อุตสาหกรรมความปลอดภัยโดยรวมสูญเสียความคิดเมื่อมีการค้นพบช่องโหว่ใหม่ในซอฟต์แวร์ OpenSSL ก็ไม่มีข้อยกเว้น และช่องโหว่ใหม่ 2022 รายการได้ท่วมฟีดข่าวในช่วงปลายเดือนตุลาคมและต้นเดือนพฤศจิกายน XNUMX การค้นพบและการเปิดเผยข้อมูลเป็นเพียงจุดเริ่มต้นของวงจรช่องโหว่นี้ที่ไม่มีวันสิ้นสุด องค์กรที่ได้รับผลกระทบต้องเผชิญกับการแก้ไข ซึ่งเป็นเรื่องที่เจ็บปวดอย่างยิ่งสำหรับผู้ที่อยู่แถวหน้าของไอที ผู้นำด้านการรักษาความปลอดภัยต้องคงไว้ซึ่งกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพเพื่อช่วยกรองสัญญาณรบกวนจากช่องโหว่ใหม่ๆ รับรู้ผลกระทบต่อห่วงโซ่อุปทาน และรักษาความปลอดภัยของสินทรัพย์ตามนั้น
การโจมตีห่วงโซ่อุปทานจะไม่หายไป
ในช่วงเวลาประมาณหนึ่งปี เราประสบปัญหาจากช่องโหว่ที่รุนแรงในส่วนประกอบต่างๆ ซึ่งรวมถึง log4j, Spring Frameworkและ OpenSSL. การใช้ประโยชน์จากช่องโหว่ที่เก่ากว่านั้นไม่เคยยุติจากการใช้งานที่กำหนดค่าผิดหรือใช้การขึ้นต่อกันของช่องโหว่ที่รู้จัก ในเดือนพฤศจิกายน พ.ศ. 2022 สาธารณชนได้เรียนรู้เกี่ยวกับ การรณรงค์โจมตีต่อสาขาบริหารพลเรือนของรัฐบาลกลาง (FCEB) ซึ่งเป็นผลมาจากภัยคุกคามของอิหร่านที่ได้รับการสนับสนุนจากรัฐ หน่วยงานรัฐบาลกลางของสหรัฐอเมริกานี้กำลังเรียกใช้โครงสร้างพื้นฐาน VMware Horizon ที่มีช่องโหว่ Log4Shell ซึ่งทำหน้าที่เป็นเวกเตอร์โจมตีเริ่มต้น FCEB ถูกโจมตีด้วยการโจมตีที่ซับซ้อนซึ่งรวมถึงการเคลื่อนไหวด้านข้าง การประนีประนอมข้อมูลประจำตัว การประนีประนอมระบบ การคงอยู่ของเครือข่าย การบายพาสการป้องกันปลายทาง และการเข้ารหัสลับ
องค์กรอาจถามว่า “ทำไมต้องใช้ OSS เลย” หลังจากเหตุการณ์ด้านความปลอดภัยจากแพ็คเกจที่มีช่องโหว่ เช่น OpenSSL หรือ Log4j การโจมตีห่วงโซ่อุปทานยังคงมีแนวโน้มสูงขึ้น เนื่องจากการนำส่วนประกอบกลับมาใช้ใหม่ทำให้ “ความรู้สึกทางธุรกิจที่ดี” สำหรับคู่ค้าและซัพพลายเออร์ เราออกแบบระบบโดยการนำโค้ดที่มีอยู่กลับมาใช้ใหม่ แทนที่จะสร้างใหม่ตั้งแต่ต้น นี่คือการลดความพยายามด้านวิศวกรรม ปรับขนาดการดำเนินงาน และส่งมอบอย่างรวดเร็ว ซอฟต์แวร์โอเพ่นซอร์ส (OSS) โดยทั่วไปถือว่าเชื่อถือได้โดยอาศัยการพิจารณาจากสาธารณะที่ได้รับ อย่างไรก็ตาม ซอฟต์แวร์มีการเปลี่ยนแปลงตลอดเวลา และปัญหาเกิดขึ้นจากความผิดพลาดในการเข้ารหัสหรือการพึ่งพาที่เชื่อมโยงกัน ประเด็นใหม่ๆ ยังเปิดเผยผ่านวิวัฒนาการของเทคนิคการทดสอบและการหาประโยชน์
การแก้ปัญหาช่องโหว่ของซัพพลายเชน
องค์กรต้องการเครื่องมือและกระบวนการที่เหมาะสมเพื่อรักษาการออกแบบที่ทันสมัย แนวทางดั้งเดิม เช่น การจัดการช่องโหว่หรือการประเมิน ณ เวลาใดเวลาหนึ่งเพียงอย่างเดียวไม่สามารถตามทันได้ กฎระเบียบอาจยังคงอนุญาตให้ใช้แนวทางเหล่านี้ ซึ่งทำให้การแบ่งแยกระหว่าง "ปลอดภัย" และ "เป็นไปตามข้อกำหนด" ยืดเยื้อ องค์กรส่วนใหญ่ต่างปรารถนาที่จะได้รับการพัฒนา DevOps ในระดับหนึ่ง “ต่อเนื่อง” และ “อัตโนมัติ” เป็นลักษณะทั่วไปของแนวทางปฏิบัติ DevOps กระบวนการรักษาความปลอดภัยไม่ควรแตกต่างกัน ผู้นำด้านการรักษาความปลอดภัยต้องรักษาโฟกัสตลอดขั้นตอนการสร้าง การส่งมอบ และรันไทม์ ซึ่งเป็นส่วนหนึ่งของกลยุทธ์การรักษาความปลอดภัยของตน:
- สแกนอย่างต่อเนื่องใน CI/CD: ตั้งเป้าที่จะรักษาความปลอดภัยของ build ไปป์ไลน์ (เช่น shift-left) แต่รับทราบว่าคุณจะไม่สามารถสแกนโค้ดและโค้ดที่ซ้อนกันได้ทั้งหมด ความสำเร็จด้วยวิธี shift-left ถูกจำกัดโดยประสิทธิภาพของสแกนเนอร์ ความสัมพันธ์ของผลลัพธ์ของสแกนเนอร์ การทำงานอัตโนมัติของการตัดสินใจออก และการสแกนเสร็จสิ้นภายในหน้าต่างการเผยแพร่ เครื่องมือควรช่วยจัดลำดับความเสี่ยงของการค้นพบ การค้นพบบางอย่างไม่สามารถดำเนินการได้ และช่องโหว่อาจไม่สามารถใช้ประโยชน์ได้ในสถาปัตยกรรมของคุณ
- สแกนอย่างต่อเนื่องระหว่างการจัดส่ง: การประนีประนอมของส่วนประกอบและการเบี่ยงเบนของสภาพแวดล้อมเกิดขึ้น ควรสแกนแอปพลิเคชัน โครงสร้างพื้นฐาน และปริมาณงานในขณะที่จัดส่งในกรณีที่มีบางสิ่งถูกบุกรุกในห่วงโซ่อุปทานดิจิทัลเมื่อได้รับแหล่งที่มาจากการลงทะเบียนหรือที่เก็บข้อมูลและบู๊ตสแตรป
- สแกนอย่างต่อเนื่องในรันไทม์: การรักษาความปลอดภัยรันไทม์เป็นจุดเริ่มต้นของโปรแกรมรักษาความปลอดภัยจำนวนมาก และการตรวจสอบความปลอดภัยเป็นรากฐานของความพยายามด้านความปลอดภัยทางไซเบอร์ส่วนใหญ่ คุณต้องการกลไกที่สามารถรวบรวมและเชื่อมโยงการวัดและส่งข้อมูลทางไกลในสภาพแวดล้อมทุกประเภท ซึ่งรวมถึงสภาพแวดล้อมระบบคลาวด์ คอนเทนเนอร์ และ Kubernetes ข้อมูลเชิงลึกที่รวบรวมในรันไทม์ควรป้อนกลับไปยังขั้นตอนการสร้างและการส่งมอบก่อนหน้านี้ การโต้ตอบระหว่างตัวตนและการบริการ
- จัดลำดับความสำคัญของช่องโหว่ที่เปิดเผยในรันไทม์: องค์กรทั้งหมดประสบปัญหาในการมีเวลาและทรัพยากรเพียงพอที่จะสแกนและแก้ไขทุกอย่าง การจัดลำดับความสำคัญตามความเสี่ยงเป็นพื้นฐานของงานโปรแกรมความปลอดภัย การเปิดรับอินเทอร์เน็ตเป็นเพียงปัจจัยหนึ่งเท่านั้น อีกประการหนึ่งคือความรุนแรงของช่องโหว่ และองค์กรต่างๆ มักจะให้ความสำคัญกับปัญหาที่มีความรุนแรงสูงและวิกฤต เนื่องจากถือว่ามีผลกระทบมากที่สุด วิธีการนี้ยังคงทำให้วงจรของทีมวิศวกรรมและทีมรักษาความปลอดภัยเสียไปเพราะพวกเขาอาจไล่ตามช่องโหว่ที่ไม่เคยถูกโหลดในขณะรันไทม์และไม่สามารถใช้ประโยชน์ได้ ใช้รันไทม์อัจฉริยะเพื่อตรวจสอบว่าจริง ๆ แล้วมีการโหลดแพ็กเกจใดในแอปพลิเคชันและโครงสร้างพื้นฐานที่กำลังทำงานอยู่ เพื่อให้ทราบความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจริงกับองค์กรของคุณ
เราได้สร้าง คำแนะนำเฉพาะผลิตภัณฑ์ เพื่อนำทางลูกค้าผ่านความบ้าคลั่งของ OpenSSL ล่าสุด
ช่องโหว่ OpenSSL ล่าสุดและ Log4Shell เตือนเราถึงความจำเป็นในการเตรียมความพร้อมด้านความปลอดภัยในโลกไซเบอร์และกลยุทธ์การรักษาความปลอดภัยที่มีประสิทธิภาพ เราต้องจำไว้ว่า CVE-ID เป็นเพียงปัญหาที่ทราบในซอฟต์แวร์หรือฮาร์ดแวร์สาธารณะเท่านั้น ช่องโหว่จำนวนมากไม่ได้รับการรายงาน โดยเฉพาะจุดอ่อนในโค้ดที่ผลิตขึ้นเองหรือการกำหนดค่าสภาพแวดล้อมที่ไม่ถูกต้อง กลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ของคุณจะต้องคำนึงถึงเทคโนโลยีแบบกระจายและหลากหลายของการออกแบบที่ทันสมัย คุณต้องมีโปรแกรมจัดการช่องโหว่ที่ทันสมัยซึ่งใช้ข้อมูลเชิงลึกเกี่ยวกับรันไทม์เพื่อจัดลำดับความสำคัญของงานแก้ไขสำหรับทีมวิศวกรรม คุณยังต้องการความสามารถในการตรวจจับภัยคุกคามและการตอบสนองที่เชื่อมโยงสัญญาณในสภาพแวดล้อมต่างๆ เพื่อหลีกเลี่ยงความประหลาดใจ
เกี่ยวกับผู้เขียน
Michael Isbitski ผู้อำนวยการฝ่ายกลยุทธ์ความปลอดภัยทางไซเบอร์ของ Sysdig ได้ทำการวิจัยและให้คำแนะนำเกี่ยวกับความปลอดภัยทางไซเบอร์มากว่าห้าปี เขาเชี่ยวชาญด้านการรักษาความปลอดภัยบนคลาวด์, การรักษาความปลอดภัยคอนเทนเนอร์, การรักษาความปลอดภัย Kubernetes, การรักษาความปลอดภัย API, การทดสอบความปลอดภัย, การรักษาความปลอดภัยมือถือ, การป้องกันแอปพลิเคชัน และการส่งมอบอย่างต่อเนื่องที่ปลอดภัย เขาเป็นผู้นำองค์กรนับไม่ถ้วนทั่วโลกในการริเริ่มการรักษาความปลอดภัยและสนับสนุนธุรกิจของพวกเขา
ก่อนที่จะมีประสบการณ์ด้านการวิจัยและการให้คำปรึกษา ไมค์ได้เรียนรู้บทเรียนหนักมากมายเกี่ยวกับแนวหน้าของไอทีจากผู้ปฏิบัติงานและประสบการณ์การเป็นผู้นำกว่า 20 ปีที่เน้นเรื่องความปลอดภัยของแอปพลิเคชัน การจัดการช่องโหว่ สถาปัตยกรรมองค์กร และวิศวกรรมระบบ
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์