Det har alltid vært en avveining innen IT mellom levering av nye funksjoner og funksjonalitet versus å betale ned teknisk gjeld, som inkluderer ting som pålitelighet, ytelse, testing ... og ja, sikkerhet.
I denne "send raskt og knekk ting"-æraen, er akkumulering av sikkerhetsgjeld en beslutning som organisasjoner tar frivillig. Hver organisasjon har sikkerhetsoppgaver fylt i Jira-backloggene sine for «en dag» – ting som å distribuere sikkerhetsoppdateringer og kjøre de nyeste, mest stabile versjonene av programmeringsspråk og rammeverk. Å gjøre det riktige tar tid, og team utsetter med vilje disse oppgavene fordi de prioriterer nye funksjoner. En stor del av CISOs jobb er å gjenkjenne de øyeblikkene da sikkerhetsgjeld må betales.
En ting som gjorde Log4j utnyttelse så alarmerende for CISOer var erkjennelsen av at det var denne enorme akkumulerte gjelden som ikke engang var på radaren deres. Den avslørte en skjult klasse av sikkerhetshull mellom åpen kildekode-prosjekter og økosystemene til skapere, vedlikeholdere, pakkeforvaltere og organisasjoner som bruker dem.
Sikkerhet i programvareforsyningskjeden er en unik linjepost på sikkerhetsgjeldsbalansen, men CISOer kan sette sammen en sammenhengende plan for nedbetaling.
En ny sårbarhetsklasse
De fleste selskaper har blitt veldig flinke til å låse nettverkssikkerheten. Men det er en hel klasse med utnyttelser som er mulige fordi utviklere bygger systemer og programvareartefaktene de utnytter for å skrive applikasjoner ikke har en tillitsmekanisme eller sikker varetektskjede.
I dag vet alle med sunn fornuft ikke å plukke opp en tilfeldig minnepinne og koble den til datamaskinen på grunn av sikkerhetsrisikoen. Men i flere tiår har utviklere lastet ned åpen kildekode-pakker uten noen måte å bekrefte at de er trygge.
Dårlige skuespillere utnytter denne angrepsvektoren fordi den er den nye lavthengende frukten. De innser at de kan få tilgang gjennom disse hullene, og når de er inne, pivoterer de til alle de andre systemene som er avhengige av den usikre artefakten de brukte for å komme inn.
Slutt å grave ved å låse byggesystemer
Det grunnleggende utgangspunktet for CISOer, godkjent i materialer som utviklerveiledningen "Sikring av programvareforsyningskjeden,” er å begynne å bruke åpen kildekode-rammeverk som NISTs Secure Software Development Framework (SSDF) og OpenSSFs Forsyningskjedenivåer for programvareartefakter (SLSA). Dette er i utgangspunktet foreskrivende trinn for å låse forsyningskjeden din. SLSA nivå 1 er å bruke et byggesystem. Nivå 2 er å eksportere noen logger og metadata (slik at du senere kan slå opp ting og utføre hendelsesrespons). Nivå 3 er å følge en rekke beste praksis. Nivå 4 er å bruke et virkelig sikkert byggesystem. Ved å følge disse første trinnene kan CISOer skape et sterkt grunnlag for å bygge en programvareforsyningskjede som er sikker som standard.
Ting blir mer nyansert ettersom CISO-er tenker på retningslinjer for hvordan utviklerteam anskaffer åpen kildekode-programvare i utgangspunktet. Hvordan vet utviklere hva selskapets retningslinjer er for hva som anses som "sikkert"? Og hvordan vet de at den åpne kildekoden de anskaffer (som utgjør stort flertall av all programvare som brukes av utviklere i disse dager) virkelig er umanipulert?
Ved å låse ned byggesystemer og lage en repeterbar metode for å bekrefte opprinnelsen til programvareartefakter før de bringes inn i miljøet, kan CISO-er effektivt slutte å grave et dypere hull for organisasjonen deres i sikkerhetsgjeld.
Hva med å betale ned gammel programvareforsyningskjedesikkerhetsgjeld?
Etter at du har sluttet å grave ved å låse grunnbildene og byggemiljøene dine, må du nå oppdatere programvaren og lappe sikkerhetsproblemene dine, inkludert versjoner av basisbilde.
Å oppdatere programvare og lappe CVE-er er veldig kjedelig. Det er kjedelig, det er tidkrevende, det er et ork - det er arbeid. Det er "spis grønnsakene dine" av cybersikkerhet. Å betale ned denne gjelden krever et dypt samarbeid mellom CISOer og utviklingsteam. Det er også en mulighet for begge lag til å bli enige om sikrere, produktive verktøy og prosesser som kan bidra til å gjøre en organisasjons programvareforsyningskjede sikker som standard.
Akkurat som noen mennesker ikke liker endringer, liker noen programvareteam ikke å oppdatere containerbasebildene sine. Grunnbildet er det første laget av containerbaserte programvareapplikasjoner. Oppdatering av et basisbilde til en ny versjon kan noen ganger ødelegge programvareapplikasjonen, spesielt hvis det er utilstrekkelig testdekning. Så, noen programvareteam foretrekker status quo, i hovedsak slentrer på ubestemt tid på en fungerende basebildeversjon som sannsynligvis akkumulerer CVE-er daglig.
For å unngå denne opphopningen av sårbarheter, bør programvareteam oppdatere bilder ofte med små endringer og bruke "testing i produksjon"-praksis som canary-utgivelser. Bruke beholderbilder som er herdede, minimale i størrelse og bygget med kritiske sikkerhetsmetadata for programvareforsyningskjeden, som programvarelister (SBOM), herkomst og signaturer, kan bidra til å lindre den tidkrevende smerten med daglig sårbarhetshåndtering i basisbilder. Disse teknikkene finner den rette balansen mellom å være trygg og sørge for at produksjonen ikke går ned.
Begynn å betale mens du går
Det som er unikt ubehagelig med sikkerhetsgjeld er at når du bare fortsetter å arkivere den for "en dag", reiser den vanligvis hodet når du er mest sårbar og har minst råd til å betale den. Log4j-sårbarheten slo til rett før den travle e-handelssyklusen i høytiden og la mange ingeniør- og sikkerhetsteam langt inn i året etter. Ingen CISO ønsker å ha skjulte sikkerhetsoverraskelser på lur.
Hver CISO bør gjøre en minimumsinvestering i sikrere byggesystemer, programvaresigneringsmetoder for å fastslå opprinnelsen til programvare før utviklere tar den inn i miljøet, og herdede, minimale containerbasebilder som reduserer angrepsoverflaten i grunnlaget for programvare og applikasjoner .
Dypere inn i denne massive utbetalingen av sikkerhetsgjeld for programvareforsyningskjeden, står CISO-er overfor en gåte om hvor mye de er villige til å la utviklerne deres betale mens de går (ved å kontinuerlig oppdatere basisbilder og programvare med sårbarheter) versus å utsette den gjelden og oppnå et akseptabelt nivå på sårbarhet.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- : har
- :er
- :ikke
- $OPP
- 1
- 7
- a
- Om oss
- akseptabelt
- adgang
- akkumulert
- akkumulering
- oppnå
- erverve
- anskaffe
- aktører
- Alle
- lindre
- også
- alltid
- an
- og
- noen
- Søknad
- søknader
- ER
- AS
- At
- angripe
- unngå
- borte
- Balansere
- Balanse
- basen
- I utgangspunktet
- BE
- fordi
- vært
- før du
- BEST
- beste praksis
- mellom
- Stor
- Sedler
- Kjedelig
- både
- Break
- bringe
- Bringe
- bygge
- Bygning
- bygget
- opptatt
- men
- by
- CAN
- kapitaliserende
- kjede
- endring
- Endringer
- CISO
- klasse
- SAMMENHENGENDE
- samarbeid
- Felles
- Selskaper
- Selskapet
- datamaskin
- ansett
- Container
- kontinuerlig
- gåten
- dekning
- skape
- Opprette
- skaperne
- kritisk
- varetekt
- Cybersecurity
- syklus
- daglig
- Dager
- Gjeld
- tiår
- avgjørelse
- dyp
- dypere
- Misligholde
- utplasserings
- Utvikler
- utviklere
- Utvikling
- do
- doesn
- gjør
- Don
- ned
- stasjonen
- to
- e-handel
- spise
- økosystemer
- effektivt
- Ingeniørarbeid
- entry
- Miljø
- miljøer
- Era
- spesielt
- hovedsak
- etablere
- Selv
- Hver
- exploits
- eksportere
- utsatt
- Face
- FAST
- Egenskaper
- Filing
- Først
- første steg
- følge
- etter
- Til
- Fundament
- Rammeverk
- rammer
- ofte
- funksjonalitet
- fundamental
- Gevinst
- hull
- få
- Go
- god
- veilede
- Ha
- hode
- hjelpe
- skjult
- Hole
- Holes
- ferie
- Hvordan
- HTTPS
- stort
- if
- bilde
- bilder
- in
- hendelse
- hendelsesrespons
- inkluderer
- Inkludert
- usikker
- innsiden
- inn
- investering
- IT
- DET ER
- Jobb
- bare
- Hold
- Vet
- språk
- seinere
- lag
- minst
- Nivå
- nivåer
- Leverage
- i likhet med
- Sannsynlig
- linje
- log4j
- Se
- laget
- gjøre
- Making
- ledelse
- Ledere
- mange
- massive
- materialer
- mekanisme
- metadata
- metode
- metoder
- minimal
- minimum
- Moments
- mer
- mest
- mye
- må
- Trenger
- nettverk
- Nettverkssikkerhet
- Ny
- Nye funksjoner
- Nyeste
- nst
- Nei.
- nå
- of
- Gammel
- on
- gang
- åpen
- åpen kildekode
- Opportunity
- or
- organisasjon
- organisasjoner
- Annen
- enn
- pakke
- betalt
- Smerte
- del
- patch
- Patches
- patching
- Betale
- betalende
- Ansatte
- ytelse
- plukke
- Pivot
- Sted
- fly
- plato
- Platon Data Intelligence
- PlatonData
- støpsel
- Point
- Politikk
- mulig
- praksis
- trekker
- prioritering
- Prosesser
- Produksjon
- produktiv
- Programmering
- programmerings språk
- prosjekter
- proveniens
- sette
- radar
- tilfeldig
- RE
- realisering
- realisere
- virkelig
- gjenkjenne
- redusere
- Utgivelser
- pålitelighet
- repeterbar
- Krever
- svar
- ikke sant
- risikoer
- rennende
- s
- trygge
- sikre
- sikkerhet
- sikkerhetsrisiko
- forstand
- Serien
- ark
- SKIP
- Levering
- bør
- signaturer
- signering
- Størrelse
- liten
- So
- Software
- programvareutvikling
- noen
- en dag
- kilde
- stabil
- Begynn
- Start
- status
- Steps
- Stopp
- stoppet
- streik
- sterk
- Super
- levere
- forsyningskjeden
- sikker
- overflaten
- overraskelser
- system
- Systemer
- tar
- oppgaver
- lag
- Teknisk
- teknikker
- test
- Testing
- Det
- De
- deres
- Dem
- Der.
- Disse
- de
- ting
- ting
- tror
- denne
- De
- Gjennom
- tid
- tidkrevende
- til
- sammen
- Stol
- typisk
- unik
- unikt
- Oppdater
- oppdatering
- bruke
- brukt
- ved hjelp av
- Ve
- verifisere
- versjon
- Versus
- frivillig
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- ønsker
- var
- var det ikke
- Vei..
- VI VIL
- Hva
- uansett
- når
- hvilken
- HVEM
- hele
- villig
- med
- Arbeid
- arbeid
- skrive
- år
- ja
- Du
- Din
- zephyrnet