A existat întotdeauna un compromis în IT între livrarea de noi funcții și funcționalități față de plata datoriilor tehnice, care include lucruri precum fiabilitatea, performanța, testarea... și da, securitatea.
În această eră „naveți repede și sparge lucrurile”, acumularea datoriilor de securitate este o decizie pe care organizațiile o iau în mod voluntar. Fiecare organizație are sarcini de securitate încărcate în angajamentele Jira pentru „într-o zi” - lucruri precum implementarea corecțiilor de securitate și rularea celor mai noi și mai stabile versiuni de limbaje și cadre de programare. A face lucrul corect necesită timp, iar echipele amână în mod intenționat aceste sarcini, deoarece acordă prioritate noilor funcții. O mare parte din munca CISO este recunoașterea acelor momente în care datoriile de securitate trebuie plătite.
Un lucru care a făcut ca Exploatare Log4j atât de alarmantă pentru CISO a fost conștientizarea că exista această datorie uriașă acumulată care nici măcar nu era pe radar. A dezvăluit o clasă ascunsă de lacune de securitate între proiectele open source și ecosistemele creatorilor, menținătorilor, managerilor de pachete și organizațiilor care le folosesc.
Securitatea lanțului de aprovizionare cu software este un element rând unic în bilanţul datoriei de securitate, dar CISO pot elabora un plan coerent pentru achitarea acesteia.
O nouă clasă de vulnerabilitate
Majoritatea companiilor s-au priceput foarte bine la blocarea securității rețelei. Dar există o întreagă clasă de exploit-uri care sunt posibile deoarece sistemele dezvoltate de dezvoltatori și artefactele software pe care le folosesc pentru a scrie aplicații nu au un mecanism de încredere sau un lanț de custodie sigur.
Astăzi, oricine cu bun simț știe să nu ia o unitate de memorie aleatoare și să o conecteze la computer din cauza riscurilor de securitate. Dar de zeci de ani, dezvoltatorii au descărcat pachete open source fără nicio modalitate de a verifica dacă sunt în siguranță.
Actorii răi valorifică acest vector de atac, deoarece este noul fruct care se agață. Ei realizează că pot avea acces prin aceste găuri și, odată înăuntru, pot pivota către toate celelalte sisteme care au dependențe de orice artefact nesigur pe care l-au folosit pentru a intra.
Opriți săpăturile prin blocarea sistemelor de construcție
Punctul de plecare fundamental pentru CISO, aprobat în materiale precum ghidul pentru dezvoltatori „Securizarea lanțului de aprovizionare cu software,” este să începeți să utilizați cadre open source, cum ar fi Secure Software Development Framework (SSDF) de la NIST și OpenSSF. Nivelurile lanțului de aprovizionare pentru artefacte software (SLSA). Aceștia sunt practic pași prescriptivi pentru blocarea lanțului dvs. de aprovizionare. SLSA Nivelul 1 este de a utiliza un sistem de compilare. Nivelul 2 este de a exporta unele jurnale și metadate (astfel încât să puteți căuta mai târziu lucrurile și să răspundeți la incident). Nivelul 3 este să urmați o serie de bune practici. Nivelul 4 este să utilizați un sistem de construcție cu adevărat sigur. Urmând acești primi pași, CISO pot crea o bază solidă pentru construirea unui lanț de aprovizionare software care este sigur în mod implicit.
Lucrurile devin mai nuanțate pe măsură ce CISO se gândesc la politicile privind modul în care echipele de dezvoltatori achiziționează software open source, în primul rând. Cum știu dezvoltatorii care sunt politicile companiei lor pentru ceea ce este considerat „securizat”? Și de unde știu ei că sursa deschisă pe care o achiziționează (care constituie Marea majoritate dintre toate programele utilizate de dezvoltatori în zilele noastre) este într-adevăr nemodificat?
Prin blocarea sistemelor de construcție și prin crearea unei metode repetabile pentru a verifica proveniența artefactelor software înainte de a le aduce în mediu, CISO pot opri efectiv săpa o gaură mai adâncă pentru organizația lor în datoria de securitate.
Ce zici de achitarea datoriei de securitate pentru lanțul de aprovizionare cu software vechi?
După ce ați încetat să sapă prin blocarea imaginilor de bază și crearea de medii, acum trebuie să vă actualizați software-ul și să vă corectați vulnerabilitățile, inclusiv versiunile imaginilor de bază.
Actualizarea software-ului și corecția CVE-urilor este super plictisitoare. Este plictisitor, consumă timp, este o corvoadă - este muncă. Este „mănâncă-ți legumele” securității cibernetice. Achitarea acestei datorii necesită o colaborare profundă între CISO și echipele de dezvoltare. Este, de asemenea, o oportunitate pentru ambele echipe de a conveni asupra instrumentelor și proceselor mai sigure și productive care pot ajuta la securitatea implicită a lanțului de aprovizionare software al unei organizații.
Așa cum unor oameni nu le place schimbarea, unor echipe de software nu le place să își actualizeze imaginile de bază ale containerelor. Imaginea de bază este primul strat de aplicații software bazate pe container. Actualizarea unei imagini de bază la o versiune nouă poate rupe uneori aplicația software, mai ales dacă există o acoperire inadecvată a testului. Așadar, unele echipe de software preferă status quo-ul, în esență zăbovind la nesfârșit pe o versiune a imaginii de bază care, probabil, acumulează CVE zilnic.
Pentru a evita această acumulare de vulnerabilități, echipele de software ar trebui să actualizeze frecvent imaginile cu mici modificări și să utilizeze practici de „testare în producție”, cum ar fi versiunile Canary. Folosind imagini de container care sunt consolidate, de dimensiuni minime și construite cu metadate critice de securitate a lanțului de aprovizionare cu software, cum ar fi liste de materiale software (SBOM), proveniența și semnăturile, pot ajuta la atenuarea durerii consumatoare de timp a gestionării zilnice a vulnerabilităților în imaginile de bază. Aceste tehnici găsesc echilibrul potrivit între menținerea în siguranță și asigurarea faptului că producția nu scade.
Începeți să plătiți pe măsură ce mergeți
Ceea ce este unic de neplăcut la datoria de garanție este că, atunci când o continui să o înregistrezi pentru „într-o zi”, de obicei se ridică atunci când ești cel mai vulnerabil și îți poți permite cel mai puțin să o plătești. Vulnerabilitatea Log4j a lovit chiar înainte de ciclul aglomerat de comerț electronic de vacanță și a paralizat multe echipe de inginerie și securitate până în anul următor. Niciun CISO nu vrea să aibă surprize de securitate ascunse la pândă.
Fiecare CISO ar trebui să facă o investiție minimă în sisteme de construcție mai sigure, metode de semnare a software-ului pentru a stabili proveniența software-ului înainte ca dezvoltatorii să-l aducă în mediu și imagini de bază de containere minime, consolidate, care reduc suprafața de atac de la baza software-ului și a aplicațiilor. .
Mai adânc în această plată masivă a datoriilor de securitate din lanțul de aprovizionare cu software, CISO se confruntă cu o enigmă despre cât de mult sunt dispuși să plătească dezvoltatorii lor pe măsură ce merg (prin actualizarea continuă a imaginilor de bază și a software-ului cu vulnerabilități) față de amânarea acelei datorii și atingerea unui nivel acceptabil de vulnerabilitate.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :are
- :este
- :nu
- $UP
- 1
- 7
- a
- Despre Noi
- acceptabil
- acces
- acumulate
- acumulare
- realizarea
- dobândi
- dobândirea
- actori
- TOATE
- atenua
- de asemenea
- mereu
- an
- și
- oricine
- aplicație
- aplicatii
- SUNT
- AS
- At
- ataca
- evita
- departe
- Sold
- Bilanț
- de bază
- Pe scurt
- BE
- deoarece
- fost
- înainte
- CEL MAI BUN
- Cele mai bune practici
- între
- Mare
- Bancnote
- Plictisitor
- atât
- Pauză
- aduce
- Aducere
- construi
- Clădire
- construit
- ocupat
- dar
- by
- CAN
- valorificând
- lanţ
- Schimbare
- Modificări
- CISO
- clasă
- COERENT
- colaborare
- Comun
- Companii
- companie
- calculator
- luate în considerare
- Recipient
- continuu
- enigmă
- acoperire
- crea
- Crearea
- Creatorii
- critic
- Custodie
- Securitate cibernetică
- ciclu
- zilnic
- Zi
- Datorie
- zeci de ani
- decizie
- adânc
- Mai adânc
- Mod implicit
- Implementarea
- Dezvoltator
- Dezvoltatorii
- Dezvoltare
- do
- nu
- face
- don
- jos
- conduce
- două
- e-commerce
- mânca
- ecosistemele
- în mod eficient
- Inginerie
- intrare
- Mediu inconjurator
- medii
- Eră
- mai ales
- În esență,
- stabili
- Chiar
- Fiecare
- exploit
- exporturile
- expus
- Față
- FAST
- DESCRIERE
- Depunerea
- First
- primii pasi
- urma
- următor
- Pentru
- Fundație
- Cadru
- cadre
- frecvent
- funcționalitate
- fundamental
- Câştig
- lacune
- obține
- Go
- bine
- ghida
- Avea
- cap
- ajutor
- Ascuns
- Gaură
- găuri
- Vacanță
- Cum
- HTTPS
- mare
- if
- imagine
- imagini
- in
- incident
- răspuns la incident
- include
- Inclusiv
- nesigur
- în interiorul
- în
- investiţie
- IT
- ESTE
- Loc de munca
- doar
- A pastra
- Cunoaște
- Limbă
- mai tarziu
- strat
- cel mai puțin
- Nivel
- nivelurile de
- Pârghie
- ca
- Probabil
- Linie
- log4j
- Uite
- făcut
- face
- Efectuarea
- administrare
- Manageri
- multe
- masiv
- Materiale
- mecanism
- Metadata
- metodă
- Metode
- minim
- minim
- Momente
- mai mult
- cele mai multe
- mult
- trebuie sa
- Nevoie
- reţea
- Securitatea rețelei
- Nou
- Funcții noi
- Cele mai noi
- nist
- Nu.
- acum
- of
- Vechi
- on
- dată
- deschide
- open-source
- Oportunitate
- or
- organizație
- organizații
- Altele
- peste
- pachet
- plătit
- Durere
- parte
- Plasture
- Patch-uri
- patching
- Plătește
- de plată
- oameni
- performanță
- alege
- Pivot
- Loc
- plan
- Plato
- Informații despre date Platon
- PlatoData
- ștecher
- Punct
- Politicile
- posibil
- practicile
- a prefera
- Stabilirea priorităților
- procese
- producere
- productiv
- Programare
- limbaje de programare
- Proiecte
- proveniență
- pune
- radar
- aleator
- RE
- realizare
- realiza
- într-adevăr
- recunoscând
- reduce
- Lansări
- încredere
- repetabil
- Necesită
- răspuns
- dreapta
- Riscurile
- funcţionare
- s
- sigur
- sigur
- securitate
- riscuri de securitate
- sens
- serie
- coală
- NAVA
- Livrarea
- să
- Semnături
- semnare
- Mărimea
- mic
- So
- Software
- de dezvoltare de software
- unele
- într-o zi
- Sursă
- stabil
- Începe
- Pornire
- Stare
- paşi
- Stop
- oprit
- grevă
- puternic
- Super
- livra
- lanțului de aprovizionare
- sigur
- Suprafață
- surprize
- sistem
- sisteme
- ia
- sarcini
- echipe
- Tehnic
- tehnici de
- test
- Testarea
- acea
- lor
- Lor
- Acolo.
- Acestea
- ei
- lucru
- lucruri
- crede
- acest
- aceste
- Prin
- timp
- consumă timp
- la
- împreună
- Încredere
- tipic
- unic
- unic
- Actualizează
- actualizarea
- utilizare
- utilizat
- folosind
- Ve
- verifica
- versiune
- Impotriva
- de bunăvoie
- Vulnerabilitățile
- vulnerabilitate
- vulnerabil
- vrea
- a fost
- nu a fost
- Cale..
- BINE
- Ce
- indiferent de
- cand
- care
- OMS
- întreg
- dispus
- cu
- Apartamente
- de lucru
- scrie
- an
- da
- Tu
- Ta
- zephyrnet