Lås ned programvareforsyningskjeden med "Secure by Design"

Programvare som prioriterer sikkerhet på sitt mest grunnleggende nivå betyr å designe systemet med kundesikkerhet som et nøkkelmål i stedet for en fast funksjon. Og dette konseptet – sikkert ved design – blir stadig mer avgjørende ettersom angripere begynner å målrette forsyningskjeder oftere.

"De forstår at de kan ha en større innvirkning ved å lykkes med å utnytte forsyningskjeden," sier Thomas Pace, administrerende direktør i NetRise. Fordi tradisjonelle sikkerhetsløsninger som EDR, brannmurer og spamfiltre har blitt gode til å forhindre front-mot-angrep, sier han, må angripere se etter åpninger lenger opp i kjeden.

Og sammenlimte systemer gir akkurat den typen åpning. "Cyberangrep er lettere når bedrifter og leverandører prøver å "bolte på" sikkerheten i ettertid, sier David Brumley, administrerende direktør i ForAllSecure. "Det er som å sette en ettermarkedsstereo i bilen din - det fungerer bare ikke helt riktig."

For å forbedre programvaresikkerheten globalt, foreslo Cybersecurity and Infrastructure Security Agency (CISA) et initiativ rettet mot å revolusjonere utviklingspraksis ved å omfavne "secure by design"-prinsipper i programvareutviklingens livssyklus. Det gjenspeiler et sentralt skifte mot proaktive sikkerhetstiltak.

De Spør etter informasjon fokuserer på å adressere tilbakevendende programvaresårbarheter, styrke operativ teknologi og vurdere effekten av sikker praksis på kostnader. Utfordringen for kommentarer, som er åpen frem til 20. februar 2024, understreker også det kollektive ansvaret til teknologiprodusenter og forbrukere for å fremme en fremtid der teknologi er iboende trygg og sikker.

"Sikker ved design betyr at sikkerhet er en del av hvordan du bygger programvaren fra grunnen av," forklarer Brumley. "Det betyr at den er mye mer robust mot angrep."

Et grunnleggende sikkerhetsnivå

Ken Dunham, direktør for cybertrussel ved Qualys Threat Research Unit, forklarer at sikker ved design starter med arkitektur og risikostyringsprinsipper i driften før en organisasjon migrerer til eller begynner å bruke skyen.

"Dette er et kritisk element i moderne, kompleks hybrid infrastruktur," sier han. "I en verden med delt ansvar, må organisasjoner bestemme hvilken risiko som er akseptabelt å deles, og potensielt med høyere risiko, med tredjeparter sammenlignet med den som er fullt eid og administrert internt."

Han påpeker at livssyklusen til programvareproduksjon er stadig mer kompleks, med mange interessenter som alle må være sikre for å redusere risiko. Dunham spør: "Er utviklerne dine, som bryr seg om funksjonalitet og brukeropplevelser, dyktige til sikre kodingsprinsipper, moderne angrep, sikkerhetsmottiltak og SecOps?"

Organisatoriske sikkerhetsforventninger legger press på et onboarding-team for å rulle ut, konfigurere og overvåke programvaren i forretningsarkitekturen på riktig måte. "Hvor moden er etterretningstjenestene dine for hendelsesrespons og cybertrussel?" han spør. "Stoler du på dem i en hybrid skyverden der du kan ha et komplekst inntrengningsangrep i lynende hastighet?"

"Når du har de rette menneskene, er prosessen godt forstått," sier Brumley enig. "Du bygger produktet med forsvar i dybden, sørger for at dine avhengigheter og tredjepartsprogramvare er oppdatert, og bruker en moderne teknikk som fuzzing for å finne ukjente sårbarheter."

For Brumley betyr sikker som standard å designe i sikkerhet som fungerer med hvordan folk bruker programvaren. "Det er designprinsipper som spenner over flere prinsipper - akkurat som når du bygger en skyskraper, må du tenke på alt fra strukturell støtte til klimaanlegg," forklarer han.

Paradigmeskifte påkrevd i IT-sikkerhet

Dunham bemerker at 2023 var full av eksempler hvor løpsforhold eksisterte i null dager — sårbarheter ble reversert og bevæpnet av dårlige skuespillere raskere enn organisasjoner kunne lappe dem.

"Det er fortsatt noen organisasjoner som sliter med å fikse Log4J-sårbarheter etter all denne tiden," påpeker han.

Han sier at organisasjoner må identifisere angrepsoverflaten deres, intern og ekstern, og prioritere aktiva og risikostyring deretter for å komme i front når utnyttelse og angrepsrisiko knyttet til en sårbarhet øker.

Fra Paces perspektiv må IT-sikkerhetsindustrien gjennomgå et paradigmeskifte i hvordan den vurderer risiko og hvordan den best prioriteres – og dette kan bare skje med synlighet i forsyningskjeden. Han delte et eksempel der en "veldig stor organisasjon" ikke visste hvilke avhengigheter sikkerhetssystemet hadde da det pliktoppfyllende oppdaterte systemet. "Etter oppdateringen ble den skannet av en sårbarhetsskanner, og det ble fastslått at den siste kritisk Apache Struts sårbarhet var til stede, sier han. "Nå har denne organisasjonen introdusert en alvorlig risiko for organisasjonen deres."

Sikker design i IoT-æraen

John Gallagher, visepresident for Viakoo Labs hos Viakoo, sier at en nøkkelutfordring er å designe sikkerhet inn i enheter med lang levetid som den delen av tingenes internett (IoT) som kanskje ikke hadde sikkerhet som designhensyn i utgangspunktet.

"Dette krever mer omfattende testing og kan kreve nye ingeniørressurser," sier han. "På samme måte er det å bygge inn nye sikkerhetsfunksjoner en måte å introdusere nye sikkerhetssårbarheter på."

Gallagher sier programvareprodusenter bør omfavne bruken av programvarelister (SBOM) for å finne og utbedre sårbarheter raskere. Han bemerker at bedrifter inkorporerer sikker by design-praksis i nye produkter, som til slutt vil være en konkurransefaktor i markedet.

"I tillegg til MFA og begrensede tilgangsprivilegier, blir andre tiltak som å eliminere standardpassord og å tilby mekanismer for enklere og raskere oppdatering av firmware designet i produkter," sier han.

Å unngå "sikkerhet gjennom obscurity" er en annen grunnsetning for sikker design, påpeker Gallagher. SBOM-er og åpen kildekode-programvare gir for eksempel sikkerhet ved å tilby åpenhet rundt programvarekoden.

Pace sier at et av områdene han er mest begeistret for når det gjelder sikker som standard og sikker ved design, er betydelig bedre synlighet i programvareforsyningskjeden. "Når denne synligheten kan oppnås, kan vi begynne å virkelig forstå hvor problemene våre er fra et grunnleggende nivå og deretter begynne å prioritere dem på en måte som gir mening," sier han.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design