W IT zawsze istniał kompromis pomiędzy dostarczaniem nowych funkcji i funkcjonalności a spłacaniem długu technicznego, który obejmuje takie kwestie, jak niezawodność, wydajność, testowanie… i tak, bezpieczeństwo.
W erze „szybkiego wysyłania i niszczenia” gromadzenie długu z tytułu zabezpieczenia jest decyzją podejmowaną przez organizacje dobrowolnie. Każda organizacja ma w swoich zaległościach w Jira zadania związane z bezpieczeństwem, które mają „odstawić” na „kiedyś” — na przykład wdrażanie poprawek zabezpieczeń i uruchamianie najnowszych, najbardziej stabilnych wersji języków i frameworków programowania. Właściwe postępowanie wymaga czasu, a zespoły celowo odkładają te zadania na później, ponieważ dla nich priorytetem są nowe funkcje. Duża część pracy CISO polega na rozpoznawaniu momentów, w których należy spłacić długi z tytułu bezpieczeństwa.
Jedna rzecz, która sprawiła, że Exploit Log4j tak niepokojąca dla CISO była świadomość, że istnieje tak ogromne zakumulowane zadłużenie, którego nawet nie zauważyli. Ujawniło ukrytą klasę luk w zabezpieczeniach pomiędzy projektami open source a ekosystemami twórców, opiekunów, menedżerów pakietów i organizacji, które z nich korzystają.
Bezpieczeństwo łańcucha dostaw oprogramowania to wyjątkowa pozycja w bilansie długu z tytułu zabezpieczeń, ale CISO mogą opracować spójny plan jego spłaty.
Nowa klasa podatności
Większość firm naprawdę dobrze radzi sobie z blokowaniem zabezpieczeń sieci. Istnieje jednak cała klasa exploitów, które są możliwe, ponieważ deweloperzy budują systemy i artefakty oprogramowania, które wykorzystują do pisania aplikacji, nie posiadają mechanizmu zaufania ani bezpiecznego łańcucha dostaw.
Dzisiaj każdy, kto ma zdrowy rozsądek, wie, że ze względu na ryzyko bezpieczeństwa nie należy brać losowego pendrive'a i podłączać go do komputera. Ale od dziesięcioleci programiści pobierają pakiety open source bez możliwości sprawdzenia, czy są bezpieczne.
Źli aktorzy wykorzystują ten wektor ataku, ponieważ jest to nowy nisko wiszący owoc. Zdają sobie sprawę, że mogą uzyskać dostęp przez te dziury, a gdy już znajdą się w środku, przejdą do wszystkich innych systemów, które są zależne od niebezpiecznego artefaktu, którego użyli, aby się tam dostać.
Przestań kopać, blokując systemy kompilacji
Podstawowy punkt wyjścia dla CISO, potwierdzony w materiałach takich jak przewodnik dla programistów „Zabezpieczanie łańcucha dostaw oprogramowania”, polega na rozpoczęciu korzystania z frameworków open source, takich jak Secure Software Development Framework (SSDF) firmy NIST i OpenSSF Poziomy łańcucha dostaw dla artefaktów oprogramowania (SLSA). Są to w zasadzie nakazowe kroki mające na celu zablokowanie łańcucha dostaw. Poziom SLSA 1 polega na użyciu systemu kompilacji. Poziom 2 polega na wyeksportowaniu niektórych dzienników i metadanych (aby móc później sprawdzić sytuację i zareagować na incydent). Poziom 3 to przestrzeganie szeregu najlepszych praktyk. Poziom 4 polega na użyciu naprawdę bezpiecznego systemu kompilacji. Wykonując te pierwsze kroki, CISO mogą stworzyć solidną podstawę do zbudowania łańcucha dostaw oprogramowania, który będzie domyślnie bezpieczny.
Sprawa staje się bardziej zniuansowana, gdy CISO zastanawiają się przede wszystkim nad polityką dotyczącą tego, w jaki sposób zespoły programistów nabywają oprogramowanie typu open source. Skąd programiści wiedzą, jakie są zasady ich firmy dotyczące tego, co jest uważane za „bezpieczne”? A skąd wiedzą, że nabywane przez nich otwarte oprogramowanie (które stanowi plik zdecydowana większość całego oprogramowania używanego obecnie przez programistów) jest rzeczywiście nienaruszony?
Blokując systemy kompilacji i tworząc powtarzalną metodę weryfikacji pochodzenia artefaktów oprogramowania przed wprowadzeniem ich do środowiska, CISO mogą skutecznie przestać kopać głębszą dziurę w długach bezpieczeństwa swojej organizacji.
A co ze spłatą długu związanego z bezpieczeństwem łańcucha dostaw starego oprogramowania?
Po tym, jak przestałeś kopać i zablokowałeś obrazy podstawowe i środowiska kompilacji, musisz teraz zaktualizować oprogramowanie i załatać luki, w tym wersje obrazów podstawowych.
Aktualizowanie oprogramowania i łatanie CVE jest bardzo uciążliwe. To nudne, czasochłonne, uciążliwe – to praca. To zasada cyberbezpieczeństwa „jedz warzywa”. Spłata tego długu wymaga głębokiej współpracy pomiędzy CISO a zespołami programistycznymi. Jest to także okazja dla obu zespołów do uzgodnienia bezpieczniejszych i produktywniejszych narzędzi i procesów, które mogą pomóc w domyślnym zabezpieczeniu łańcucha dostaw oprogramowania organizacji.
Tak jak niektórzy ludzie nie lubią zmian, tak niektóre zespoły programistyczne nie lubią aktualizować obrazów bazowych kontenerów. Obraz podstawowy to pierwsza warstwa aplikacji opartych na kontenerach. Aktualizacja obrazu podstawowego do nowej wersji może czasami spowodować uszkodzenie aplikacji, zwłaszcza jeśli zakres testów jest niewystarczający. Dlatego niektóre zespoły programistyczne wolą status quo, zasadniczo pozostając w nieskończoność przy działającej wersji obrazu bazowego, która prawdopodobnie codziennie gromadzi wartości CVE.
Aby uniknąć kumulacji luk, zespoły programistyczne powinny często aktualizować obrazy, wprowadzając niewielkie zmiany i stosować praktyki „testowania w środowisku produkcyjnym”, takie jak wydania Canary. Korzystanie z obrazów kontenerów, które są wzmocnione, mają minimalny rozmiar i są zbudowane z użyciem krytycznych metadanych dotyczących bezpieczeństwa łańcucha dostaw oprogramowania, np zestawienia materiałowe oprogramowania (SBOM), pochodzenie i podpisy mogą pomóc złagodzić czasochłonne problemy związane z codziennym zarządzaniem lukami w zabezpieczeniach w obrazach podstawowych. Techniki te zapewniają właściwą równowagę pomiędzy zachowaniem bezpieczeństwa i zapewnieniem, że produkcja nie spadnie.
Zacznij płacić na bieżąco
Wyjątkowo nieprzyjemne w przypadku długu papierów wartościowych jest to, że jeśli po prostu odkładasz go na „kiedyś”, zazwyczaj podnosi on głowę, gdy jesteś najbardziej bezbronny i najmniej możesz sobie pozwolić na jego spłatę. Luka w zabezpieczeniach Log4j pojawiła się tuż przed pracowitym cyklem świątecznym w handlu elektronicznym i okaleczyła wiele zespołów inżynieryjnych i bezpieczeństwa aż do następnego roku. Żaden CISO nie chce, aby czaiły się ukryte niespodzianki związane z bezpieczeństwem.
Każdy CISO powinien dokonać minimalnych inwestycji w bezpieczniejsze systemy kompilacji, metody podpisywania oprogramowania w celu ustalenia pochodzenia oprogramowania, zanim programiści wprowadzą je do środowiska, oraz wzmocnione, minimalne obrazy bazowe kontenerów, które zmniejszają powierzchnię ataku u podstaw oprogramowania i aplikacji .
Zagłębiając się w tę masową spłatę długów związanych z bezpieczeństwem łańcucha dostaw oprogramowania, CISO stają przed dylematem, ile chcą, aby ich programiści płacili na bieżąco (poprzez ciągłe aktualizowanie obrazów podstawowych i oprogramowania z lukami w zabezpieczeniach) czy odroczenie tego długu i osiągnięcie akceptowalnego poziomu słaby punkt.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 1
- 7
- a
- O nas
- do przyjęcia
- dostęp
- Zgromadzone
- akumulacja
- osiągnięcia
- nabyć
- nabywanie
- aktorzy
- Wszystkie kategorie
- łagodzić
- również
- zawsze
- an
- i
- ktoś
- Zastosowanie
- aplikacje
- SĄ
- AS
- At
- atakować
- uniknąć
- z dala
- Bilans
- Bilans
- baza
- Gruntownie
- BE
- bo
- być
- zanim
- BEST
- Najlepsze praktyki
- pomiędzy
- Duży
- Banknoty
- Nudny
- obie
- przerwa
- przynieść
- Bringing
- budować
- Budowanie
- wybudowany
- zajęty
- ale
- by
- CAN
- wielkie litery
- łańcuch
- zmiana
- Zmiany
- CISO
- klasa
- ZGODNY
- współpraca
- wspólny
- Firmy
- sukcesy firma
- komputer
- za
- Pojemnik
- nieustannie
- zagadka
- pokrycie
- Stwórz
- Tworzenie
- twórcy
- krytyczny
- Areszt
- Bezpieczeństwo cybernetyczne
- cykl
- codziennie
- Dni
- Dług
- lat
- decyzja
- głęboko
- głębiej
- Domyślnie
- wdrażanie
- Deweloper
- deweloperzy
- oprogramowania
- do
- robi
- robi
- darowizna
- na dół
- napęd
- z powodu
- e-commerce
- jeść
- Ekosystemy
- faktycznie
- Inżynieria
- wejście
- Środowisko
- środowiska
- Era
- szczególnie
- istotnie
- zapewniają
- Parzyste
- Każdy
- exploity
- eksport
- narażony
- Twarz
- FAST
- Korzyści
- Złożenie
- i terminów, a
- pierwsze kroki
- obserwuj
- następujący
- W razie zamówieenia projektu
- Fundacja
- Framework
- Ramy
- często
- Funkcjonalność
- fundamentalny
- Wzrost
- luki
- otrzymać
- Go
- dobry
- poprowadzi
- Have
- głowa
- pomoc
- Ukryty
- Otwór
- Dziury
- Wakacje
- W jaki sposób
- HTTPS
- olbrzymi
- if
- obraz
- zdjęcia
- in
- incydent
- reakcja na incydent
- obejmuje
- Włącznie z
- niepewny
- wewnątrz
- najnowszych
- inwestycja
- IT
- JEGO
- Praca
- właśnie
- Trzymać
- Wiedzieć
- Języki
- później
- warstwa
- najmniej
- poziom
- poziomy
- Dźwignia
- lubić
- Prawdopodobnie
- Linia
- log4j
- Popatrz
- zrobiony
- robić
- Dokonywanie
- i konserwacjami
- Zarządzający
- wiele
- masywny
- materiały
- mechanizm
- Metadane
- metoda
- metody
- minimalny
- minimum
- Chwile
- jeszcze
- większość
- dużo
- musi
- Potrzebować
- sieć
- Bezpieczeństwo sieci
- Nowości
- Nowe funkcje
- Najnowszy
- nist
- Nie
- już dziś
- of
- Stary
- on
- pewnego razu
- koncepcja
- open source
- Okazja
- or
- organizacja
- organizacji
- Inne
- koniec
- pakiet
- płatny
- Ból
- część
- Łata
- Łatki
- łatanie
- Zapłacić
- zwracając
- Ludzie
- jest gwarancją najlepszej jakości, które mogą dostarczyć Ci Twoje monitory,
- wybierać
- Pivot
- Miejsce
- krok po kroku
- plato
- Analiza danych Platona
- PlatoDane
- wtyczka
- punkt
- polityka
- możliwy
- praktyki
- woleć
- ustalanie priorytetów
- procesów
- Produkcja
- produktywny
- Programowanie
- języki programowania
- projektowanie
- pochodzenie
- położyć
- radar
- przypadkowy
- RE
- realizacja
- zrealizować
- naprawdę
- rozpoznawanie
- zmniejszyć
- prasowe
- niezawodność
- powtarzalne
- Wymaga
- odpowiedź
- prawo
- ryzyko
- bieganie
- s
- "bezpiecznym"
- bezpieczne
- bezpieczeństwo
- zagrożenia bezpieczeństwa
- rozsądek
- Serie
- arkusz
- STATEK
- Wysyłka
- powinien
- Podpisy
- podpisywanie
- Rozmiar
- mały
- So
- Tworzenie
- rozwoju oprogramowania
- kilka
- pewnego dnia
- Źródło
- stabilny
- początek
- Startowy
- Rynek
- Cel
- Stop
- zatrzymany
- strajk
- silny
- Wspaniały
- Dostawa
- łańcuch dostaw
- pewnie
- Powierzchnia
- niespodzianek
- system
- systemy
- trwa
- zadania
- Zespoły
- Techniczny
- Techniki
- test
- Testowanie
- że
- Połączenia
- ich
- Im
- Tam.
- Te
- one
- rzecz
- rzeczy
- myśleć
- to
- tych
- Przez
- czas
- czasochłonne
- do
- razem
- Zaufaj
- zazwyczaj
- wyjątkowy
- wyjątkowo
- Aktualizacja
- aktualizowanie
- posługiwać się
- używany
- za pomocą
- Ve
- zweryfikować
- wersja
- Przeciw
- dobrowolnie
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- chce
- była
- nie był
- Droga..
- DOBRZE
- Co
- cokolwiek
- jeśli chodzi o komunikację i motywację
- który
- KIM
- cały
- skłonny
- w
- Praca
- pracujący
- napisać
- rok
- tak
- You
- Twój
- zefirnet