В ИТ всегда существовал компромисс между поставкой новых функций и возможностей и погашением технического долга, который включает в себя такие вещи, как надежность, производительность, тестирование… и да, безопасность.
В эпоху «быстро выпускать и ломать вещи» накопление долга по ценным бумагам — это решение, которое организации принимают добровольно. В резервах Jira каждой организации есть задачи по обеспечению безопасности, запланированные на «когда-нибудь» — например, развертывание исправлений безопасности и запуск новейших и наиболее стабильных версий языков программирования и фреймворков. Правильные действия требуют времени, и команды намеренно откладывают выполнение этих задач, поскольку отдают приоритет новым функциям. Большая часть работы директора по информационной безопасности заключается в распознавании тех моментов, когда необходимо оплатить долги по ценным бумагам.
Одна вещь, которая заставила Эксплойт Log4j Настолько тревожным для директоров по информационной безопасности было осознание того, что существует огромный накопленный долг, которого даже не было в их поле зрения. Он выявил скрытый класс пробелов в безопасности между проектами с открытым исходным кодом и экосистемами создателей, сопровождающих, менеджеров пакетов и организаций, которые их используют.
Безопасность цепочки поставок программного обеспечения — это уникальная статья в балансе задолженности по безопасности, но директора по информационной безопасности могут составить последовательный план ее погашения.
Новый класс уязвимостей
Большинство компаний действительно хорошо научились обеспечивать безопасность своей сети. Но существует целый класс эксплойтов, которые возможны, поскольку системы сборки разработчиков и программные артефакты, которые они используют для написания приложений, не имеют механизма доверия или безопасной цепочки поставок.
Сегодня любой, у кого есть здравый смысл, знает, что не следует брать случайный флэш-накопитель и подключать его к компьютеру из-за угроз безопасности. Но на протяжении десятилетий разработчики скачивали пакеты с открытым исходным кодом без возможности проверить их безопасность.
Злоумышленники извлекают выгоду из этого вектора атаки, потому что это новый легко висящий плод. Они понимают, что могут получить доступ через эти дыры, и, оказавшись внутри, обращаются ко всем другим системам, которые зависят от любого небезопасного артефакта, который они использовали для получения доступа.
Прекратите копать, заблокировав системы сборки
Фундаментальная отправная точка для директоров по информационной безопасности, подтвержденная в таких материалах, как руководство для разработчиков».Обеспечение безопасности цепочки поставок программного обеспечения» заключается в том, чтобы начать использовать платформы с открытым исходным кодом, такие как Secure Software Development Framework (SSDF) NIST и OpenSSF. Уровни цепочки поставок для программных артефактов (СЛСА). По сути, это предписывающие шаги по блокированию вашей цепочки поставок. Уровень SLSA 1 предполагает использование системы сборки. Уровень 2 — экспортировать некоторые журналы и метаданные (чтобы вы могли позже просмотреть информацию и отреагировать на инцидент). Уровень 3 – следовать ряду лучших практик. Уровень 4 — использовать действительно безопасную систему сборки. Выполнив эти первые шаги, директора по информационной безопасности смогут создать прочную основу для построения цепочки поставок программного обеспечения, которая по умолчанию безопасна.
Все становится более тонким, когда директора по информационной безопасности задумываются о политике в отношении того, как команды разработчиков приобретают программное обеспечение с открытым исходным кодом. Откуда разработчики узнают, какова политика их компании в отношении того, что считается «безопасным»? И откуда они знают, что приобретаемый ими открытый исходный код (который представляет собой большинство из всего программного обеспечения, используемого разработчиками в наши дни) действительно нетронутым?
Заблокировав системы сборки и создав повторяемый метод проверки происхождения программных артефактов перед их внедрением в среду, директора по информационной безопасности могут эффективно перестать рыть для своей организации более глубокую яму в долгах по безопасности.
А как насчет погашения старого долга по безопасности цепочки поставок программного обеспечения?
После того, как вы прекратили копать, блокируя базовые образы и среды сборки, теперь вам необходимо обновить программное обеспечение и исправить уязвимости, включая версии базовых образов.
Обновление программного обеспечения и исправление CVE очень утомительно. Это скучно, это отнимает много времени, это рутина — это работа. Это «ешь овощи» в сфере кибербезопасности. Выплата этого долга требует тесного сотрудничества между директорами по информационной безопасности и командами разработчиков. Это также возможность для обеих команд договориться о более безопасных и производительных инструментах и процессах, которые могут помочь сделать цепочку поставок программного обеспечения организации безопасной по умолчанию.
Точно так же, как некоторые люди не любят перемен, некоторые команды разработчиков программного обеспечения не любят обновлять базовые образы своих контейнеров. Базовый образ — это первый уровень программных приложений на основе контейнеров. Обновление базового образа до новой версии иногда может привести к поломке программного приложения, особенно при недостаточном тестовом покрытии. Таким образом, некоторые команды разработчиков программного обеспечения предпочитают статус-кво, по сути, бесконечно слоняясь по рабочей версии базового образа, которая, вероятно, ежедневно накапливает CVE.
Чтобы избежать накопления уязвимостей, командам разработчиков программного обеспечения следует часто обновлять образы с небольшими изменениями и использовать методы «тестирования в производстве», такие как канареечные выпуски. Использование образов контейнеров, которые защищены, имеют минимальный размер и содержат важные метаданные безопасности цепочки поставок программного обеспечения, такие как спецификации программного обеспечения (SBOM), происхождение и подписи могут помочь облегчить трудоемкую работу по ежедневному управлению уязвимостями в базовых образах. Эти методы обеспечивают правильный баланс между обеспечением безопасности и предотвращением падения производства.
Начните платить по мере использования
Что особенно неприятно в долге по ценным бумагам, так это то, что, когда вы просто продолжаете откладывать его на «когда-нибудь», он обычно поднимает голову, когда вы наиболее уязвимы и меньше всего можете позволить себе его выплатить. Уязвимость Log4j возникла прямо перед напряженным праздничным циклом электронной коммерции и нанесла вред многим командам инженеров и специалистов по безопасности вплоть до следующего года. Ни один директор по информационной безопасности не хочет, чтобы его скрывали скрытые сюрпризы в области безопасности.
Каждый директор по информационной безопасности должен делать минимальные инвестиции в более безопасные системы сборки, методы подписи программного обеспечения для установления происхождения программного обеспечения до того, как разработчики внесут его в среду, а также в надежные, минимальные базовые образы контейнеров, которые уменьшают поверхность атаки на основу программного обеспечения и приложений. .
Углубляясь в эту огромную выплату долга по обеспечению безопасности цепочки поставок программного обеспечения, директора по информационной безопасности сталкиваются с загадкой: сколько они готовы платить своим разработчикам по ходу работы (постоянно обновляя базовые образы и программное обеспечение с учетом уязвимостей) вместо отсрочки этого долга и достижения приемлемого уровня уязвимость.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :имеет
- :является
- :нет
- $UP
- 1
- 7
- a
- О нас
- приемлемый
- доступ
- накопленный
- накопление
- достижение
- приобретать
- приобретение
- актеры
- Все
- облегчать
- причислены
- всегда
- an
- и
- кто угодно
- Применение
- Приложения
- МЫ
- AS
- At
- атаковать
- избежать
- прочь
- Баланс
- Баланс
- Использование темпера с изогнутым основанием
- в основном
- BE
- , так как:
- было
- до
- ЛУЧШЕЕ
- лучшие практики
- между
- большой
- Банкноты
- Сверление
- изоферменты печени
- Ломать
- приносить
- Приведение
- строить
- Строительство
- построенный
- занятый
- но
- by
- CAN
- капитализация
- цепь
- изменение
- изменения
- CISO
- класс
- ПОСЛЕДОВАТЕЛЬНЫЙ
- сотрудничество
- Общий
- Компании
- Компания
- компьютер
- считается
- Container
- беспрестанно
- головоломка
- охват
- Создайте
- Создающий
- Создатели
- критической
- Содержание под стражей
- Информационная безопасность
- цикл
- ежедневно
- Дней
- Долг
- десятилетия
- решение
- глубоко
- более глубокий
- По умолчанию
- развертывание
- Застройщик
- застройщиков
- Развитие
- do
- Безразлично
- дело
- Дон
- вниз
- управлять
- два
- электронная коммерция
- есть
- Экосистемы
- фактически
- Проект и
- запись
- Окружающая среда
- средах
- Эпоха
- особенно
- по существу
- установить
- Даже
- Каждая
- использует
- экспорт
- подвергаться
- Face
- БЫСТРО
- Особенности
- Подача
- Во-первых,
- первые шаги
- следовать
- после
- Что касается
- Год основания
- Рамки
- каркасы
- часто
- функциональность
- фундаментальный
- Gain
- пробелы
- получить
- Go
- хорошо
- инструкция
- Есть
- помощь
- Скрытый
- Отверстие
- Отверстия
- Выходные
- Как
- HTTPS
- огромный
- if
- изображение
- изображений
- in
- инцидент
- реакция на инцидент
- включает в себя
- В том числе
- небезопасный
- внутри
- в
- инвестиций
- IT
- ЕГО
- работа
- всего
- Сохранить
- Знать
- Языки
- новее
- слой
- наименее
- уровень
- уровни
- Кредитное плечо
- такое как
- Вероятно
- линия
- Лог4дж
- посмотреть
- сделанный
- сделать
- Создание
- управление
- Менеджеры
- многих
- массивный
- материалы
- механизм
- Метаданные
- метод
- методы
- минимальный
- минимальный
- Моменты
- БОЛЕЕ
- самых
- много
- должен
- Необходимость
- сеть
- Сетевая безопасность
- Новые
- Новые функции
- Новые
- NIST
- нет
- сейчас
- of
- Старый
- on
- консолидировать
- открытый
- с открытым исходным кодом
- Возможность
- or
- организация
- организации
- Другое
- за
- пакет
- выплачен
- боль
- часть
- Патчи
- Патчи
- Заделка
- ОПЛАТИТЬ
- платить
- Люди
- производительность
- выбирать
- Стержень
- Часть
- план
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- штекер
- Точка
- сборах
- возможное
- практиками
- предпочитать
- приоритезация
- Процессы
- Производство
- производительный
- Программирование
- языки программирования
- проектов
- происхождение
- положил
- радар
- случайный
- RE
- реализация
- реализовать
- на самом деле
- признавая
- уменьшить
- публикации
- надежность
- повторяемый
- требуется
- ответ
- правую
- рисках,
- Бег
- s
- безопасный
- безопасный
- безопасность
- риски безопасности
- смысл
- Серии
- лист
- КОРАБЛЬ
- Доставка и оплата
- должен
- Подписи
- подписание
- Размер
- небольшой
- So
- Software
- разработка программного обеспечения
- некоторые
- когда-нибудь
- Источник
- стабильный
- Начало
- Начало
- Статус:
- Шаги
- Stop
- остановившийся
- удар
- сильный
- супер
- поставка
- цепочками поставок
- Убедитесь
- Поверхность
- сюрпризы
- система
- системы
- принимает
- задачи
- команды
- Технический
- снижения вреда
- тестXNUMX
- Тестирование
- который
- Ассоциация
- их
- Их
- Там.
- Эти
- они
- задача
- вещи
- think
- этой
- те
- Через
- время
- кропотливый
- в
- вместе
- Доверие
- типично
- созданного
- общественного.
- Обновление ПО
- обновление
- использование
- используемый
- через
- Ve
- проверить
- версия
- Против
- добровольно
- Уязвимости
- уязвимость
- Уязвимый
- хочет
- законопроект
- был
- Путь..
- ЧТО Ж
- Что
- любой
- когда
- , которые
- КТО
- все
- готовый
- Работа
- работает
- записывать
- год
- Да
- Ты
- ВАШЕ
- зефирнет