Vas motijo ​​tveganja v dobavni verigi? Ostanite mirni in bodite strateški!

Varnostna industrija kolektivno izgubi razum, ko v programski opremi odkrijejo nove ranljivosti. OpenSSL ni izjema in dve novi ranljivosti sta preplavili vire novic konec oktobra in v začetku novembra 2022. Odkritje in razkritje sta le začetka tega neskončnega cikla ranljivosti. Prizadete organizacije se soočajo s sanacijo, kar je še posebej boleče za tiste v prvi bojni vrsti IT. Vodje na področju varnosti morajo vzdrževati učinkovito strategijo kibernetske varnosti, da pomagajo filtrirati nekaj hrupa novih ranljivosti, prepoznati vplive na dobavne verige in ustrezno zavarovati svoja sredstva.

Napadi na dobavno verigo ne izginejo

V približno enem letu smo utrpeli hude ranljivosti, vključno s komponentami log4j, Pomladni okvirin OpenSSL. Izkoriščanje starejših ranljivosti se prav tako nikoli ne preneha pri implementacijah, ki so napačno konfigurirane ali uporabljajo znane ranljive odvisnosti. Novembra 2022 je javnost izvedela za an napad na zvezno civilno izvršilno vejo oblasti (FCEB), kar je mogoče pripisati državno sponzorirani iranski grožnji. Ta ameriški zvezni subjekt je izvajal infrastrukturo VMware Horizon, ki je vsebovala ranljivost Log4Shell, ki je služila kot začetni vektor napada. FCEB je bil prizadet s kompleksno verigo napadov, ki je vključevala bočno premikanje, ogrožanje poverilnic, ogrožanje sistema, vztrajnost omrežja, obvod zaščite končne točke in kriptovalutanje.

Organizacije se lahko vprašajo "zakaj sploh uporabljati OSS?" po varnostnih incidentih zaradi ranljivih paketov, kot sta OpenSSL ali Log4j. Napadi na dobavno verigo še naprej naraščajo, ker je ponovna uporaba komponent »dobra poslovna smiselnost« za partnerje in dobavitelje. Sisteme načrtujemo tako, da spremenimo namen obstoječe kode, namesto da gradimo iz nič. To je namenjeno zmanjšanju inženirskih naporov, operativnemu obsegu in hitri dostavi. Odprtokodna programska oprema (OSS) na splošno velja za zaupanja vredno zaradi javnega nadzora, ki je deležen. Vendar se programska oprema nenehno spreminja in težave nastajajo zaradi napak pri kodiranju ali povezanih odvisnosti. Nova vprašanja so odkrita tudi z razvojem tehnik testiranja in izkoriščanja.

Odpravljanje ranljivosti dobavne verige

Organizacije potrebujejo ustrezno orodje in postopke, da zagotovijo sodobne dizajne. Tradicionalni pristopi, kot je upravljanje ranljivosti ali samo ocenjevanje v trenutku, ne morejo slediti. Predpisi lahko še vedno dovoljujejo te pristope, kar ohranja ločnico med »varnim« in »skladnim«. Večina organizacij si prizadeva doseči določeno stopnjo zrelosti DevOps. »Neprekinjeno« in »avtomatizirano« sta skupni lastnosti praks DevOps. Varnostni procesi se ne bi smeli razlikovati. Vodje varnosti morajo ohranjati osredotočenost skozi faze gradnje, dostave in izvajanja kot del svoje varnostne strategije:

• Neprekinjeno skeniranje v CI/CD: Prizadevajte si zavarovati gradbene cevovode (tj. Shift-levo), vendar se zavedajte, da ne boste mogli skenirati vse kode in ugnezdene kode. Uspeh s pristopi premikanja v levo je omejen z učinkovitostjo optičnega bralnika, korelacijo izhoda optičnega bralnika, avtomatizacijo odločitev o sprostitvi in ​​dokončanjem optičnega bralnika v oknih izdaje. Orodja bi morala pomagati pri določanju tveganja najdb. Vseh ugotovitev ni mogoče ukrepati in ranljivosti morda ne bo mogoče izkoristiti v vaši arhitekturi.

• Neprekinjeno skeniranje med dostavo: Pride do kompromisa komponent in odnašanja okolja. Aplikacije, infrastrukturo in delovne obremenitve je treba pregledati med dostavo, če je bilo kaj ogroženo v digitalni dobavni verigi, ko so bili pridobljeni iz registrov ali repozitorijev in zagnani.

• Neprekinjeno skeniraj med izvajanjem: Varnost med izvajanjem je izhodišče številnih varnostnih programov, spremljanje varnosti pa podpira večino prizadevanj za kibernetsko varnost. Potrebujete mehanizme, ki lahko zbirajo in povezujejo telemetrijo v vseh vrstah okolij, vključno z okolji v oblaku, vsebnikih in Kubernetes. Vpogledi, zbrani med izvajanjem, bi se morali vrniti k prejšnjim fazam gradnje in dostave. Identiteta in storitvene interakcije

• Dajte prednost ranljivostim, izpostavljenim med izvajanjem: Vse organizacije se borijo z dovolj časa in sredstev za skeniranje in popravljanje vsega. Določanje prednosti na podlagi tveganja je bistvenega pomena za delo varnostnega programa. Izpostavljenost internetu je le en dejavnik. Druga je resnost ranljivosti in organizacije se pogosto osredotočajo na vprašanja visoke in kritične resnosti, saj se šteje, da imajo največji vpliv. Ta pristop lahko še vedno zapravlja cikle inženirskih in varnostnih ekip, ker morda lovijo ranljivosti, ki se med izvajanjem nikoli ne naložijo in jih ni mogoče izkoristiti. Uporabite obveščanje med izvajanjem, da preverite, kateri paketi se dejansko naložijo v delujoče aplikacije in infrastrukturo, da ugotovite dejansko varnostno tveganje za vašo organizacijo.

Ustvarili smo navodila za posamezne izdelke za vodenje strank skozi nedavno norost OpenSSL.

Najnovejša ranljivost OpenSSL in Log4Shell nas opominjata na potrebo po pripravljenosti na kibernetsko varnost in učinkoviti varnostni strategiji. Ne smemo pozabiti, da so CVE-ID samo tiste znane težave v javni programski ali strojni opremi. Številne ranljivosti ostanejo neprijavljene, zlasti slabosti v domači kodi ali napačne konfiguracije okolja. Vaša strategija kibernetske varnosti mora upoštevati porazdeljeno in raznoliko tehnologijo sodobnega oblikovanja. Potrebujete posodobljen program za upravljanje ranljivosti, ki uporablja vpoglede v času izvajanja za določanje prioritete sanacije za inženirske ekipe. Potrebujete tudi zmožnosti odkrivanja groženj in odzivanja, ki povezujejo signale v različnih okoljih, da se izognete presenečenjem.

O Author

Michael Isbitski, direktor strategije kibernetske varnosti pri Sysdigu, je več kot pet let raziskoval in svetoval o kibernetski varnosti. Je seznanjen z varnostjo v oblaku, varnostjo vsebnikov, varnostjo Kubernetes, varnostjo API-jev, varnostnim testiranjem, mobilno varnostjo, zaščito aplikacij in varno neprekinjeno dostavo. Vodil je nešteto organizacij po vsem svetu pri njihovih varnostnih pobudah in podpiral njihovo poslovanje.

Pred svojimi raziskovalnimi in svetovalnimi izkušnjami se je Mike naučil veliko težkih lekcij na prvih bojnih linijah IT z več kot 20-letnimi praktičnimi in vodstvenimi izkušnjami, osredotočenimi na varnost aplikacij, upravljanje ranljivosti, arhitekturo podjetja in sistemski inženiring.