져
- 가져
- 가져
- 빌드
- 건물
- 내장
- 바쁜
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- CAN
- 활용
- 체인
- 이전 단계로 돌아가기
- 변경
- 시스코
- 수업
- 일관성
- 협동
- 공통의
- 기업
- 회사
- 컴퓨터
- 고려
- 컨테이너
- 지속적으로
- 수수께끼
- 적용 범위
- 만들
- 만들기
- 크리에이터
- 임계
- 보관
- 사이버 보안
- 주기
- 매일
- 일
- 빚
- 수십 년
- 결정
- 깊은
- 깊이
- 태만
- 배치
- 개발자
- 개발자
- 개발
- do
- 들린
- 하기
- 돈
- 아래 (down)
- 드라이브
- 두
- 전자 상거래
- 먹다
- 생태계
- 효과적으로
- 엔지니어링
- 항목
- 환경
- 환경
- 대
- 특히
- 본질적으로
- 세우다
- 조차
- 모든
- 공격
- 수출
- 드러난
- 페이스메이크업
- FAST
- 특징
- 철하기
- 먼저,
- 첫 번째 단계
- 따라
- 수행원
- 럭셔리
- Foundation
- 뼈대
- 프레임 워크
- 자주
- 기능
- 기본적인
- 이득
- 틈새
- 얻을
- Go
- 좋은
- 안내
- 있다
- 머리
- 도움
- 숨겨진
- 구멍
- 구멍
- 휴일
- 방법
- HTTPS
- 거대한
- if
- 영상
- 형상
- in
- 사건
- 사고 대응
- 포함
- 포함
- 불안 정한
- 내부
- 으로
- 투자
- IT
- 그
- 일
- 다만
- 유지
- 알아
- 언어
- 후에
- 층
- 가장 작은
- 레벨
- 레벨
- 이점
- 처럼
- 아마도
- 라인
- 로그4j
- 보기
- 만든
- 확인
- 유튜브 영상을 만드는 것은
- 구축
- 관리자
- .
- 거대한
- 재료
- 기구
- 메타 데이터
- 방법
- 방법
- 최소의
- 최저한의
- 순간
- 배우기
- 가장
- 많은
- 절대로 필요한 것
- 필요
- 네트워크
- 네트워크 보안
- 신제품
- 새로운 기능
- 최신
- nist
- 아니
- 지금
- of
- 낡은
- on
- 일단
- 열 수
- 오픈 소스
- 기회
- or
- 조직
- 조직
- 기타
- 위에
- 꾸러미
- 지급
- 고통
- 부품
- 패치
- 패치
- 패치
- 지불
- 지불하는
- 사람들
- 성능
- 선택
- 피벗
- 장소
- 계획
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 플러그
- 포인트 적립
- 정책
- 가능한
- 사례
- 취하다
- 우선 순위
- 프로세스
- 생산
- 생산적인
- 프로그램 작성
- 프로그래밍 언어
- 프로젝트
- 기원
- 놓다
- 레이더
- 닥치는대로의
- RE
- 실현
- 실현
- 정말
- 인식하는
- 감소
- 보도 자료
- 신뢰성
- 반복 가능
- 필요
- 응답
- 연락해주세요
- 위험
- 달리는
- s
- 가장 안전한 따뜻함
- 안전해야합니다.
- 보안
- 보안 위험
- 감각
- 연속
- 시트
- 배
- 배송
- 영상을
- 서명
- 로그인
- 크기
- 작은
- So
- 소프트웨어
- 소프트웨어 개발
- 일부
- 언젠가
- 출처
- 안정된
- 스타트
- 시작 중
- Status
- 단계
- 중지
- 정지
- 하다
- 강한
- 감독자
- 공급
- 공급망
- 확인
- 표면
- 놀라움
- 체계
- 시스템은
- 소요
- 작업
- 팀
- 테크니컬
- 기법
- test
- 지원
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그곳에.
- Bowman의
- 그들
- 맡은 일
- 일
- 생각
- 이
- 그
- 을 통하여
- 시간
- 시간이 많이 걸리는
- 에
- 함께
- 믿어
- 일반적으로
- 유일한
- 유일하게
- 업데이트
- 업데이트
- 사용
- 익숙한
- 사용
- Ve
- 확인
- 버전
- 대
- 자발적으로
- 취약점
- 취약점
- 취약
- 원
- 였다
- 이었다
- 방법..
- 잘
- 뭐
- 무엇이든
- 언제
- 어느
- 누구
- 모든
- 기꺼이
- 과
- 작업
- 일하는
- 쓰다
- year
- 예
- 자신의
- 너의
- 제퍼 넷