ล็อคห่วงโซ่อุปทานซอฟต์แวร์ด้วย 'Secure by Design'

ซอฟต์แวร์ที่จัดลำดับความสำคัญด้านความปลอดภัยในระดับพื้นฐานที่สุดหมายถึงการออกแบบระบบโดยคำนึงถึงความปลอดภัยของลูกค้าเป็นเป้าหมายหลักแทนที่จะเป็นคุณลักษณะที่เสริมเข้ามา และแนวคิดดังกล่าว — ปลอดภัยด้วยการออกแบบ — กำลังมีความสำคัญมากขึ้นเรื่อยๆ เมื่อผู้โจมตีเริ่มกำหนดเป้าหมายไปที่ห่วงโซ่อุปทานบ่อยขึ้น

“พวกเขาเข้าใจว่าพวกเขาสามารถสร้างผลกระทบที่ใหญ่กว่าได้หากประสบความสำเร็จในการใช้ประโยชน์จากห่วงโซ่อุปทาน” โทมัส เพซ ซีอีโอของ NetRise กล่าว เนื่องจากโซลูชันการรักษาความปลอดภัยแบบเดิม เช่น EDR ไฟร์วอลล์ และตัวกรองสแปม มีประสิทธิภาพในการป้องกันการโจมตีแบบเผชิญหน้า ผู้โจมตีจึงต้องมองหาช่องเปิดเพิ่มเติมในห่วงโซ่

และระบบที่นำมาวางรวมกันทำให้เกิดช่องเปิดแบบนั้น “การโจมตีทางไซเบอร์จะง่ายขึ้นเมื่อธุรกิจและผู้ขายพยายาม 'โจมตี' การรักษาความปลอดภัยหลังจากเกิดเหตุการณ์ดังกล่าว” David Brumley ซีอีโอของ ForAllSecure กล่าว “มันเหมือนกับการใส่เครื่องเสียงติดตลาดหลังการขายในรถของคุณ เพียงแต่มันไม่ได้ผลดีนัก”

เพื่อเพิ่มความปลอดภัยของซอฟต์แวร์ทั่วโลก หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) เสนอความคิดริเริ่มที่มุ่งปฏิวัติแนวทางปฏิบัติด้านการพัฒนาโดยนำหลักการ "ปลอดภัยด้วยการออกแบบ" มาใช้ในวงจรชีวิตการพัฒนาซอฟต์แวร์ ซึ่งสะท้อนให้เห็นถึงการเปลี่ยนแปลงครั้งสำคัญต่อมาตรการรักษาความปลอดภัยเชิงรุก

พื้นที่ ต้องการข้อมูล มุ่งเน้นไปที่การจัดการช่องโหว่ของซอฟต์แวร์ที่เกิดซ้ำ การเสริมสร้างเทคโนโลยีการดำเนินงาน และการประเมินผลกระทบของแนวทางปฏิบัติที่ปลอดภัยต่อต้นทุน การเรียกร้องให้แสดงความคิดเห็น ซึ่งเปิดรับจนถึงวันที่ 20 กุมภาพันธ์ 2024 ยังเน้นย้ำถึงความรับผิดชอบร่วมกันของผู้ผลิตเทคโนโลยีและผู้บริโภคในการส่งเสริมอนาคตที่เทคโนโลยีมีความปลอดภัยโดยเนื้อแท้

“การรักษาความปลอดภัยด้วยการออกแบบหมายความว่าการรักษาความปลอดภัยเป็นส่วนหนึ่งของวิธีสร้างซอฟต์แวร์ตั้งแต่เริ่มต้น” Brumley อธิบาย “นั่นหมายความว่ามันแข็งแกร่งกว่ามากจากการโจมตี”

ระดับความปลอดภัยขั้นพื้นฐาน

Ken Dunham ผู้อำนวยการด้านภัยคุกคามทางไซเบอร์ที่ Qualys Threat Research Unit อธิบายว่าการรักษาความปลอดภัยด้วยการออกแบบเริ่มต้นด้วยสถาปัตยกรรมและหลักการจัดการความเสี่ยงในการดำเนินงาน ก่อนที่องค์กรจะย้ายไปยังหรือเริ่มใช้ระบบคลาวด์

“นี่เป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานไฮบริดที่ทันสมัยและซับซ้อน” เขากล่าว “ในโลกที่มีความรับผิดชอบร่วมกัน องค์กรต่างๆ จะต้องตัดสินใจว่าจะแบ่งปันความเสี่ยงใดที่ยอมรับได้ และอาจมีความเสี่ยงสูงกว่ากับบุคคลที่สาม เทียบกับความเสี่ยงที่เจ้าของและจัดการโดยสมบูรณ์ภายในองค์กร”

เขาชี้ให้เห็นว่าวงจรการผลิตซอฟต์แวร์มีความซับซ้อนมากขึ้น โดยมีผู้มีส่วนได้ส่วนเสียจำนวนมากที่ต้องปลอดภัยเพื่อลดความเสี่ยง Dunham ถามว่า “นักพัฒนาของคุณที่ใส่ใจเกี่ยวกับฟังก์ชันการทำงานและประสบการณ์ผู้ใช้ เชี่ยวชาญในหลักการเขียนโค้ดที่ปลอดภัย การโจมตียุคใหม่ มาตรการตอบโต้ด้านความปลอดภัย และ SecOps หรือไม่”

ความคาดหวังด้านความปลอดภัยขององค์กรสร้างแรงกดดันให้กับทีมเตรียมความพร้อมในการเปิดตัว กำหนดค่า และตรวจสอบซอฟต์แวร์ภายในสถาปัตยกรรมธุรกิจอย่างเหมาะสม “การตอบสนองต่อเหตุการณ์และบริการข่าวกรองภัยคุกคามทางไซเบอร์ของคุณมีความเป็นผู้ใหญ่แค่ไหน” เขาถาม. “คุณเชื่อใจพวกเขาในโลกคลาวด์แบบไฮบริดที่คุณอาจถูกโจมตีด้วยการบุกรุกที่ซับซ้อนด้วยความเร็วสูงหรือไม่”

“เมื่อคุณมีคนที่เหมาะสมแล้ว กระบวนการต่างๆ ก็เป็นที่เข้าใจกันดี” บรัมลีย์เห็นด้วย “คุณออกแบบผลิตภัณฑ์ด้วยการป้องกันในเชิงลึก ตรวจสอบให้แน่ใจว่าการขึ้นต่อกันและซอฟต์แวร์บุคคลที่สามของคุณทันสมัย ​​และใช้เทคนิคสมัยใหม่ เช่น การคลุมเครือเพื่อค้นหาช่องโหว่ที่ไม่รู้จัก”

สำหรับ Brumley การรักษาความปลอดภัยตามค่าเริ่มต้นหมายถึงการออกแบบความปลอดภัยที่ทำงานร่วมกับวิธีที่ผู้คนใช้ซอฟต์แวร์ “มีหลักการออกแบบที่ครอบคลุมหลักการหลายประการ เช่นเดียวกับการสร้างตึกระฟ้า คุณต้องคิดถึงทุกสิ่งทุกอย่างตั้งแต่การรองรับโครงสร้างไปจนถึงเครื่องปรับอากาศ” เขาอธิบาย

การเปลี่ยนกระบวนทัศน์ที่จำเป็นในการรักษาความปลอดภัยด้านไอที

Dunham ตั้งข้อสังเกตว่าปี 2023 เป็นปี เต็มไปด้วยตัวอย่าง ที่ไหน สภาพการแข่งขัน ดำรงอยู่เป็นเวลาศูนย์วัน — ช่องโหว่ถูกย้อนกลับและติดอาวุธโดยผู้ไม่ประสงค์ดีเร็วกว่า องค์กรสามารถแก้ไขได้.

“ยังคงมีบางองค์กรที่พยายามแก้ไขช่องโหว่ของ Log4J ตลอดเวลานี้” เขาชี้ให้เห็น

เขากล่าวว่าองค์กรต่างๆ จะต้องระบุพื้นผิวการโจมตีทั้งภายในและภายนอก และจัดลำดับความสำคัญของสินทรัพย์และการบริหารความเสี่ยงตามนั้น เพื่อที่จะได้เผชิญหน้าเมื่อความเสี่ยงในการแสวงหาประโยชน์และการโจมตีที่เกี่ยวข้องกับช่องโหว่เพิ่มขึ้น

จากมุมมองของ Pace อุตสาหกรรมการรักษาความปลอดภัยด้านไอทีจะต้องผ่านการเปลี่ยนแปลงกระบวนทัศน์ในการพิจารณาความเสี่ยงและวิธีจัดลำดับความสำคัญให้ดีที่สุด และสิ่งนี้สามารถเกิดขึ้นได้ก็ต่อเมื่อมีการมองเห็นห่วงโซ่อุปทานเท่านั้น เขาแบ่งปันตัวอย่างที่ "องค์กรขนาดใหญ่มาก" ไม่รู้ว่าระบบรักษาความปลอดภัยของตนต้องพึ่งพาอะไรเมื่ออัปเดตระบบนั้นตามหน้าที่ “หลังจากการอัพเดตก็ถูกสแกนโดยเครื่องสแกนช่องโหว่และพบว่าล่าสุด ช่องโหว่ที่สำคัญของ Apache Struts มีอยู่” เขากล่าว “ตอนนี้องค์กรนี้ได้นำความเสี่ยงร้ายแรงมาสู่องค์กรของพวกเขา”

การออกแบบที่ปลอดภัยในยุค IoT

John Gallagher รองประธานของ Viakoo Labs ที่ Viakoo กล่าวว่าความท้าทายสำคัญประการหนึ่งคือการออกแบบความปลอดภัยให้กับอุปกรณ์ที่มีอายุการใช้งานยาวนาน เช่น ส่วนหนึ่งของ Internet of Things (IoT) ที่อาจไม่มีการรักษาความปลอดภัยในการออกแบบในตอนแรก

“การดำเนินการนี้ต้องมีการทดสอบที่ครอบคลุมมากขึ้น และอาจต้องใช้ทรัพยากรทางวิศวกรรมใหม่ๆ” เขากล่าว “ในทำนองเดียวกัน การสร้างฟีเจอร์ความปลอดภัยใหม่ๆ ก็เป็นหนทางที่จะทำให้เกิดช่องโหว่ด้านความปลอดภัยใหม่ๆ”

Gallagher กล่าวว่าผู้ผลิตซอฟต์แวร์ควรยอมรับการใช้รายการวัสดุซอฟต์แวร์ (SBOM) เพื่อค้นหาและแก้ไขช่องโหว่ได้รวดเร็วยิ่งขึ้น เขาตั้งข้อสังเกตว่าบริษัทต่างๆ กำลังผสมผสานการออกแบบที่ปลอดภัยเข้ากับผลิตภัณฑ์ใหม่ ซึ่งท้ายที่สุดแล้วจะเป็นปัจจัยด้านการแข่งขันในตลาด

“นอกเหนือจาก MFA และสิทธิ์การเข้าถึงแบบจำกัดแล้ว มาตรการอื่นๆ เช่น การกำจัดรหัสผ่านเริ่มต้น และการจัดหากลไกในการอัพเดตเฟิร์มแวร์ที่ง่ายและรวดเร็วยิ่งขึ้นกำลังได้รับการออกแบบในผลิตภัณฑ์” เขากล่าว

การหลีกเลี่ยง “การรักษาความปลอดภัยผ่านความสับสน” เป็นอีกหนึ่งหลักการของการรักษาความปลอดภัยด้วยการออกแบบ Gallagher ชี้ให้เห็น ตัวอย่างเช่น SBOM และซอฟต์แวร์โอเพ่นซอร์ส มอบความปลอดภัยโดยให้ความโปร่งใสเกี่ยวกับโค้ดซอฟต์แวร์

Pace กล่าวว่าสิ่งหนึ่งที่เขารู้สึกตื่นเต้นมากที่สุดเกี่ยวกับการรักษาความปลอดภัยตามค่าเริ่มต้นและการรักษาความปลอดภัยด้วยการออกแบบคือการมองเห็นที่ดีขึ้นอย่างมากในห่วงโซ่อุปทานของซอฟต์แวร์ “เมื่อบรรลุการมองเห็นนี้แล้ว เราก็จะเริ่มเข้าใจอย่างแท้จริงว่าปัญหาของเราอยู่ที่ไหนจากระดับพื้นฐาน จากนั้นจึงเริ่มจัดลำดับความสำคัญของปัญหาเหล่านั้นในลักษณะที่สมเหตุสมผล” เขากล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design