Er is in de IT altijd een afweging geweest tussen het leveren van nieuwe functies en functionaliteit versus het afbetalen van technische schulden, waaronder zaken als betrouwbaarheid, prestaties, testen... en ja, beveiliging.
In dit tijdperk van โverzend snel en maak dingen kapotโ is het opbouwen van veiligheidsschulden een beslissing die organisaties vrijwillig nemen. Elke organisatie heeft voor โooitโ beveiligingstaken in de Jira-achterstand staan โโโ zaken als het implementeren van beveiligingspatches en het draaien van de nieuwste, meest stabiele versies van programmeertalen en frameworks. Het juiste doen kost tijd, en teams stellen deze taken moedwillig uit omdat ze prioriteit geven aan nieuwe functies. Een groot deel van de taak van de CISO bestaat uit het herkennen van de momenten waarop veiligheidsschulden moeten worden betaald.
Eรฉn ding maakte de Log4j-exploit Zo alarmerend voor de CISO's was het besef dat er een enorme opgebouwde schuld bestond die niet eens op hun radar stond. Het legde een verborgen klasse van beveiligingslacunes bloot tussen open source-projecten en de ecosystemen van makers, onderhouders, pakketbeheerders en organisaties die ze gebruiken.
Beveiliging van de toeleveringsketen van software is een uniek item op de balans van de beveiligingsschulden, maar CISO's kunnen een samenhangend plan opstellen om dit af te betalen.
Een nieuwe klasse van kwetsbaarheid
De meeste bedrijven zijn erg goed geworden in het vergrendelen van hun netwerkbeveiliging. Maar er is een hele reeks exploits mogelijk omdat ontwikkelaars systemen bouwen en de softwareartefacten die ze gebruiken om applicaties te schrijven geen vertrouwensmechanisme of veilige keten van toezicht hebben.
Tegenwoordig weet iedereen met gezond verstand dat hij vanwege de veiligheidsrisico's niet zomaar een USB-stick moet pakken en op zijn computer moet aansluiten. Maar al tientallen jaren zijn ontwikkelaars aan het downloaden open source-pakketten zonder enige manier om te verifiรซren dat ze veilig zijn.
Slechte actoren profiteren van deze aanvalsvector omdat dit het nieuwe laaghangende fruit is. Ze realiseren zich dat ze toegang kunnen krijgen via deze gaten, en eenmaal binnen kunnen ze zich wenden tot alle andere systemen die afhankelijk zijn van het onveilige artefact dat ze gebruikten om toegang te krijgen.
Stop met graven door bouwsystemen te vergrendelen
Het fundamentele uitgangspunt voor CISOโs, onderschreven in materialen als de ontwikkelaarsgids โBeveiliging van de softwaretoeleveringsketenโ, is om open source-frameworks te gaan gebruiken, zoals NIST's Secure Software Development Framework (SSDF) en OpenSSF's Supply Chain-niveaus voor softwareartefacten (SLSA). Dit zijn feitelijk voorgeschreven stappen om uw toeleveringsketen af โโte sluiten. SLSA Niveau 1 is het gebruik van een buildsysteem. Niveau 2 is het exporteren van enkele logbestanden en metagegevens (zodat u later dingen kunt opzoeken en incidentreacties kunt uitvoeren). Niveau 3 is het volgen van een reeks best practices. Niveau 4 is het gebruik van een echt veilig bouwsysteem. Door deze eerste stappen te volgen, kunnen CISO's een sterke basis creรซren voor het bouwen van een softwaretoeleveringsketen die standaard veilig is.
De zaken worden genuanceerder naarmate CISO's nadenken over beleid over de manier waarop ontwikkelaarsteams รผberhaupt open source-software verwerven. Hoe weten ontwikkelaars wat het beleid van hun bedrijf is voor wat als โveiligโ wordt beschouwd? En hoe weten ze dat de open source die ze verwerven (die de grote meerderheid van alle software die tegenwoordig door ontwikkelaars wordt gebruikt) er inderdaad niet mee wordt geknoeid?
Door bouwsystemen te vergrendelen en een herhaalbare methode te creรซren om de herkomst van softwareartefacten te verifiรซren voordat ze in de omgeving worden gebracht, kunnen CISO's effectief stoppen met het graven van een dieper gat voor hun organisatie in beveiligingsschulden.
Hoe zit het met het afbetalen van oude softwareleveringsketenbeveiligingsschulden?
Nadat u bent gestopt met graven door uw basisimages te vergrendelen en omgevingen te bouwen, moet u nu uw software bijwerken en uw kwetsbaarheden patchen, inclusief de versies van de basisimage.
Het updaten van software en het patchen van CVE's is super vervelend. Het is saai, het is tijdrovend, het is een hele klus โ het is werk. Het is de โeet je groentenโ van cyberbeveiliging. Het afbetalen van deze schuld vereist een diepgaande samenwerking tussen CISO's en ontwikkelingsteams. Het is ook een kans voor beide teams om overeenstemming te bereiken over veiligere, productievere tools en processen die kunnen helpen de softwaretoeleveringsketen van een organisatie standaard veilig te maken.
Net zoals sommige mensen niet van verandering houden, houden sommige softwareteams er niet van om hun containerbasisimages bij te werken. Het basisimage is de eerste laag van containergebaseerde softwareapplicaties. Het bijwerken van een basisimage naar een nieuwe versie kan soms de softwaretoepassing kapot maken, vooral als er onvoldoende testdekking is. Sommige softwareteams geven dus de voorkeur aan de status quo en blijven in wezen voor onbepaalde tijd rondhangen op een werkende basisimageversie die waarschijnlijk dagelijks CVE's verzamelt.
Om deze opeenstapeling van kwetsbaarheden te voorkomen, moeten softwareteams images regelmatig bijwerken met kleine wijzigingen en โtesten in productieโ-praktijken gebruiken, zoals canary-releases. Met behulp van containerimages die steviger zijn, minimaal van formaat zijn en zijn gebouwd met cruciale metagegevens over de beveiliging van de supply chain van de software, zoals software stuklijsten (SBOM's), herkomst en handtekeningen kunnen de tijdrovende pijn van het dagelijkse beheer van kwetsbaarheden in basisimages helpen verlichten. Deze technieken zorgen voor de juiste balans tussen veilig blijven en ervoor zorgen dat de productie niet daalt.
Begin met betalen terwijl u werkt
Wat zo bijzonder onaangenaam is aan effectenschulden, is dat als je ze maar blijft opbergen voor 'ooit', deze meestal de kop opsteken op het moment dat je het meest kwetsbaar bent en het je het minst kunt veroorloven om het te betalen. De Log4j-kwetsbaarheid sloeg vlak voor de drukke e-commercecyclus tijdens de feestdagen toe en legde veel engineering- en beveiligingsteams tot ver in het daaropvolgende jaar lam. Geen enkele CISO wil dat er verborgen beveiligingsverrassingen op de loer liggen.
Elke CISO zou een minimale investering moeten doen in veiligere bouwsystemen, softwareondertekeningsmethoden om de herkomst van software vast te stellen voordat ontwikkelaars deze in de omgeving brengen, en geharde, minimale containerbasisimages die het aanvalsoppervlak aan de basis van software en applicaties verkleinen. .
Als we dieper ingaan op deze enorme aflossing van de veiligheidsschulden in de toeleveringsketen van software, worden CISO's geconfronteerd met een raadsel hoeveel ze bereid zijn hun ontwikkelaars te laten betalen (door voortdurend basisimages en software met kwetsbaarheden bij te werken) versus het uitstellen van die schulden en het bereiken van een acceptabel niveau van veiligheid. kwetsbaarheid.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- : heeft
- :is
- :niet
- $UP
- 1
- 7
- a
- Over
- aanvaardbaar
- toegang
- Geaccumuleerd
- ophoping
- het bereiken van
- verwerven
- verwerven
- actoren
- Alles
- verlichten
- ook
- altijd
- an
- en
- iedereen
- Aanvraag
- toepassingen
- ZIJN
- AS
- At
- aanvallen
- vermijd
- weg
- Balance
- Balans
- baseren
- Eigenlijk
- BE
- omdat
- geweest
- vaardigheden
- BEST
- 'best practices'
- tussen
- Groot
- Biljetten
- Boren
- zowel
- Breken
- brengen
- Bringing
- bouw
- Gebouw
- bebouwd
- druk
- maar
- by
- CAN
- kapitaliseren
- keten
- verandering
- Wijzigingen
- CISO
- klasse
- SAMENHANGEND
- samenwerking
- Gemeen
- Bedrijven
- afstand
- computer
- beschouwd
- Containers
- permanent
- raadsel
- dekking
- en je merk te creรซren
- Wij creรซren
- scheppers
- kritisch
- Hechtenis
- Cybersecurity
- cyclus
- dagelijks
- dagen
- Schuld
- decennia
- beslissing
- deep
- diepere
- Standaard
- het inzetten
- Ontwikkelaar
- ontwikkelaars
- Ontwikkeling
- do
- doesn
- doen
- don
- beneden
- rit
- twee
- e-commerce
- eten
- ecosystemen
- effectief
- Engineering
- toegang
- Milieu
- omgevingen
- Tijdperk
- vooral
- in wezen
- oprichten
- Zelfs
- Alle
- exploits
- exporteren
- blootgestelde
- Gezicht
- SNELLE
- Voordelen
- Filing
- Voornaam*
- eerste stappen
- volgen
- volgend
- Voor
- Foundation
- Achtergrond
- frameworks
- vaak
- functionaliteit
- fundamenteel
- Krijgen
- hiaten
- krijgen
- Go
- goed
- gids
- Hebben
- hoofd
- hulp
- verborgen
- Gat
- Gaten
- vakantie
- Hoe
- HTTPS
- reusachtig
- if
- beeld
- afbeeldingen
- in
- incident
- incident reactie
- omvat
- Inclusief
- onzeker
- binnen
- in
- investering
- IT
- HAAR
- Jobomschrijving:
- voor slechts
- Houden
- blijven
- Talen
- later
- lagen
- minst
- Niveau
- niveaus
- Hefboomwerking
- als
- Waarschijnlijk
- Lijn
- log4j
- Kijk
- gemaakt
- maken
- maken
- management
- Managers
- veel
- massief
- materieel
- mechanisme
- Metadata
- methode
- methoden
- minimaal
- minimum
- Moments
- meer
- meest
- veel
- Dan moet je
- Noodzaak
- netwerk
- Netwerk veiligheid
- New
- Nieuwe mogelijkheden
- Nieuwste
- NIST
- geen
- nu
- of
- Oud
- on
- eens
- open
- open source
- kansen
- or
- organisatie
- organisaties
- Overige
- over
- pakket
- betaald
- Pijn
- deel
- Patch
- Patches
- patchen
- Betaal
- het betalen van
- Mensen
- prestatie
- kiezen
- Spil
- plaats
- plan
- Plato
- Plato gegevensintelligentie
- PlatoData
- stekker
- punt
- beleidsmaatregelen door te lezen.
- mogelijk
- praktijken
- de voorkeur geven
- prioriteiten stellen
- processen
- productie
- productief
- Programming
- programmeertalen
- projecten
- herkomst
- zetten
- radar
- willekeurige
- RE
- realisatie
- realiseren
- werkelijk
- herkennen
- verminderen
- Releases
- betrouwbaarheid
- herhaalbare
- vereist
- antwoord
- rechts
- risico's
- lopend
- s
- veilig
- beveiligen
- veiligheid
- veiligheidsrisico's
- zin
- -Series
- vel
- SHIP
- Verzending
- moet
- handtekeningen
- het ondertekenen van
- Maat
- Klein
- So
- Software
- software development
- sommige
- someday
- bron
- stabiel
- begin
- Start
- Status
- Stappen
- stop
- gestopt
- slaan
- sterke
- Super
- leveren
- toeleveringsketen
- zeker
- Oppervlak
- verrassingen
- system
- Systems
- neemt
- taken
- teams
- Technisch
- technieken
- proef
- Testen
- dat
- De
- hun
- Ze
- Er.
- Deze
- ze
- ding
- spullen
- denken
- dit
- die
- Door
- niet de tijd of
- tijdrovend
- naar
- samen
- Trust
- typisch
- unieke
- uniek
- bijwerken
- bijwerken
- .
- gebruikt
- gebruik
- Ve
- controleren
- versie
- Tegen
- vrijwillig
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- wil
- was
- was
- Manier..
- GOED
- Wat
- wat
- wanneer
- welke
- WIE
- geheel
- gewillig
- Met
- Mijn werk
- werkzaam
- schrijven
- jaar
- ja
- You
- Your
- zephyrnet