Det har alltid funnits en avvägning inom IT mellan leverans av nya funktioner och funktionalitet kontra att betala ner tekniska skulder, vilket inkluderar saker som tillförlitlighet, prestanda, testning ... och ja, säkerhet.
I denna "sänd snabbt och bryt saker"-eran är ackumulering av säkerhetsskulder ett beslut som organisationer fattar frivilligt. Varje organisation har säkerhetsuppgifter instoppade i sina Jira-backlogs för "någon gång" - saker som att distribuera säkerhetskorrigeringar och köra de senaste, mest stabila versionerna av programmeringsspråk och ramverk. Att göra rätt tar tid och team skjuter upp medvetet dessa uppgifter eftersom de prioriterar nya funktioner. En stor del av CISO:s jobb är att erkänna de ögonblick då säkerhetsskulder måste betalas.
En sak som gjorde Log4j utnyttja så alarmerande för CISOs var insikten att det fanns denna enorma ackumulerade skuld som inte ens fanns på deras radar. Det avslöjade en dold klass av säkerhetsluckor mellan projekt med öppen källkod och ekosystemen hos skapare, underhållare, pakethanterare och organisationer som använder dem.
Säkerhet för mjukvaruförsörjningskedjan är en unik post på säkerhetsskuldens balansräkning, men CISO:er kan sätta ihop en sammanhängande plan för att betala ner den.
En ny klass av sårbarhet
De flesta företag har blivit riktigt bra på att låsa sin nätverkssäkerhet. Men det finns en hel klass av utnyttjande som är möjliga eftersom utvecklare bygger system och mjukvaruartefakter som de använder för att skriva applikationer inte har en förtroendemekanism eller säker spårbarhetskedja.
Idag vet alla med sunt förnuft att inte plocka upp en slumpmässig minnesenhet och koppla in den i sin dator på grund av säkerhetsriskerna. Men i decennier har utvecklare laddat ner paket med öppen källkod utan något sätt att verifiera att de är säkra.
Dåliga skådespelare drar nytta av denna attackvektor eftersom det är den nya lågt hängande frukten. De inser att de kan få tillgång genom dessa hål, och när de väl är inne, pivoterar de till alla andra system som är beroende av vilken osäkra artefakt de än använde för att komma in.
Sluta gräva genom att låsa byggsystem
Den grundläggande utgångspunkten för CISO:er, godkänd i material som utvecklarguiden "Säkra mjukvaruförsörjningskedjan,” är att börja använda ramverk med öppen källkod som NIST:s Secure Software Development Framework (SSDF) och OpenSSF:s Supply Chain-nivåer för mjukvaruartefakter (SLSA). Dessa är i princip föreskrivande steg för att låsa ner din leveranskedja. SLSA Level 1 är att använda ett byggsystem. Nivå 2 är att exportera några loggar och metadata (så att du senare kan slå upp saker och göra incidentrespons). Nivå 3 är att följa en rad bästa praxis. Nivå 4 är att använda ett riktigt säkert byggsystem. Genom att följa dessa första steg kan CISO:er skapa en stark grund för att bygga en mjukvaruförsörjningskedja som är säker som standard.
Saker och ting blir mer nyanserade när CISO:er tänker på policyer för hur utvecklarteam skaffar programvara med öppen källkod i första hand. Hur vet utvecklare vad deras företags policy är för vad som anses "säkert"? Och hur vet de att den öppna källkod de skaffar (som utgör stor majoritet av all mjukvara som används av utvecklare nuförtiden) verkligen är oförfalskad?
Genom att låsa ner byggsystem och skapa en repeterbar metod för att verifiera härkomst av mjukvaruartefakter innan de förs in i miljön, kan CISO:er effektivt sluta gräva ett djupare hål för sin organisation i säkerhetsskulder.
Vad sägs om att betala ner gammal programvara Supply Chain Security Debt?
Efter att du har slutat gräva genom att låsa ner dina basbilder och byggmiljöer, måste du nu uppdatera din programvara och korrigera dina sårbarheter, inklusive basbildversioner.
Att uppdatera programvara och patcha CVE: er är supertråkigt. Det är tråkigt, det är tidskrävande, det är en syssla - det är arbete. Det är cybersäkerhetens "ät dina grönsaker". Att betala ner denna skuld kräver ett djupt samarbete mellan CISO:er och utvecklingsteam. Det är också en möjlighet för båda teamen att komma överens om säkrare, produktiva verktyg och processer som kan hjälpa till att göra en organisations mjukvaruförsörjningskedja säker som standard.
Precis som vissa människor inte gillar förändringar, gillar vissa programvaruteam inte att uppdatera sina containerbasbilder. Basbilden är det första lagret av containerbaserade programvaruapplikationer. Att uppdatera en basbild till en ny version kan ibland bryta mjukvaruapplikationen, särskilt om det finns otillräcklig testtäckning. Så, vissa mjukvaruteam föredrar status quo, och hänger i princip på obestämd tid på en fungerande basbildversion som sannolikt ackumulerar CVEs dagligen.
För att undvika denna ansamling av sårbarheter bör programvaruteam uppdatera bilder ofta med små ändringar och använda metoder för "testning i produktionen" som kanariefåglar. Använda behållarbilder som är härdade, minimala i storlek och byggda med kritiska metadata för mjukvaruförsörjningskedjans säkerhet, som mjukvarulistor (SBOM), härkomst och signaturer, kan hjälpa till att lindra den tidskrävande smärtan av daglig sårbarhetshantering i basbilder. Dessa tekniker har den rätta balansen mellan att vara säker och att se till att produktionen inte går ner.
Börja betala allt eftersom
Det som är unikt obehagligt med säkerhetsskulder är att när du bara fortsätter att arkivera den för "någon gång", reser den vanligtvis upp sig när du är som mest sårbar och har minst råd att betala den. Log4j-sårbarheten slog till precis innan den hektiska e-handelscykeln för semestern och förlamade många ingenjörs- och säkerhetsteam långt in på följande år. Ingen CISO vill ha dolda säkerhetsöverraskningar på lur.
Varje CISO bör göra en minimal investering i säkrare byggsystem, metoder för mjukvarusignering för att fastställa mjukvarans ursprung innan utvecklare tar in den i miljön, och härdade, minimala containerbasbilder som minskar attackytan i grunden för mjukvara och applikationer .
Djupare in i denna massiva mjukvaruförsörjningskedjans säkerhetsskuldutbetalning, står CISO:er inför en gåta om hur mycket de är villiga att få sina utvecklare att betala allt eftersom (genom att kontinuerligt uppdatera basbilder och mjukvara med sårbarheter) kontra att skjuta upp den skulden och uppnå en acceptabel nivå på sårbarhet.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- : har
- :är
- :inte
- $UPP
- 1
- 7
- a
- Om Oss
- godtagbart
- tillgång
- ackumulerat
- ackumulering
- uppnå
- förvärva
- förvärvande
- aktörer
- Alla
- lindra
- också
- alltid
- an
- och
- någon
- Ansökan
- tillämpningar
- ÄR
- AS
- At
- attackera
- undvika
- bort
- Balansera
- Balansräkning
- bas
- I grund och botten
- BE
- därför att
- varit
- innan
- BÄST
- bästa praxis
- mellan
- Stor
- Sedlar
- Boring
- båda
- Ha sönder
- föra
- Föra
- SLUTRESULTAT
- Byggnad
- byggt
- upptagen
- men
- by
- KAN
- kapitalisera
- kedja
- byta
- Förändringar
- CISO
- klass
- SAMMANHÄNGANDE
- samverkan
- Gemensam
- Företag
- företag
- dator
- anses
- Behållare
- kontinuerligt
- gåta
- täckning
- skapa
- Skapa
- skaparna
- kritisk
- Vårdnad
- Cybersäkerhet
- cykel
- dagligen
- Dagar
- Skulder
- årtionden
- Beslutet
- djup
- djupare
- Standard
- utplacera
- Utvecklare
- utvecklare
- Utveckling
- do
- doesn
- gör
- donation
- ner
- driv
- grund
- e-handel
- ät
- ekosystem
- effektivt
- Teknik
- inträde
- Miljö
- miljöer
- Era
- speciellt
- väsentligen
- etablera
- Även
- Varje
- bedrifter
- export
- utsatta
- Ansikte
- SNABB
- Funktioner
- Arkivering
- Förnamn
- första stegen
- följer
- efter
- För
- fundament
- Ramverk
- ramar
- ofta
- funktionalitet
- grundläggande
- Få
- luckor
- skaffa sig
- Go
- god
- styra
- Har
- huvud
- hjälpa
- dold
- Hål
- Hål
- Semester
- Hur ser din drömresa ut
- HTTPS
- stor
- if
- bild
- bilder
- in
- incident
- incidentrespons
- innefattar
- Inklusive
- osäkra
- inuti
- in
- investering
- IT
- DESS
- Jobb
- bara
- Ha kvar
- Vet
- Språk
- senare
- lager
- t minst
- Nivå
- nivåer
- Hävstång
- tycka om
- sannolikt
- linje
- log4j
- se
- gjord
- göra
- Framställning
- ledning
- chefer
- många
- massiv
- material
- mekanism
- metadata
- metod
- metoder
- minimum
- minsta
- Ögonblick
- mer
- mest
- mycket
- måste
- Behöver
- nät
- Nätverkssäkerhet
- Nya
- Nya funktioner
- Senaste
- NIST
- Nej
- nu
- of
- Gamla
- on
- gång
- öppet
- öppen källkod
- Möjlighet
- or
- organisation
- organisationer
- Övriga
- över
- paket
- betalas
- Smärta
- del
- Lappa
- Plåster
- Patching
- Betala
- betalar
- Personer
- prestanda
- plocka
- pivot
- Plats
- Planen
- plato
- Platon Data Intelligence
- PlatonData
- kontakt
- Punkt
- Strategier
- möjlig
- praxis
- föredra
- prioritering
- processer
- Produktion
- produktiv
- Programmering
- programmeringsspråk
- projekt
- härkomst
- sätta
- radarn
- slumpmässig
- RE
- insikt
- inser
- verkligen
- känna igen
- minska
- meddelanden
- tillförlitlighet
- repeterbar
- Kräver
- respons
- höger
- risker
- rinnande
- s
- säker
- säkra
- säkerhet
- säkerhetsrisker
- känsla
- Serier
- ark
- FARTYG
- Frakt & Leverans
- skall
- signaturer
- signering
- Storlek
- Small
- So
- Mjukvara
- mjukvaruutveckling
- några
- någon dag
- Källa
- stabil
- starta
- Starta
- status
- Steg
- Sluta
- slutade
- strejka
- stark
- super
- leverera
- leveranskedjan
- säker
- yta
- överraskningar
- system
- System
- tar
- uppgifter
- lag
- Teknisk
- tekniker
- testa
- Testning
- den där
- Smakämnen
- deras
- Dem
- Där.
- Dessa
- de
- sak
- saker
- tror
- detta
- de
- Genom
- tid
- tidskrävande
- till
- tillsammans
- Litar
- typiskt
- unika
- unikt
- Uppdatering
- uppdatering
- användning
- Begagnade
- med hjälp av
- Ve
- verifiera
- version
- Kontra
- frivilligt
- sårbarheter
- sårbarhet
- Sårbara
- vill
- var
- var inte
- Sätt..
- VÄL
- Vad
- oberoende
- när
- som
- VEM
- Hela
- beredd
- med
- Arbete
- arbetssätt
- skriva
- år
- ja
- Om er
- Din
- zephyrnet