Luôn có sự cân bằng trong CNTT giữa việc cung cấp các tính năng và chức năng mới với việc thanh toán nợ kỹ thuật, bao gồm những thứ như độ tin cậy, hiệu suất, thử nghiệm… và vâng, bảo mật.
Trong thời đại “giao hàng nhanh và phá vỡ mọi thứ” này, việc tích lũy nợ bảo đảm là một quyết định mà các tổ chức tự nguyện đưa ra. Mọi tổ chức đều có các nhiệm vụ bảo mật được đưa vào hồ sơ tồn đọng Jira của họ cho “một ngày nào đó” - những việc như triển khai các bản vá bảo mật và chạy các phiên bản khung và ngôn ngữ lập trình mới nhất, ổn định nhất. Làm điều đúng đắn cần có thời gian và các nhóm cố tình trì hoãn những nhiệm vụ này vì họ đang ưu tiên các tính năng mới. Một phần quan trọng trong công việc của CISO là nhận ra những thời điểm phải thanh toán các khoản nợ bảo đảm.
Một điều đã khiến Khai thác log4j điều đáng báo động đối với các CISO là nhận ra rằng có khoản nợ tích lũy khổng lồ này thậm chí còn không nằm trong tầm ngắm của họ. Nó bộc lộ một lớp lỗ hổng bảo mật tiềm ẩn giữa các dự án nguồn mở và hệ sinh thái của người sáng tạo, người bảo trì, người quản lý gói và tổ chức sử dụng chúng.
Bảo mật chuỗi cung ứng phần mềm là một hạng mục duy nhất trên bảng cân đối nợ bảo mật, nhưng CISO có thể đưa ra một kế hoạch mạch lạc để thanh toán khoản nợ đó.
Một loại lỗ hổng mới
Hầu hết các công ty đã thực hiện rất tốt việc khóa an ninh mạng của họ. Nhưng có cả một loại cách khai thác có thể xảy ra vì nhà phát triển xây dựng hệ thống và các tạo phẩm phần mềm mà họ tận dụng để viết ứng dụng không có cơ chế tin cậy hoặc chuỗi hành trình bảo mật.
Ngày nay, bất kỳ ai có hiểu biết thông thường đều biết không nên lấy ngẫu nhiên một ổ USB và cắm nó vào máy tính của mình vì những rủi ro về bảo mật. Nhưng trong nhiều thập kỷ, các nhà phát triển đã tải xuống gói nguồn mở không có cách nào để xác minh rằng họ an toàn.
Những kẻ xấu đang lợi dụng vectơ tấn công này vì đây là một kết quả mới dễ dàng thực hiện. Họ nhận ra rằng họ có thể giành quyền truy cập thông qua các lỗ hổng này và khi vào bên trong, họ sẽ chuyển sang tất cả các hệ thống khác phụ thuộc vào bất kỳ tạo phẩm không an toàn nào mà họ đã sử dụng để giành quyền truy cập.
Ngừng đào bằng cách khóa hệ thống xây dựng
Điểm khởi đầu cơ bản cho CISO, được xác nhận trong các tài liệu như hướng dẫn dành cho nhà phát triển “Đảm bảo chuỗi cung ứng phần mềm,” là bắt đầu sử dụng các khung nguồn mở như Khung phát triển phần mềm bảo mật (SSDF) của NIST và OpenSSF Các cấp độ chuỗi cung ứng cho các tạo phẩm phần mềm (SLSA). Về cơ bản, đây là các bước quy định để khóa chuỗi cung ứng của bạn. SLSA Cấp 1 là sử dụng hệ thống xây dựng. Cấp độ 2 là xuất một số nhật ký và siêu dữ liệu (để sau này bạn có thể tra cứu mọi thứ và thực hiện ứng phó sự cố). Cấp độ 3 là tuân theo một loạt các phương pháp hay nhất. Cấp độ 4 là sử dụng hệ thống xây dựng thực sự an toàn. Bằng cách làm theo những bước đầu tiên này, CISO có thể tạo nền tảng vững chắc để xây dựng chuỗi cung ứng phần mềm được bảo mật theo mặc định.
Mọi thứ trở nên phức tạp hơn khi các CISO nghĩ về các chính sách về cách các nhóm phát triển có được phần mềm nguồn mở ngay từ đầu. Làm cách nào để các nhà phát triển biết chính sách của công ty họ dành cho những gì được coi là “an toàn”? Và làm thế nào họ biết rằng nguồn mở mà họ đang có được (thứ cấu thành nên đại đa số trong số tất cả phần mềm được các nhà phát triển sử dụng ngày nay) thực sự không bị giả mạo?
Bằng cách khóa các hệ thống xây dựng và tạo ra một phương pháp có thể lặp lại để xác minh nguồn gốc của các tạo phẩm phần mềm trước khi đưa chúng vào môi trường, CISO có thể ngăn chặn một cách hiệu quả việc đào sâu hố sâu hơn đối với tổ chức của họ về nợ bảo mật.
Còn việc trả nợ bảo mật chuỗi cung ứng phần mềm cũ thì sao?
Sau khi bạn đã ngừng đào bới bằng cách khóa hình ảnh cơ sở và môi trường xây dựng, bây giờ bạn cần cập nhật phần mềm và vá các lỗ hổng, bao gồm cả các phiên bản hình ảnh cơ sở.
Cập nhật phần mềm và vá lỗi CVE cực kỳ tẻ nhạt. Điều đó thật nhàm chán, tốn thời gian, đó là một công việc vặt - đó là công việc. Đó là “ăn rau của bạn” của an ninh mạng. Việc trả khoản nợ này đòi hỏi sự hợp tác sâu sắc giữa CISO và nhóm phát triển. Đây cũng là cơ hội để cả hai nhóm đồng ý về các quy trình và công cụ an toàn, hiệu quả hơn có thể giúp đảm bảo an toàn cho chuỗi cung ứng phần mềm của tổ chức theo mặc định.
Giống như một số người không thích thay đổi, một số nhóm phần mềm không thích cập nhật hình ảnh cơ sở vùng chứa của họ. Hình ảnh cơ sở là lớp đầu tiên của ứng dụng phần mềm dựa trên vùng chứa. Việc cập nhật hình ảnh cơ sở lên phiên bản mới đôi khi có thể làm hỏng ứng dụng phần mềm, đặc biệt nếu phạm vi kiểm tra không đầy đủ. Vì vậy, một số nhóm phần mềm thích giữ nguyên hiện trạng hơn, về cơ bản là lảng vảng vô thời hạn trên phiên bản hình ảnh cơ sở đang hoạt động có khả năng tích lũy CVE hàng ngày.
Để tránh sự tích tụ lỗ hổng này, nhóm phần mềm nên cập nhật hình ảnh thường xuyên với những thay đổi nhỏ và sử dụng các phương pháp "thử nghiệm trong sản xuất" như các bản phát hành canary. Sử dụng hình ảnh vùng chứa được cố định, kích thước tối thiểu và được xây dựng bằng siêu dữ liệu bảo mật chuỗi cung ứng phần mềm quan trọng, như hóa đơn nguyên vật liệu phần mềm (SBOMs), xuất xứ và chữ ký, có thể giúp giảm bớt nỗi đau tốn thời gian của việc quản lý lỗ hổng hàng ngày trong hình ảnh cơ sở. Những kỹ thuật này tạo ra sự cân bằng hợp lý giữa việc giữ an toàn và đảm bảo sản xuất không bị ngừng trệ.
Bắt đầu thanh toán khi bạn di chuyển
Điều đặc biệt khó chịu về khoản nợ bảo đảm là khi bạn cứ tiếp tục nộp nó vào “một ngày nào đó”, nó thường xuất hiện khi bạn dễ bị tổn thương nhất và có ít khả năng chi trả nhất. Lỗ hổng Log4j xuất hiện ngay trước chu kỳ thương mại điện tử bận rộn trong kỳ nghỉ lễ và làm tê liệt nhiều nhóm kỹ thuật và bảo mật trong năm tiếp theo. Không CISO nào muốn có những bất ngờ về bảo mật ẩn giấu.
Mọi CISO nên đầu tư tối thiểu vào các hệ thống xây dựng an toàn hơn, các phương pháp ký phần mềm để thiết lập nguồn gốc của phần mềm trước khi các nhà phát triển đưa nó vào môi trường và các hình ảnh cơ sở vùng chứa tối thiểu, cứng cáp giúp giảm bề mặt tấn công ở nền tảng của phần mềm và ứng dụng .
Đi sâu hơn vào khoản nợ bảo mật chuỗi cung ứng phần mềm khổng lồ này, các CISO phải đối mặt với một câu hỏi hóc búa về việc họ sẵn sàng trả bao nhiêu cho các nhà phát triển của mình khi họ tiếp tục (bằng cách liên tục cập nhật hình ảnh cơ sở và phần mềm có lỗ hổng bảo mật) so với việc hoãn khoản nợ đó và đạt được mức độ chấp nhận được. tính dễ bị tổn thương.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- : có
- :là
- :không phải
- $ LÊN
- 1
- 7
- a
- Giới thiệu
- chấp nhận được
- truy cập
- Tích lũy
- tích lũy
- đạt được
- có được
- có được
- diễn viên
- Tất cả
- giảm bớt
- Ngoài ra
- luôn luôn
- an
- và
- bất kỳ ai
- Các Ứng Dụng
- các ứng dụng
- LÀ
- AS
- At
- tấn công
- tránh
- xa
- Cân đối
- Cân đối kế toán
- cơ sở
- Về cơ bản
- BE
- bởi vì
- được
- trước
- BEST
- thực hành tốt nhất
- giữa
- lớn
- Hóa đơn
- Nhàm chán
- cả hai
- Nghỉ giải lao
- mang lại
- Đưa
- xây dựng
- Xây dựng
- xây dựng
- bận rộn
- nhưng
- by
- CAN
- viết hoa
- chuỗi
- thay đổi
- Những thay đổi
- CISO
- tốt nghiệp lớp XNUMX
- mạch lạc
- hợp tác
- Chung
- Các công ty
- công ty
- máy tính
- xem xét
- Container
- liên tục
- câu đố
- bảo hiểm
- tạo
- Tạo
- người sáng tạo
- quan trọng
- Lưu ký
- An ninh mạng
- chu kỳ
- tiền thưởng
- Ngày
- Nợ
- thập kỷ
- quyết định
- sâu
- sâu sắc hơn
- Mặc định
- triển khai
- Nhà phát triển
- phát triển
- Phát triển
- do
- doesn
- làm
- don
- xuống
- lái xe
- hai
- thương mại điện tử
- ăn
- Hệ sinh thái
- hiệu quả
- Kỹ Sư
- nhập
- Môi trường
- môi trường
- Kỷ nguyên
- đặc biệt
- chủ yếu
- thành lập
- Ngay cả
- Mỗi
- khai thác
- xuất khẩu
- tiếp xúc
- Đối mặt
- NHANH
- Tính năng
- Nộp hồ sơ
- Tên
- những bước đầu tiên
- theo
- tiếp theo
- Trong
- Nền tảng
- Khung
- khung
- thường xuyên
- chức năng
- cơ bản
- Thu được
- khoảng trống
- được
- Go
- tốt
- hướng dẫn
- Có
- cái đầu
- giúp đỡ
- Thành viên ẩn danh
- Lô
- Holes
- Ngày lễ
- Độ đáng tin của
- HTTPS
- lớn
- if
- hình ảnh
- hình ảnh
- in
- sự cố
- ứng phó sự cố
- bao gồm
- Bao gồm
- không an toàn
- trong
- trong
- đầu tư
- IT
- ITS
- Việc làm
- chỉ
- Giữ
- Biết
- Ngôn ngữ
- một lát sau
- lớp
- ít nhất
- Cấp
- niveaux
- Tỉ lệ đòn bẩy
- Lượt thích
- Có khả năng
- Dòng
- log4j
- Xem
- thực hiện
- làm cho
- Làm
- quản lý
- Quản lý
- nhiều
- lớn
- nguyên vật liệu
- cơ chế
- Siêu dữ liệu
- phương pháp
- phương pháp
- tối thiểu
- tối thiểu
- Khoảnh khắc
- chi tiết
- hầu hết
- nhiều
- phải
- Cần
- mạng
- An ninh mạng
- Mới
- Các tính năng mới
- Mới nhất
- nắm tay
- Không
- tại
- of
- Xưa
- on
- hàng loạt
- mở
- mã nguồn mở
- Cơ hội
- or
- cơ quan
- tổ chức
- Nền tảng khác
- kết thúc
- gói
- thanh toán
- Đau
- một phần
- Vá
- Các bản vá lỗi
- Vá
- Trả
- trả tiền
- người
- hiệu suất
- chọn
- Trục
- Nơi
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- cắm
- Điểm
- Chính sách
- có thể
- thực hành
- thích hơn
- ưu tiên
- Quy trình
- Sản lượng
- sản xuất
- Lập trình
- ngôn ngữ lập trình
- dự án
- nguồn gốc
- đặt
- radar
- ngẫu nhiên
- RE
- hiện thực hóa
- nhận ra
- có thật không
- công nhận
- giảm
- Phát hành
- độ tin cậy
- có thể lặp lại
- đòi hỏi
- phản ứng
- ngay
- rủi ro
- chạy
- s
- an toàn
- an toàn
- an ninh
- Rủi ro bảo mật
- ý nghĩa
- Loạt Sách
- tấm
- TÀU
- Giao Hàng
- nên
- Chữ ký
- ký
- Kích thước máy
- nhỏ
- So
- Phần mềm
- phát triển phần mềm
- một số
- một ngày nào đó
- nguồn
- ổn định
- Bắt đầu
- Bắt đầu
- Trạng thái
- Các bước
- Dừng
- dừng lại
- đình công
- mạnh mẽ
- lớn
- cung cấp
- chuỗi cung ứng
- chắc chắn
- Bề mặt
- bất ngờ
- hệ thống
- hệ thống
- mất
- nhiệm vụ
- đội
- Kỹ thuật
- kỹ thuật
- thử nghiệm
- Kiểm tra
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Đó
- Kia là
- họ
- điều
- điều
- nghĩ
- điều này
- những
- Thông qua
- thời gian
- mất thời gian
- đến
- bên nhau
- NIỀM TIN
- thường
- độc đáo
- độc đáo
- Cập nhật
- cập nhật
- sử dụng
- đã sử dụng
- sử dụng
- Ve
- xác minh
- phiên bản
- Versus
- tự nguyện
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- muốn
- là
- không phải
- Đường..
- TỐT
- Điều gì
- bất cứ điều gì
- khi nào
- cái nào
- CHÚNG TÔI LÀ
- toàn bộ
- sẵn sàng
- với
- Công việc
- đang làm việc
- viết
- năm
- Vâng
- Bạn
- trên màn hình
- zephyrnet