ความเสี่ยงด้านซัพพลายเชนทำให้คุณผิดหวัง? รักษาความสงบและรับกลยุทธ์!

อุตสาหกรรมความปลอดภัยโดยรวมสูญเสียความคิดเมื่อมีการค้นพบช่องโหว่ใหม่ในซอฟต์แวร์ OpenSSL ก็ไม่มีข้อยกเว้น และช่องโหว่ใหม่ 2022 รายการได้ท่วมฟีดข่าวในช่วงปลายเดือนตุลาคมและต้นเดือนพฤศจิกายน XNUMX การค้นพบและการเปิดเผยข้อมูลเป็นเพียงจุดเริ่มต้นของวงจรช่องโหว่นี้ที่ไม่มีวันสิ้นสุด องค์กรที่ได้รับผลกระทบต้องเผชิญกับการแก้ไข ซึ่งเป็นเรื่องที่เจ็บปวดอย่างยิ่งสำหรับผู้ที่อยู่แถวหน้าของไอที ผู้นำด้านการรักษาความปลอดภัยต้องคงไว้ซึ่งกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพเพื่อช่วยกรองสัญญาณรบกวนจากช่องโหว่ใหม่ๆ รับรู้ผลกระทบต่อห่วงโซ่อุปทาน และรักษาความปลอดภัยของสินทรัพย์ตามนั้น

การโจมตีห่วงโซ่อุปทานจะไม่หายไป

ในช่วงเวลาประมาณหนึ่งปี เราประสบปัญหาจากช่องโหว่ที่รุนแรงในส่วนประกอบต่างๆ ซึ่งรวมถึง log4j, Spring Frameworkและ OpenSSL. การใช้ประโยชน์จากช่องโหว่ที่เก่ากว่านั้นไม่เคยยุติจากการใช้งานที่กำหนดค่าผิดหรือใช้การขึ้นต่อกันของช่องโหว่ที่รู้จัก ในเดือนพฤศจิกายน พ.ศ. 2022 สาธารณชนได้เรียนรู้เกี่ยวกับ การรณรงค์โจมตีต่อสาขาบริหารพลเรือนของรัฐบาลกลาง (FCEB) ซึ่งเป็นผลมาจากภัยคุกคามของอิหร่านที่ได้รับการสนับสนุนจากรัฐ หน่วยงานรัฐบาลกลางของสหรัฐอเมริกานี้กำลังเรียกใช้โครงสร้างพื้นฐาน VMware Horizon ที่มีช่องโหว่ Log4Shell ซึ่งทำหน้าที่เป็นเวกเตอร์โจมตีเริ่มต้น FCEB ถูกโจมตีด้วยการโจมตีที่ซับซ้อนซึ่งรวมถึงการเคลื่อนไหวด้านข้าง การประนีประนอมข้อมูลประจำตัว การประนีประนอมระบบ การคงอยู่ของเครือข่าย การบายพาสการป้องกันปลายทาง และการเข้ารหัสลับ

องค์กรอาจถามว่า “ทำไมต้องใช้ OSS เลย” หลังจากเหตุการณ์ด้านความปลอดภัยจากแพ็คเกจที่มีช่องโหว่ เช่น OpenSSL หรือ Log4j การโจมตีห่วงโซ่อุปทานยังคงมีแนวโน้มสูงขึ้น เนื่องจากการนำส่วนประกอบกลับมาใช้ใหม่ทำให้ “ความรู้สึกทางธุรกิจที่ดี” สำหรับคู่ค้าและซัพพลายเออร์ เราออกแบบระบบโดยการนำโค้ดที่มีอยู่กลับมาใช้ใหม่ แทนที่จะสร้างใหม่ตั้งแต่ต้น นี่คือการลดความพยายามด้านวิศวกรรม ปรับขนาดการดำเนินงาน และส่งมอบอย่างรวดเร็ว ซอฟต์แวร์โอเพ่นซอร์ส (OSS) โดยทั่วไปถือว่าเชื่อถือได้โดยอาศัยการพิจารณาจากสาธารณะที่ได้รับ อย่างไรก็ตาม ซอฟต์แวร์มีการเปลี่ยนแปลงตลอดเวลา และปัญหาเกิดขึ้นจากความผิดพลาดในการเข้ารหัสหรือการพึ่งพาที่เชื่อมโยงกัน ประเด็นใหม่ๆ ยังเปิดเผยผ่านวิวัฒนาการของเทคนิคการทดสอบและการหาประโยชน์

การแก้ปัญหาช่องโหว่ของซัพพลายเชน

องค์กรต้องการเครื่องมือและกระบวนการที่เหมาะสมเพื่อรักษาการออกแบบที่ทันสมัย แนวทางดั้งเดิม เช่น การจัดการช่องโหว่หรือการประเมิน ณ เวลาใดเวลาหนึ่งเพียงอย่างเดียวไม่สามารถตามทันได้ กฎระเบียบอาจยังคงอนุญาตให้ใช้แนวทางเหล่านี้ ซึ่งทำให้การแบ่งแยกระหว่าง "ปลอดภัย" และ "เป็นไปตามข้อกำหนด" ยืดเยื้อ องค์กรส่วนใหญ่ต่างปรารถนาที่จะได้รับการพัฒนา DevOps ในระดับหนึ่ง “ต่อเนื่อง” และ “อัตโนมัติ” เป็นลักษณะทั่วไปของแนวทางปฏิบัติ DevOps กระบวนการรักษาความปลอดภัยไม่ควรแตกต่างกัน ผู้นำด้านการรักษาความปลอดภัยต้องรักษาโฟกัสตลอดขั้นตอนการสร้าง การส่งมอบ และรันไทม์ ซึ่งเป็นส่วนหนึ่งของกลยุทธ์การรักษาความปลอดภัยของตน:

• สแกนอย่างต่อเนื่องใน CI/CD: ตั้งเป้าที่จะรักษาความปลอดภัยของ build ไปป์ไลน์ (เช่น shift-left) แต่รับทราบว่าคุณจะไม่สามารถสแกนโค้ดและโค้ดที่ซ้อนกันได้ทั้งหมด ความสำเร็จด้วยวิธี shift-left ถูกจำกัดโดยประสิทธิภาพของสแกนเนอร์ ความสัมพันธ์ของผลลัพธ์ของสแกนเนอร์ การทำงานอัตโนมัติของการตัดสินใจออก และการสแกนเสร็จสิ้นภายในหน้าต่างการเผยแพร่ เครื่องมือควรช่วยจัดลำดับความเสี่ยงของการค้นพบ การค้นพบบางอย่างไม่สามารถดำเนินการได้ และช่องโหว่อาจไม่สามารถใช้ประโยชน์ได้ในสถาปัตยกรรมของคุณ

• สแกนอย่างต่อเนื่องระหว่างการจัดส่ง: การประนีประนอมของส่วนประกอบและการเบี่ยงเบนของสภาพแวดล้อมเกิดขึ้น ควรสแกนแอปพลิเคชัน โครงสร้างพื้นฐาน และปริมาณงานในขณะที่จัดส่งในกรณีที่มีบางสิ่งถูกบุกรุกในห่วงโซ่อุปทานดิจิทัลเมื่อได้รับแหล่งที่มาจากการลงทะเบียนหรือที่เก็บข้อมูลและบู๊ตสแตรป

• สแกนอย่างต่อเนื่องในรันไทม์: การรักษาความปลอดภัยรันไทม์เป็นจุดเริ่มต้นของโปรแกรมรักษาความปลอดภัยจำนวนมาก และการตรวจสอบความปลอดภัยเป็นรากฐานของความพยายามด้านความปลอดภัยทางไซเบอร์ส่วนใหญ่ คุณต้องการกลไกที่สามารถรวบรวมและเชื่อมโยงการวัดและส่งข้อมูลทางไกลในสภาพแวดล้อมทุกประเภท ซึ่งรวมถึงสภาพแวดล้อมระบบคลาวด์ คอนเทนเนอร์ และ Kubernetes ข้อมูลเชิงลึกที่รวบรวมในรันไทม์ควรป้อนกลับไปยังขั้นตอนการสร้างและการส่งมอบก่อนหน้านี้ การโต้ตอบระหว่างตัวตนและการบริการ

• จัดลำดับความสำคัญของช่องโหว่ที่เปิดเผยในรันไทม์: องค์กรทั้งหมดประสบปัญหาในการมีเวลาและทรัพยากรเพียงพอที่จะสแกนและแก้ไขทุกอย่าง การจัดลำดับความสำคัญตามความเสี่ยงเป็นพื้นฐานของงานโปรแกรมความปลอดภัย การเปิดรับอินเทอร์เน็ตเป็นเพียงปัจจัยหนึ่งเท่านั้น อีกประการหนึ่งคือความรุนแรงของช่องโหว่ และองค์กรต่างๆ มักจะให้ความสำคัญกับปัญหาที่มีความรุนแรงสูงและวิกฤต เนื่องจากถือว่ามีผลกระทบมากที่สุด วิธีการนี้ยังคงทำให้วงจรของทีมวิศวกรรมและทีมรักษาความปลอดภัยเสียไปเพราะพวกเขาอาจไล่ตามช่องโหว่ที่ไม่เคยถูกโหลดในขณะรันไทม์และไม่สามารถใช้ประโยชน์ได้ ใช้รันไทม์อัจฉริยะเพื่อตรวจสอบว่าจริง ๆ แล้วมีการโหลดแพ็กเกจใดในแอปพลิเคชันและโครงสร้างพื้นฐานที่กำลังทำงานอยู่ เพื่อให้ทราบความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจริงกับองค์กรของคุณ

เราได้สร้าง คำแนะนำเฉพาะผลิตภัณฑ์ เพื่อนำทางลูกค้าผ่านความบ้าคลั่งของ OpenSSL ล่าสุด

ช่องโหว่ OpenSSL ล่าสุดและ Log4Shell เตือนเราถึงความจำเป็นในการเตรียมความพร้อมด้านความปลอดภัยในโลกไซเบอร์และกลยุทธ์การรักษาความปลอดภัยที่มีประสิทธิภาพ เราต้องจำไว้ว่า CVE-ID เป็นเพียงปัญหาที่ทราบในซอฟต์แวร์หรือฮาร์ดแวร์สาธารณะเท่านั้น ช่องโหว่จำนวนมากไม่ได้รับการรายงาน โดยเฉพาะจุดอ่อนในโค้ดที่ผลิตขึ้นเองหรือการกำหนดค่าสภาพแวดล้อมที่ไม่ถูกต้อง กลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ของคุณจะต้องคำนึงถึงเทคโนโลยีแบบกระจายและหลากหลายของการออกแบบที่ทันสมัย คุณต้องมีโปรแกรมจัดการช่องโหว่ที่ทันสมัยซึ่งใช้ข้อมูลเชิงลึกเกี่ยวกับรันไทม์เพื่อจัดลำดับความสำคัญของงานแก้ไขสำหรับทีมวิศวกรรม คุณยังต้องการความสามารถในการตรวจจับภัยคุกคามและการตอบสนองที่เชื่อมโยงสัญญาณในสภาพแวดล้อมต่างๆ เพื่อหลีกเลี่ยงความประหลาดใจ

เกี่ยวกับผู้เขียน

Michael Isbitski ผู้อำนวยการฝ่ายกลยุทธ์ความปลอดภัยทางไซเบอร์ของ Sysdig ได้ทำการวิจัยและให้คำแนะนำเกี่ยวกับความปลอดภัยทางไซเบอร์มากว่าห้าปี เขาเชี่ยวชาญด้านการรักษาความปลอดภัยบนคลาวด์, การรักษาความปลอดภัยคอนเทนเนอร์, การรักษาความปลอดภัย Kubernetes, การรักษาความปลอดภัย API, การทดสอบความปลอดภัย, การรักษาความปลอดภัยมือถือ, การป้องกันแอปพลิเคชัน และการส่งมอบอย่างต่อเนื่องที่ปลอดภัย เขาเป็นผู้นำองค์กรนับไม่ถ้วนทั่วโลกในการริเริ่มการรักษาความปลอดภัยและสนับสนุนธุรกิจของพวกเขา

ก่อนที่จะมีประสบการณ์ด้านการวิจัยและการให้คำปรึกษา ไมค์ได้เรียนรู้บทเรียนหนักมากมายเกี่ยวกับแนวหน้าของไอทีจากผู้ปฏิบัติงานและประสบการณ์การเป็นผู้นำกว่า 20 ปีที่เน้นเรื่องความปลอดภัยของแอปพลิเคชัน การจัดการช่องโหว่ สถาปัตยกรรมองค์กร และวิศวกรรมระบบ