V IT je vedno obstajal kompromis med pošiljanjem novih funkcij in funkcionalnosti ter odplačilom tehničnega dolga, ki vključuje stvari, kot so zanesljivost, zmogljivost, testiranje … in da, varnost.
V tem obdobju »hitro pošiljaj in zlomi stvari« je kopičenje varnostnega dolga odločitev, ki jo organizacije sprejmejo prostovoljno. Vsaka organizacija ima v svojih zaostankih Jira varnostne naloge za »nekega dne« — stvari, kot je uvajanje varnostnih popravkov in izvajanje najnovejših, najstabilnejših različic programskih jezikov in ogrodij. Če naredite pravo stvar, je potreben čas in ekipe namenoma odložijo te naloge, ker dajejo prednost novim funkcijam. Velik del dela CISO je prepoznavanje tistih trenutkov, ko je treba plačati dolgove za varnost.
Ena stvar, zaradi katere je Izkoriščanje Log4j tako zaskrbljujoče je bilo za CISO spoznanje, da obstaja ta ogromen nakopičen dolg, ki sploh ni bil na njihovem radarju. Razkril je skriti razred varnostnih vrzeli med odprtokodnimi projekti in ekosistemi ustvarjalcev, vzdrževalcev, upraviteljev paketov in organizacij, ki jih uporabljajo.
Varnost dobavne verige programske opreme je edinstvena postavka v bilanci stanja varnostnega dolga, vendar lahko CISO sestavijo skladen načrt za njegovo odplačilo.
Nov razred ranljivosti
Večina podjetij je postala zelo dobra pri zaklepanju varnosti svojega omrežja. Obstaja pa cel razred izkoriščanj, ki so možni, ker sistemi za izdelavo razvijalcev in programski artefakti, ki jih uporabljajo za pisanje aplikacij, nimajo mehanizma zaupanja ali varne verige skrbništva.
Danes vsakdo z zdravo pametjo ve, da zaradi varnostnih tveganj ne sme vzeti naključnega bliskovnega pogona in ga priključiti v svoj računalnik. Toda že desetletja razvijalci prenašajo odprtokodnih paketov brez možnosti preverjanja, ali so varni.
Slabi igralci izkoriščajo ta napadalni vektor, ker je to nov nizko visi sadež. Zavedajo se, da lahko dobijo dostop skozi te luknje in ko so notri, se obrnejo na vse druge sisteme, ki so odvisni od katerega koli nevarnega artefakta, ki so ga uporabili za vstop.
Nehajte kopati tako, da zaklenete gradbene sisteme
Temeljno izhodišče za CISO, potrjeno v gradivih, kot je vodnik za razvijalce "Zaščita dobavne verige programske opreme,« je začeti uporabljati odprtokodna ogrodja, kot sta Secure Software Development Framework (SSDF) NIST in OpenSSF Ravni dobavne verige za artefakte programske opreme (SLSA). To so v bistvu predpisani koraki za zaklepanje vaše dobavne verige. SLSA Level 1 je uporaba sistema gradnje. 2. stopnja je izvoz nekaterih dnevnikov in metapodatkov (tako da lahko pozneje poiščete stvari in se odzovete na incident). 3. stopnja je slediti nizu najboljših praks. Stopnja 4 je uporaba res varnega sistema gradnje. Z upoštevanjem teh prvih korakov lahko CISO ustvarijo trdne temelje za izgradnjo dobavne verige programske opreme, ki je privzeto varna.
Stvari postanejo bolj niansirane, ko CISO razmišljajo o politikah glede tega, kako skupine razvijalcev sploh pridobijo odprtokodno programsko opremo. Kako razvijalci vedo, kakšna je politika njihovega podjetja glede tega, kaj se šteje za »varno«? In kako vedo, da odprtokodni vir, ki ga pridobivajo (ki predstavlja velika večina vse programske opreme, ki jo dandanes uporabljajo razvijalci) res neokrnjena?
Z zaklepanjem gradbenih sistemov in ustvarjanjem ponovljive metode za preverjanje porekla artefaktov programske opreme, preden jih prenesejo v okolje, lahko CISO učinkovito prenehajo kopati globljo luknjo za svojo organizacijo v varnostnem dolgu.
Kaj pa odplačilo dolga za varnost dobavne verige stare programske opreme?
Ko ste prenehali kopati z zaklepanjem osnovnih slik in gradbenih okolij, morate zdaj posodobiti programsko opremo in popraviti svoje ranljivosti, vključno z različicami osnovnih slik.
Posodabljanje programske opreme in popravljanje popravkov CVE je zelo dolgočasno. Je dolgočasno, vzame veliko časa, je opravilo - to je delo. Kibernetska varnost je "jej svojo zelenjavo". Odplačilo tega dolga zahteva tesno sodelovanje med CISO in razvojnimi skupinami. To je tudi priložnost za obe ekipi, da se dogovorita o varnejših, produktivnejših orodjih in procesih, ki lahko pomagajo narediti dobavno verigo programske opreme organizacije privzeto varno.
Tako kot nekateri ljudje ne marajo sprememb, nekatere ekipe programske opreme ne marajo posodabljanja svojih osnovnih slik vsebnikov. Osnovna slika je prva plast vsebniških programskih aplikacij. Posodabljanje osnovne slike na novo različico lahko včasih pokvari programsko aplikacijo, še posebej, če je pokritost s testom neustrezna. Torej, nekatere ekipe programske opreme imajo raje status quo, v bistvu neskončno dolgo časa na delujoči osnovni slikovni različici, ki verjetno dnevno kopiči CVE.
Da bi se izognili temu kopičenju ranljivosti, bi morale ekipe programske opreme pogosto posodabljati slike z majhnimi spremembami in uporabljati prakse »testiranja v proizvodnji«, kot so izdaje kanarčkov. Uporaba slik vsebnikov, ki so utrjene, minimalne velikosti in izdelane s kritičnimi varnostnimi metapodatki dobavne verige programske opreme, kot je seznami materialov programske opreme (SBOM), izvora in podpisov, lahko pomaga ublažiti zamudno bolečino vsakodnevnega upravljanja ranljivosti v osnovnih slikah. Te tehnike vzpostavijo pravo ravnovesje med ohranjanjem varnosti in zagotavljanjem, da se proizvodnja ne zmanjša.
Začnite plačevati sproti
Edinstveno neprijetno pri varnostnem dolgu je to, da ko ga kar naprej odlagate za »nekega dne«, običajno dvigne glavo, ko ste najbolj ranljivi in si najmanj privoščite, da bi ga plačali. Ranljivost Log4j se je pojavila tik pred napornim prazničnim ciklusom e-trgovine in ohromila številne inženirske in varnostne ekipe še v naslednjem letu. Noben CISO ne želi imeti skritih varnostnih presenečenj.
Vsak CISO mora minimalno vlagati v varnejše sisteme gradnje, metode podpisovanja programske opreme za ugotavljanje izvora programske opreme, preden jo razvijalci prenesejo v okolje, in utrjene, minimalne osnovne slike vsebnika, ki zmanjšajo površino napadov na temelju programske opreme in aplikacij. .
Globlje v tem ogromnem odplačevanju dolga v dobavni verigi programske opreme se CISO soočajo z uganko, koliko so pripravljeni plačati svojim razvijalcem sproti (z nenehnim posodabljanjem osnovnih slik in programske opreme z ranljivostmi) v primerjavi s tem, da bi ta dolg odložili in dosegli sprejemljivo raven ranljivost.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
- vir: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :ima
- : je
- :ne
- $GOR
- 1
- 7
- a
- O meni
- sprejemljiv
- dostop
- Nakopičeno
- akumulacija
- doseganju
- pridobiti
- pridobitev
- akterji
- vsi
- ublažiti
- Prav tako
- vedno
- an
- in
- kdo
- uporaba
- aplikacije
- SE
- AS
- At
- napad
- izogniti
- stran
- Ravnovesje
- Bilanca stanja
- baza
- V bistvu
- BE
- ker
- bilo
- pred
- BEST
- najboljše prakse
- med
- Big
- Računov
- Dolgočasen
- tako
- Break
- prinašajo
- Predložitev
- izgradnjo
- Building
- zgrajena
- zaseden
- vendar
- by
- CAN
- uporabo velikih črk
- verige
- spremenite
- Spremembe
- CISO
- razred
- KOHERENTNO
- sodelovanje
- Skupno
- Podjetja
- podjetje
- računalnik
- šteje
- Posoda
- stalno
- uganka
- pokritost
- ustvarjajo
- Ustvarjanje
- Ustvarjalci
- kritično
- Skrbništvo
- Cybersecurity
- cikel
- vsak dan
- Dnevi
- Dolg
- desetletja
- Odločitev
- globoko
- globlje
- privzeto
- uvajanja
- Razvojni
- Razvijalci
- Razvoj
- do
- ne
- tem
- don
- navzdol
- pogon
- 2
- e-trgovina
- jesti
- Ekosistemi
- učinkovito
- Inženiring
- Vpis
- okolje
- okolja
- Era
- zlasti
- v bistvu
- vzpostaviti
- Tudi
- Tudi vsak
- izkorišča
- izvoz
- izpostavljena
- Obraz
- FAST
- Lastnosti
- Vložitev
- prva
- prvi koraki
- sledi
- po
- za
- Fundacija
- Okvirni
- okviri
- pogosto
- funkcionalnost
- temeljna
- Gain
- vrzeli
- dobili
- Go
- dobro
- vodi
- Imajo
- Glava
- pomoč
- skrita
- Luknja
- Luknje
- počitnice
- Kako
- HTTPS
- velika
- if
- slika
- slike
- in
- nesreča
- odziv na incident
- vključuje
- Vključno
- negotov
- v notranjosti
- v
- naložbe
- IT
- ITS
- Job
- samo
- Imejte
- Vedite
- jeziki
- pozneje
- plast
- vsaj
- Stopnja
- ravni
- Vzvod
- kot
- Verjeten
- vrstica
- log4j
- Poglej
- je
- Znamka
- Izdelava
- upravljanje
- Vodje
- več
- ogromen
- materiali
- Mehanizem
- metapodatki
- Metoda
- Metode
- minimalna
- minimalna
- Trenutki
- več
- Najbolj
- veliko
- morajo
- Nimate
- mreža
- Varnostna mreža
- Novo
- Nove funkcije
- Najnovejši
- nst
- št
- zdaj
- of
- Staro
- on
- enkrat
- odprite
- open source
- Priložnost
- or
- Organizacija
- organizacije
- Ostalo
- več
- paket
- plačana
- bolečina
- del
- Patch
- Obliži
- Zaplata
- Plačajte
- plačilna
- ljudje
- performance
- kramp
- pivot
- Kraj
- Načrt
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Vtič
- Točka
- politike
- mogoče
- vaje
- raje
- določanje prednosti
- Procesi
- proizvodnja
- produktivno
- Programiranje
- programskih jezikov
- projekti
- izvor
- dal
- radar
- naključno
- RE
- realizacija
- uresničitev
- res
- prepoznavanje
- zmanjša
- Izpusti
- zanesljivost
- ponovljivo
- zahteva
- Odgovor
- Pravica
- tveganja
- tek
- s
- varna
- zavarovanje
- varnost
- varnostna tveganja
- Občutek
- Serija
- stanja
- LADJE
- Dostava
- shouldnt
- Podpisi
- podpis
- Velikosti
- majhna
- So
- Software
- Razvoj programske opreme
- nekaj
- nekega dne
- vir
- stabilna
- Začetek
- Začetek
- Status
- Koraki
- stop
- ustavil
- stavke
- močna
- Super
- dobavi
- dobavne verige
- Preverite
- Površina
- presenečenj
- sistem
- sistemi
- meni
- Naloge
- Skupine
- tehnični
- tehnike
- Test
- Testiranje
- da
- O
- njihove
- Njih
- Tukaj.
- te
- jih
- stvar
- stvari
- mislim
- ta
- tisti,
- skozi
- čas
- zamudno
- do
- skupaj
- Zaupajte
- tipično
- edinstven
- edinstveno
- Nadgradnja
- posodabljanje
- uporaba
- Rabljeni
- uporabo
- Ve
- preverjanje
- različica
- Proti
- prostovoljno
- Ranljivosti
- ranljivost
- Ranljivi
- želi
- je
- ni bilo
- način..
- Dobro
- Kaj
- karkoli
- kdaj
- ki
- WHO
- celoti
- pripravljeni
- z
- delo
- deluje
- pisati
- leto
- ja
- Vi
- Vaša rutina za
- zefirnet