Zablokuj łańcuch dostaw oprogramowania dzięki „Secure by Design”

Oprogramowanie, które priorytetowo traktuje bezpieczeństwo na najbardziej podstawowym poziomie, oznacza projektowanie systemu, w którym bezpieczeństwo klienta będzie głównym celem, a nie dodaną funkcją. Koncepcja ta — bezpieczna z założenia — staje się coraz ważniejsza, w miarę jak napastnicy coraz częściej zaczynają atakować łańcuchy dostaw.

„Rozumieją, że mogą wywrzeć większy wpływ, skutecznie wykorzystując łańcuch dostaw” – mówi Thomas Pace, dyrektor generalny NetRise. Ponieważ tradycyjne rozwiązania zabezpieczające, takie jak EDR, zapory ogniowe i filtry spamu, skutecznie zapobiegają bezpośrednim atakom, napastnicy muszą szukać luk na dalszych etapach łańcucha.

A systemy sklejone zapewniają właśnie taki rodzaj otwarcia. „Cyberataki są łatwiejsze, gdy firmy i dostawcy próbują „wzmocnić” zabezpieczenia po fakcie” – mówi David Brumley, dyrektor generalny ForAllSecure. „To tak, jakbyś umieścił w samochodzie zestaw stereo z rynku wtórnego – po prostu nie działa dokładnie tak, jak powinien”.

Aby zwiększyć bezpieczeństwo oprogramowania na całym świecie, Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) zaproponowała inicjatywę mającą na celu zrewolucjonizowanie praktyk programistycznych poprzez przyjęcie zasad „bezpieczeństwa od samego początku” w cyklu życia oprogramowania. Odzwierciedla to kluczową zmianę w kierunku proaktywnych środków bezpieczeństwa.

Połączenia Wniosek o udzielenie informacji koncentruje się na usuwaniu powtarzających się luk w oprogramowaniu, wzmacnianiu technologii operacyjnej i ocenie wpływu bezpiecznych praktyk na koszty. Zaproszenie do zgłaszania komentarzy, które można komentować do 20 lutego 2024 r., podkreśla również zbiorową odpowiedzialność producentów technologii i konsumentów za wspieranie przyszłości, w której technologia jest z natury bezpieczna.

„Bezpieczeństwo z założenia oznacza, że ​​bezpieczeństwo jest częścią procesu tworzenia oprogramowania od podstaw” – wyjaśnia Brumley. „Oznacza to, że jest znacznie bardziej odporny na ataki”.

Podstawowy poziom bezpieczeństwa

Ken Dunham, dyrektor ds. zagrożeń cybernetycznych w Qualys Threat Research Unit, wyjaśnia, że ​​bezpieczeństwo od samego początku zaczyna się od architektury i zasad zarządzania ryzykiem w operacjach, zanim organizacja migruje do chmury lub zacznie z niej korzystać.

„To kluczowy element nowoczesnej, złożonej infrastruktury hybrydowej” – mówi. „W świecie wspólnej odpowiedzialności organizacje muszą zdecydować, jakie ryzyko można dzielić ze stronami trzecimi – i które potencjalnie wiąże się z większym ryzykiem – w porównaniu z ryzykiem, które jest w całości własnością firmy i jest zarządzane wewnętrznie”.

Zwraca uwagę, że cykl życia wytwarzania oprogramowania jest coraz bardziej złożony i obejmuje wielu interesariuszy, którzy muszą zapewnić bezpieczeństwo, aby zmniejszyć ryzyko. Dunham pyta: „Czy Twoi programiści, którym zależy na funkcjonalności i wygodzie użytkownika, są biegli w zakresie zasad bezpiecznego kodowania, współczesnych ataków, środków zaradczych bezpieczeństwa i SecOps?”

Oczekiwania dotyczące bezpieczeństwa organizacji wywierają presję na zespół wdrażający, aby prawidłowo wdrażał, konfigurował i monitorował oprogramowanie w architekturze biznesowej. „Jak dojrzałe są Wasze usługi w zakresie reagowania na incydenty i analizy zagrożeń cybernetycznych?” On pyta. „Czy ufasz im w świecie chmur hybrydowych, w którym możesz mieć złożony atak włamaniowy z niesamowitą szybkością?”

„Kiedy już dysponuje się właściwymi ludźmi, proces jest dobrze zrozumiany” – zgadza się Brumley. „Projektujesz produkt z dogłębną ochroną, upewniasz się, że Twoje zależności i oprogramowanie innych firm są aktualne, a także korzystasz z nowoczesnych technik, takich jak fuzzing, w celu znalezienia nieznanych luk w zabezpieczeniach”.

Dla Brumleya bezpieczeństwo domyślnie oznacza projektowanie uwzględniające bezpieczeństwo, które współpracuje ze sposobem, w jaki ludzie korzystają z oprogramowania. „Istnieją zasady projektowania, które obejmują wiele zasad — tak jak przy budowie drapacza chmur należy wziąć pod uwagę wszystko, od wsparcia konstrukcyjnego po klimatyzację” – wyjaśnia.

Wymagana zmiana paradygmatu w bezpieczeństwie IT

Dunham zauważa, że ​​był to rok 2023 pełen przykładów gdzie warunki wyścigu istniało przez zero dni — luki zostały odwrócone i wykorzystane przez złych aktorów szybciej niż organizacje mogłyby je załatać.

„Po tak długim czasie niektóre organizacje nadal mają trudności z załataniem luk w zabezpieczeniach Log4J” – zauważa.

Mówi, że organizacje muszą zidentyfikować powierzchnię ataku, wewnętrzną i zewnętrzną, oraz odpowiednio ustalić priorytety zasobów i zarządzania ryzykiem, aby wyjść na prowadzenie, gdy wzrasta ryzyko wykorzystania i ataku związane z luką.

Z perspektywy Pace’a branża bezpieczeństwa IT musi przejść zmianę paradygmatu w sposobie postrzegania ryzyka i najlepszego ustalania jego priorytetów – a może to nastąpić jedynie przy zapewnieniu wglądu w łańcuch dostaw. Podał przykład, w którym „bardzo duża organizacja” nie wiedziała, jakie zależności ma jej system bezpieczeństwa, gdy sumiennie go aktualizowała. „Po aktualizacji został on przeskanowany przez skaner podatności i ustalono, że najnowsza krytyczna luka w zabezpieczeniach Apache Struts był obecny – mówi. „Teraz ta organizacja wprowadziła dla swojej organizacji poważne ryzyko”.

Bezpieczne projektowanie w erze IoT

John Gallagher, wiceprezes Viakoo Labs w firmie Viakoo, twierdzi, że jednym z kluczowych wyzwań jest zaprojektowanie zabezpieczeń w urządzeniach o długiej żywotności, takich jak te stanowiące część Internetu rzeczy (IoT), w przypadku których początkowo projekt nie uwzględniał bezpieczeństwa.

„Wymaga to bardziej szczegółowych testów i może wymagać nowych zasobów inżynieryjnych” – mówi. „Podobnie wbudowanie nowych funkcji zabezpieczeń jest sposobem na wprowadzenie nowych luk w zabezpieczeniach”.

Gallagher twierdzi, że producenci oprogramowania powinni wdrożyć zestawienia komponentów oprogramowania (SBOM), aby szybciej znajdować i usuwać luki w zabezpieczeniach. Zauważa, że ​​firmy włączają bezpieczne praktyki projektowe do nowych produktów, które ostatecznie staną się czynnikiem konkurencyjnym na rynku.

„Oprócz MFA i ograniczonych uprawnień dostępu w produktach projektowane są inne środki, takie jak eliminacja domyślnych haseł i zapewnianie mechanizmów umożliwiających łatwiejszą i szybszą aktualizację oprogramowania sprzętowego” – mówi.

Gallagher podkreśla, że ​​unikanie „bezpieczeństwa poprzez zaciemnienie” to kolejna zasada bezpieczeństwa z założenia. Na przykład SBOM i oprogramowanie typu open source zapewniają bezpieczeństwo, oferując przejrzystość kodu oprogramowania.

Pace twierdzi, że jednym z obszarów, który go najbardziej ekscytuje w kontekście bezpieczeństwa domyślnego i bezpiecznego z założenia, jest znacznie lepszy wgląd w łańcuch dostaw oprogramowania. „Kiedy uda nam się osiągnąć tę widoczność, będziemy mogli zacząć naprawdę rozumieć, gdzie leżą nasze problemy, od poziomu podstawowego, a następnie zacząć ustalać priorytety w sposób, który ma sens” – mówi.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design