В ІТ завжди був компроміс між доставкою нових функцій і функцій і сплатою технічного боргу, який включає такі речі, як надійність, продуктивність, тестування... і так, безпеку.
У цю епоху «швидко відправляйте та ламайте речі» накопичення боргу під забезпечення є рішенням, яке організації приймають добровільно. Кожна організація має завдання безпеки, заповнені своїми невиконаними Jira для «колись» — наприклад, розгортання патчів безпеки та запуск найновіших, найстабільніших версій мов програмування та фреймворків. Для того, щоб робити правильні речі, потрібен час, і команди навмисно відкладають ці завдання, оскільки вони віддають перевагу новим функціям. Значна частина роботи CISO полягає у визначенні тих моментів, коли борги за безпеку повинні бути сплачені.
Одне, що зробило Експлойт Log4j настільки тривожним для CISO було усвідомлення того, що існує величезний накопичений борг, який навіть не був на їхньому радарі. Він виявив прихований клас прогалин у безпеці між проектами з відкритим вихідним кодом та екосистемами творців, супроводжувачів, менеджерів пакунків та організацій, які їх використовують.
Безпека ланцюга постачання програмного забезпечення є унікальною статтею в балансі боргу за безпеку, але CISO можуть скласти послідовний план його виплати.
Новий клас вразливості
Більшість компаній справді добре впоралися з захистом своїх мереж. Але існує цілий клас експлойтів, які можливі, оскільки системи створення розробниками та програмні артефакти, які вони використовують для написання програм, не мають механізму довіри чи безпечного ланцюга контролю.
Сьогодні будь-хто зі здоровим глуздом знає, що не можна брати випадковий флеш-накопичувач і підключати його до свого комп’ютера через загрозу безпеці. Але десятиліттями розробники завантажували пакети з відкритим кодом без можливості перевірити, чи вони безпечні.
Погані актори використовують цей вектор атаки, тому що це новий плід, що висить низько. Вони розуміють, що можуть отримати доступ через ці діри, а опинившись усередині, перейти до всіх інших систем, які залежать від будь-якого незахищеного артефакту, який вони використовували для входу.
Припиніть копати, заблокувавши системи збірки
Основна відправна точка для CISO, схвалена в таких матеріалах, як посібник для розробників "Захист ланцюжка постачання програмного забезпечення”, – це почати використовувати фреймворки з відкритим кодом, такі як Secure Software Development Framework (SSDF) NIST і OpenSSF. Рівні ланцюга поставок для програмних артефактів (SLSA). Це в основному рекомендаційні кроки для блокування вашого ланцюжка поставок. Рівень 1 SLSA передбачає використання системи побудови. Рівень 2 полягає в експорті деяких журналів і метаданих (тобто ви пізніше можете переглянути речі та реагувати на інциденти). Рівень 3 полягає в дотриманні серії найкращих практик. Рівень 4 — використання дійсно безпечної системи збірки. Дотримуючись цих перших кроків, CISO можуть створити міцну основу для побудови безпечного за замовчуванням ланцюга постачання програмного забезпечення.
Речі стають дедалі дедалі нюансами, коли CISO думають про політику щодо того, як команди розробників насамперед отримують програмне забезпечення з відкритим кодом. Звідки розробники знають, яка політика їхньої компанії щодо того, що вважається «безпечним»? І звідки вони знають, що відкритий код, який вони купують (який становить переважна більшість усього програмного забезпечення, що використовується розробниками сьогодні) справді не змінено?
Блокуючи системи збірки та створюючи повторюваний метод для перевірки походження артефактів програмного забезпечення перед тим, як перенести їх у середовище, CISO можуть ефективно припинити копати глибшу яму для своєї організації в боргах безпеки.
Як щодо виплати боргу за безпеку старого програмного забезпечення?
Після того, як ви припинили копати, заблокувавши базові образи та середовища збірки, тепер вам потрібно оновити програмне забезпечення та виправити вразливості, включаючи версії базових образів.
Оновлення програмного забезпечення та виправлення CVE – справа надто втомлива. Це нудно, це забирає багато часу, це клопіт — це робота. Це «їжте свої овочі» кібербезпеки. Щоб погасити цей борг, потрібна тісна співпраця між CISO та командами розробників. Це також можливість для обох команд домовитися про більш безпечні, продуктивні інструменти та процеси, які можуть допомогти зробити ланцюг постачання програмного забезпечення організації безпечним за замовчуванням.
Так само, як деякі люди не люблять змін, деякі команди програмного забезпечення не люблять оновлювати свої базові образи контейнерів. Базовий образ є першим рівнем програмного забезпечення на основі контейнерів. Оновлення базового зображення до нової версії іноді може порушити програмне забезпечення, особливо якщо тестове покриття недостатнє. Отже, деякі команди розробників програмного забезпечення віддають перевагу статус-кво, по суті, нескінченно довго працюють над робочою базовою версією образу, яка, ймовірно, щодня накопичує CVE.
Щоб уникнути такого накопичення вразливостей, команди програмного забезпечення повинні часто оновлювати зображення з невеликими змінами та використовувати методи «тестування у виробництві», як-от релізи Canary. Використання захищених образів контейнерів, мінімального розміру та створених із важливими метаданими безпеки ланцюга поставок програмного забезпечення, як-от специфікації програмного забезпечення (SBOMs), походження та підписи можуть допомогти полегшити трудомістке щоденне керування вразливими місцями в базових зображеннях. Ці методи встановлюють правильний баланс між збереженням безпеки та гарантією того, що виробництво не знизиться.
Почніть платити по ходу
Що надзвичайно неприємно щодо заборгованості за цінними паперами, так це те, що коли ви просто продовжуєте реєструвати її на «колись», вона зазвичай піднімає голову, коли ви найбільш вразливі і найменше можете дозволити собі її виплатити. Уразливість Log4j виникла безпосередньо перед напруженим святковим циклом електронної комерції та завдала шкоди багатьом інженерним командам і командам безпеки протягом наступного року. Жоден CISO не хоче мати прихованих сюрпризів безпеки.
Кожен CISO повинен робити мінімальні інвестиції в більш безпечні системи збірки, методи підписання програмного забезпечення для визначення походження програмного забезпечення до того, як розробники перенесуть його в середовище, і надійні мінімальні базові образи контейнерів, які зменшують поверхню атаки в основі програмного забезпечення та програм. .
Глибше в цю величезну виплату заборгованості за безпеку ланцюга постачання програмного забезпечення, CISO стикаються з головоломкою: скільки вони готові платити своїм розробникам по ходу роботи (шляхом постійного оновлення базових образів і програмного забезпечення з уразливими місцями) проти відстрочення цього боргу та досягнення прийнятного рівня вразливість.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- : має
- :є
- : ні
- $UP
- 1
- 7
- a
- МЕНЮ
- прийнятний
- доступ
- Накопичений
- накопичення
- досягнення
- набувати
- придбання
- актори
- ВСІ
- полегшувати
- Також
- завжди
- an
- та
- будь
- додаток
- застосування
- ЕСТЬ
- AS
- At
- атака
- уникнути
- геть
- Balance
- Баланс
- база
- В основному
- BE
- оскільки
- було
- перед тим
- КРАЩЕ
- передового досвіду
- між
- Великий
- Банкноти
- Нудно
- обидва
- Перерва
- приносити
- Приведення
- будувати
- Створюємо
- побудований
- зайнятий
- але
- by
- CAN
- капіталізація
- ланцюг
- зміна
- Зміни
- CISO
- клас
- КОГЕРЕНТНИЙ
- співробітництво
- загальний
- Компанії
- компанія
- комп'ютер
- вважається
- Контейнер
- безперестанку
- головоломка
- охоплення
- створювати
- створення
- Творці
- критичний
- Зберігання
- Кібербезпека
- цикл
- щодня
- Днів
- Борг
- десятиліття
- рішення
- глибокий
- глибше
- дефолт
- розгортання
- Розробник
- розробників
- розробка
- do
- байдуже
- справи
- Дон
- вниз
- управляти
- два
- e-commerce
- є
- екосистеми
- фактично
- Машинобудування
- запис
- Навколишнє середовище
- середовищах
- Епоха
- особливо
- по суті
- встановити
- Навіть
- Кожен
- подвигів
- експорт
- піддаватися
- Face
- ШВИДКО
- риси
- Подача
- Перший
- перші кроки
- стежити
- після
- для
- фонд
- Рамки
- каркаси
- часто
- функціональність
- фундаментальний
- Отримувати
- прогалини
- отримати
- Go
- добре
- керівництво
- Мати
- голова
- допомога
- прихований
- Hole
- Отвори
- свято
- Як
- HTTPS
- величезний
- if
- зображення
- зображень
- in
- інцидент
- реагування на інциденти
- includes
- У тому числі
- небезпечно
- всередині
- в
- інвестиції
- IT
- ЙОГО
- робота
- просто
- тримати
- Знати
- мови
- пізніше
- шар
- найменш
- рівень
- рівні
- Важіль
- як
- Ймовірно
- Лінія
- log4j
- подивитися
- made
- зробити
- Робить
- управління
- Менеджери
- багато
- масивний
- Матеріали
- механізм
- метадані
- метод
- методика
- мінімальний
- мінімальний
- Моменти
- більше
- найбільш
- багато
- повинен
- Необхідність
- мережу
- мережева безпека
- Нові
- Нові можливості
- новітній
- nist
- немає
- зараз
- of
- Старий
- on
- один раз
- відкрити
- з відкритим вихідним кодом
- Можливість
- or
- організація
- організації
- Інше
- над
- пакет
- оплачувану
- Біль
- частина
- пластир
- Патчі
- Виправлення
- Платити
- платіж
- Люди
- продуктивність
- вибирати
- Стрижень
- місце
- план
- plato
- Інформація про дані Платона
- PlatoData
- штекер
- точка
- Політика
- це можливо
- практики
- надавати перевагу
- визначення пріоритетів
- процеси
- Production
- продуктивний
- Програмування
- мови програмування
- проектів
- походження
- put
- радар
- випадковий
- RE
- реалізація
- реалізувати
- насправді
- визнаючи
- зменшити
- Релізи
- надійність
- повторюваний
- Вимагається
- відповідь
- право
- ризики
- біг
- s
- сейф
- безпечний
- безпеку
- ризики для безпеки
- сенс
- Серія
- лист
- КОРАБЕЛЬ
- Доставка
- Повинен
- Signatures
- підписання
- Розмір
- невеликий
- So
- Софтвер
- розробка програмного забезпечення
- деякі
- коли-небудь
- Source
- стабільний
- старт
- Починаючи
- Статус
- заходи
- Стоп
- зупинений
- удар
- сильний
- Super
- поставка
- ланцюжка поставок
- Переконайтеся
- поверхню
- сюрпризи
- система
- Systems
- приймає
- завдання
- команди
- технічний
- методи
- тест
- Тестування
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- річ
- речі
- думати
- це
- ті
- через
- час
- трудомісткий
- до
- разом
- Довіряйте
- типово
- створеного
- однозначно
- Оновити
- оновлення
- використання
- використовуваний
- використання
- Ve
- перевірити
- версія
- Проти
- добровільно
- Уразливості
- вразливість
- Вразливий
- хоче
- було
- wasn
- шлях..
- ДОБРЕ
- Що
- будь
- коли
- який
- ВООЗ
- всі
- готовий
- з
- Work
- робочий
- запис
- рік
- так
- Ти
- вашу
- зефірнет