Sempre houve uma compensação em TI entre o envio de novos recursos e funcionalidades e o pagamento de dívidas técnicas, que incluem itens como confiabilidade, desempenho, testes... e, sim, segurança.
Nesta era de “enviar rápido e quebrar coisas”, acumular dívidas de segurança é uma decisão que as organizações tomam voluntariamente. Toda organização tem tarefas de segurança em seus backlogs do Jira para “algum dia” – coisas como implantar patches de segurança e executar as versões mais recentes e mais estáveis de linguagens de programação e estruturas. Fazer a coisa certa leva tempo, e as equipes adiam deliberadamente essas tarefas porque estão priorizando novos recursos. Uma grande parte do trabalho do CISO é reconhecer os momentos em que as dívidas de segurança devem ser pagas.
Uma coisa que fez o Exploração Log4j tão alarmante para os CISOs foi a constatação de que havia uma enorme dívida acumulada que nem sequer estava no seu radar. Ele expôs uma classe oculta de lacunas de segurança entre projetos de código aberto e os ecossistemas de criadores, mantenedores, gerenciadores de pacotes e organizações que os utilizam.
A segurança da cadeia de fornecimento de software é um item exclusivo no balanço patrimonial da dívida de segurança, mas os CISOs podem elaborar um plano coerente para pagá-la.
Uma nova classe de vulnerabilidade
A maioria das empresas se tornou muito boa em proteger a segurança de sua rede. Mas há toda uma classe de explorações que são possíveis porque os sistemas de construção dos desenvolvedores e os artefatos de software que eles utilizam para escrever aplicativos não possuem um mecanismo de confiança ou uma cadeia de custódia segura.
Hoje, qualquer pessoa com bom senso sabe que não deve pegar um pen drive aleatório e conectá-lo ao computador devido aos riscos de segurança. Mas há décadas os desenvolvedores baixam pacotes de código aberto sem nenhuma maneira de verificar se eles estão seguros.
Os malfeitores estão capitalizando esse vetor de ataque porque é o novo fruto mais fácil de alcançar. Eles percebem que podem obter acesso por meio dessas brechas e, uma vez lá dentro, migrar para todos os outros sistemas que dependem de qualquer artefato inseguro que usaram para obter entrada.
Pare de cavar bloqueando sistemas de construção
O ponto de partida fundamental para CISOs, endossado em materiais como o guia do desenvolvedor “Protegendo a cadeia de suprimentos de software”, é começar a usar estruturas de código aberto como o Secure Software Development Framework (SSDF) do NIST e o OpenSSF Níveis da cadeia de suprimentos para artefatos de software (SLSA). Estas são basicamente etapas prescritivas para bloquear sua cadeia de suprimentos. SLSA Nível 1 é usar um sistema de construção. O nível 2 é exportar alguns logs e metadados (para que você possa pesquisar mais tarde e responder a incidentes). O nível 3 é seguir uma série de práticas recomendadas. O nível 4 é usar um sistema de construção realmente seguro. Seguindo essas primeiras etapas, os CISOs podem criar uma base sólida para construir uma cadeia de fornecimento de software que seja segura por padrão.
As coisas ficam mais sutis à medida que os CISOs pensam nas políticas sobre como as equipes de desenvolvedores adquirem software de código aberto em primeiro lugar. Como os desenvolvedores sabem quais são as políticas da sua empresa para o que é considerado “seguro”? E como eles sabem que o código aberto que estão adquirindo (que constitui o grande maioria de todos os softwares usados pelos desenvolvedores atualmente) está realmente intacto?
Ao bloquear sistemas de construção e criar um método repetível para verificar a origem dos artefatos de software antes de trazê-los para o ambiente, os CISOs podem efetivamente parar de cavar um buraco mais profundo para sua organização na dívida de segurança.
Que tal pagar dívidas antigas de segurança da cadeia de suprimentos de software?
Depois de parar de pesquisar, bloqueando suas imagens base e criando ambientes, agora você precisa atualizar seu software e corrigir suas vulnerabilidades, incluindo versões de imagem base.
Atualizar software e corrigir CVEs é muito tedioso. É chato, demorado, é uma tarefa árdua – é trabalho. É o “coma seus vegetais” da segurança cibernética. O pagamento desta dívida requer uma colaboração profunda entre os CISOs e as equipas de desenvolvimento. É também uma oportunidade para ambas as equipes chegarem a um acordo sobre ferramentas e processos mais seguros e produtivos que podem ajudar a tornar a cadeia de fornecimento de software de uma organização segura por padrão.
Assim como algumas pessoas não gostam de mudanças, algumas equipes de software não gostam de atualizar suas imagens de base de contêineres. A imagem base é a primeira camada de aplicativos de software baseados em contêiner. A atualização de uma imagem base para uma nova versão pode, às vezes, danificar o aplicativo de software, especialmente se a cobertura de teste for inadequada. Portanto, algumas equipes de software preferem o status quo, basicamente vagando indefinidamente em uma versão de imagem de base funcional que provavelmente acumula CVEs diariamente.
Para evitar esse acúmulo de vulnerabilidades, as equipes de software devem atualizar as imagens frequentemente com pequenas alterações e usar práticas de “teste em produção”, como lançamentos canário. Usando imagens de contêiner reforçadas, de tamanho mínimo e criadas com metadados críticos de segurança da cadeia de suprimentos de software, como listas de materiais de software (SBOMs), proveniência e assinaturas podem ajudar a aliviar o trabalho demorado do gerenciamento diário de vulnerabilidades em imagens de base. Essas técnicas atingem o equilíbrio certo entre permanecer seguro e garantir que a produção não caia.
Comece a pagar conforme usar
O que é particularmente desagradável na dívida de títulos é que quando você simplesmente a arquiva para “algum dia”, ela normalmente surge quando você está mais vulnerável e tem menos condições de pagá-la. A vulnerabilidade Log4j ocorreu pouco antes do movimentado ciclo de comércio eletrônico de fim de ano e paralisou muitas equipes de engenharia e segurança no ano seguinte. Nenhum CISO deseja ter surpresas de segurança ocultas à espreita.
Todo CISO deve fazer um investimento mínimo em sistemas de construção mais seguros, métodos de assinatura de software para estabelecer a procedência do software antes que os desenvolvedores o tragam para o ambiente e imagens de base de contêiner mínimas e reforçadas que reduzam a superfície de ataque na base do software e dos aplicativos .
Mais profundamente neste enorme pagamento de dívidas de segurança da cadeia de fornecimento de software, os CISOs enfrentam um dilema sobre quanto estão dispostos a que seus desenvolvedores paguem conforme o uso (atualizando continuamente imagens de base e software com vulnerabilidades) versus adiar essa dívida e alcançar um nível aceitável de vulnerabilidade.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :tem
- :é
- :não
- $UP
- 1
- 7
- a
- Sobre
- aceitável
- Acesso
- Acumulado
- acumulação
- alcançar
- adquirir
- aquisição de
- atores
- Todos os Produtos
- aliviar
- tb
- sempre
- an
- e
- qualquer um
- Aplicação
- aplicações
- SOMOS
- AS
- At
- ataque
- evitar
- longe
- Equilíbrio
- Balanço
- base
- Basicamente
- BE
- Porque
- sido
- antes
- MELHOR
- melhores práticas
- entre
- Grande
- Contas inclusas
- Chato
- ambos
- Break
- trazer
- Trazendo
- construir
- Prédio
- construído
- ocupado
- mas a
- by
- CAN
- capitalizando
- cadeia
- alterar
- Alterações
- CISO
- classe
- COERENTE
- colaboração
- comum
- Empresas
- Empresa
- computador
- considerado
- Recipiente
- continuamente
- enigma
- cobertura
- crio
- Criar
- criadores
- crítico
- Custódia
- Cíber segurança
- ciclo
- diariamente
- dias
- Dívida
- décadas
- decisão
- profundo
- mais profunda
- Padrão
- Implantação
- Developer
- desenvolvedores
- Desenvolvimento
- do
- não
- fazer
- don
- down
- distância
- dois
- e-commerce,
- comer
- ecossistemas
- efetivamente
- Engenharia
- entrada
- Meio Ambiente
- ambientes
- Era
- especialmente
- essencialmente
- estabelecer
- Mesmo
- Cada
- façanhas
- exportar
- exposto
- Rosto
- RÁPIDO
- Funcionalidades
- Arquivamento
- Primeiro nome
- primeiros passos
- seguir
- seguinte
- Escolha
- Foundation
- Quadro
- enquadramentos
- freqüentemente
- funcionalidade
- fundamental
- Ganho
- lacunas
- ter
- Go
- Bom estado, com sinais de uso
- guia
- Ter
- cabeça
- ajudar
- oculto
- Buraco
- Buracos
- Feriado
- Como funciona o dobrador de carta de canal
- HTTPS
- enorme
- if
- imagem
- imagens
- in
- incidente
- resposta a incidentes
- inclui
- Incluindo
- inseguro
- dentro
- para dentro
- investimento
- IT
- ESTÁ
- Trabalho
- apenas por
- Guarda
- Saber
- Idiomas
- mais tarde
- camada
- mínimo
- Nível
- níveis
- Alavancagem
- como
- Provável
- Line
- log4j
- olhar
- moldadas
- fazer
- Fazendo
- de grupos
- Gerentes
- muitos
- maciço
- materiais
- mecanismo
- metadados
- método
- métodos
- mínimo
- mínimo
- momentos
- mais
- a maioria
- muito
- devo
- você merece...
- rede
- Rede de Segurança
- Novo
- Novos Recursos
- Recentes
- nist
- não
- agora
- of
- Velho
- on
- uma vez
- aberto
- open source
- Oportunidade
- or
- organização
- organizações
- Outros
- Acima de
- pacote
- pago
- Dor
- parte
- Remendo
- Patches
- Patching
- Pagar
- pagar
- Pessoas
- atuação
- escolher
- articulação
- Lugar
- plano
- platão
- Inteligência de Dados Platão
- PlatãoData
- plugue
- ponto
- políticas
- possível
- práticas
- preferir
- priorização
- processos
- Produção
- produtivo
- Programação
- linguagens de programação
- projetos
- proveniência
- colocar
- radar
- acaso
- RE
- realização
- perceber
- clientes
- reconhecendo
- reduzir
- Releases
- confiabilidade
- Repetivel
- exige
- resposta
- certo
- riscos
- corrida
- s
- seguro
- seguro
- segurança
- riscos de segurança
- sentido
- Série
- folha
- NAVIO
- Envios
- rede de apoio social
- Assinaturas
- assinatura
- Tamanho
- pequeno
- So
- Software
- desenvolvimento de software
- alguns
- algum dia
- fonte
- estável
- começo
- Comece
- Status
- Passos
- Dê um basta
- parou
- greve
- mais forte,
- super
- supply
- cadeia de suprimentos
- certo
- superfície
- surpresas
- .
- sistemas
- toma
- tarefas
- equipes
- Dados Técnicos:
- técnicas
- teste
- ensaio
- que
- A
- deles
- Eles
- Lá.
- Este
- deles
- coisa
- coisas
- think
- isto
- aqueles
- Através da
- tempo
- demorado
- para
- juntos
- Confiança
- tipicamente
- único
- unicamente
- Atualizar
- atualização
- usar
- usava
- utilização
- Ve
- verificar
- versão
- Contra
- voluntariamente
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- quer
- foi
- não era
- Caminho..
- BEM
- O Quê
- o que quer
- quando
- qual
- QUEM
- inteiro
- disposto
- de
- Atividades:
- trabalhar
- escrever
- ano
- sim
- Vocês
- investimentos
- zefirnet