Ngành công nghiệp bảo mật nói chung mất trí khi các lỗ hổng mới được phát hiện trong phần mềm. OpenSSL cũng không phải là ngoại lệ và hai lỗ hổng bảo mật mới đã tràn ngập các nguồn cấp tin tức vào cuối tháng 2022 và đầu tháng XNUMX năm XNUMX. Việc phát hiện và tiết lộ chỉ là bước khởi đầu của chu kỳ lỗ hổng không bao giờ kết thúc này. Các tổ chức bị ảnh hưởng phải đối mặt với việc khắc phục, điều này đặc biệt khó khăn đối với những người ở tuyến đầu của CNTT. Các nhà lãnh đạo an ninh phải duy trì một chiến lược an ninh mạng hiệu quả để giúp lọc một số thông tin sai lệch về các lỗ hổng mới, nhận biết các tác động đối với chuỗi cung ứng và bảo vệ tài sản của họ theo đó.
Các cuộc tấn công vào chuỗi cung ứng sẽ không biến mất
Trong khoảng thời gian gần một năm, chúng tôi đã phải trải qua các lỗ hổng nghiêm trọng trong thành phần bao gồm log4j, Khung mùa xuânvà OpenSSL. Việc khai thác các lỗ hổng cũ hơn cũng không bao giờ ngừng từ việc triển khai bị định cấu hình sai hoặc sử dụng các phần phụ thuộc lỗ hổng đã biết. Vào tháng 2022 năm XNUMX, công chúng đã biết về một chiến dịch tấn công chống lại Cơ quan Hành pháp Dân sự Liên bang (FCEB), do mối đe dọa từ Iran do nhà nước bảo trợ. Thực thể liên bang Hoa Kỳ này đang chạy cơ sở hạ tầng VMware Horizon có chứa lỗ hổng Log4Shell, được dùng làm vectơ tấn công ban đầu. FCEB đã bị tấn công bằng một chuỗi tấn công phức tạp bao gồm chuyển động ngang, thỏa hiệp thông tin xác thực, thỏa hiệp hệ thống, tính bền vững của mạng, bỏ qua bảo vệ điểm cuối và tấn công bằng tiền điện tử.
Các tổ chức có thể hỏi "tại sao lại sử dụng PMNM?" sau sự cố bảo mật từ các gói dễ bị tấn công như OpenSSL hoặc Log4j. Các cuộc tấn công vào chuỗi cung ứng tiếp tục có xu hướng gia tăng vì việc tái sử dụng thành phần mang lại “ý nghĩa kinh doanh tốt” cho các đối tác và nhà cung cấp. Chúng tôi thiết kế các hệ thống bằng cách sử dụng lại mã hiện có thay vì xây dựng từ đầu. Điều này là để giảm nỗ lực kỹ thuật, mở rộng quy mô hoạt động và cung cấp nhanh chóng. Phần mềm nguồn mở (OSS) thường được coi là đáng tin cậy nhờ sự giám sát công khai mà nó nhận được. Tuy nhiên, phần mềm luôn thay đổi và các vấn đề phát sinh do lỗi mã hóa hoặc các phụ thuộc được liên kết. Các vấn đề mới cũng được phát hiện thông qua sự phát triển của các kỹ thuật kiểm tra và khai thác.
Giải quyết các lỗ hổng trong chuỗi cung ứng
Các tổ chức cần công cụ và quy trình phù hợp để đảm bảo các thiết kế hiện đại. Các phương pháp truyền thống như quản lý lỗ hổng hoặc đánh giá tại thời điểm không thể theo kịp. Các quy định vẫn có thể cho phép các phương pháp này, điều này tạo ra sự khác biệt giữa “an toàn” và “tuân thủ”. Hầu hết các tổ chức đều mong muốn đạt được một số mức độ trưởng thành của DevOps. “Liên tục” và “tự động hóa” là những đặc điểm chung của các phương pháp DevOps. Các quy trình bảo mật không nên khác nhau. Các nhà lãnh đạo bảo mật phải duy trì sự tập trung trong suốt các giai đoạn xây dựng, phân phối và thời gian chạy như một phần trong chiến lược bảo mật của họ:
- Quét liên tục trong CI/CD: Nhằm mục đích bảo mật các quy trình xây dựng (nghĩa là dịch chuyển sang trái) nhưng thừa nhận rằng bạn sẽ không thể quét tất cả mã và mã lồng nhau. Thành công với các phương pháp dịch chuyển sang trái bị giới hạn bởi hiệu quả của máy quét, mối tương quan giữa đầu ra của máy quét, tự động hóa các quyết định phát hành và hoàn thành máy quét trong các khoảng thời gian phát hành. Công cụ sẽ giúp ưu tiên rủi ro phát hiện. Không phải tất cả các phát hiện đều có thể thực hiện được và các lỗ hổng có thể không khai thác được trong kiến trúc của bạn.
- Quét liên tục trong quá trình giao hàng: Thành phần thỏa hiệp và trôi dạt môi trường xảy ra. Các ứng dụng, cơ sở hạ tầng và khối lượng công việc phải được quét trong khi được phân phối trong trường hợp có thứ gì đó bị xâm phạm trong chuỗi cung ứng kỹ thuật số khi được lấy từ các cơ quan đăng ký hoặc kho lưu trữ và khởi động.
- Quét liên tục trong thời gian chạy: Bảo mật thời gian chạy là điểm khởi đầu của nhiều chương trình bảo mật và giám sát bảo mật là nền tảng cho hầu hết các nỗ lực bảo mật mạng. Tuy nhiên, bạn cần các cơ chế có thể thu thập và tương quan phép đo từ xa trong tất cả các loại môi trường, bao gồm môi trường đám mây, vùng chứa và Kubernetes. Thông tin chi tiết được thu thập trong thời gian chạy sẽ phản hồi lại các giai đoạn xây dựng và phân phối trước đó. Tương tác nhận dạng và dịch vụ
- Ưu tiên các lỗ hổng bị lộ trong thời gian chạy: Tất cả các tổ chức đều gặp khó khăn trong việc có đủ thời gian và nguồn lực để quét và sửa chữa mọi thứ. Ưu tiên dựa trên rủi ro là nền tảng cho công việc của chương trình bảo mật. Tiếp xúc với Internet chỉ là một yếu tố. Một vấn đề khác là mức độ nghiêm trọng của lỗ hổng và các tổ chức thường tập trung vào các vấn đề có mức độ nghiêm trọng cao và nghiêm trọng vì chúng được coi là có tác động lớn nhất. Cách tiếp cận này vẫn có thể lãng phí chu kỳ của các nhóm kỹ thuật và bảo mật vì họ có thể đang theo đuổi các lỗ hổng không bao giờ được tải trong thời gian chạy và không thể khai thác được. Sử dụng thông tin tình báo thời gian chạy để xác minh gói nào thực sự được tải trong các ứng dụng và cơ sở hạ tầng đang chạy để biết rủi ro bảo mật thực sự đối với tổ chức của bạn.
Chúng tôi đã tạo hướng dẫn cụ thể về sản phẩm để hướng dẫn khách hàng vượt qua cơn sốt OpenSSL gần đây.
Lỗ hổng OpenSSL và Log4Shell mới nhất nhắc nhở chúng ta về sự cần thiết phải chuẩn bị sẵn sàng cho an ninh mạng và chiến lược bảo mật hiệu quả. Chúng ta phải nhớ rằng CVE-ID chỉ là những sự cố đã biết trong phần mềm hoặc phần cứng công cộng. Nhiều lỗ hổng không được báo cáo, đặc biệt là các điểm yếu trong mã cây nhà lá vườn hoặc cấu hình sai môi trường. Chiến lược an ninh mạng của bạn phải tính đến công nghệ phân tán và đa dạng của các thiết kế hiện đại. Bạn cần một chương trình quản lý lỗ hổng hiện đại hóa sử dụng thông tin chi tiết về thời gian chạy để ưu tiên công việc khắc phục cho các nhóm kỹ thuật. Bạn cũng cần khả năng phát hiện và phản hồi mối đe dọa tương quan với các tín hiệu giữa các môi trường để tránh bất ngờ.
Lưu ý
.png?width=690&quality=80&format=webply&disable=upscale "Rủi ro chuỗi cung ứng khiến bạn thất vọng? Giữ bình tĩnh và có chiến lược!")
Michael Isbitski, Giám đốc Chiến lược An ninh mạng tại Sysdig, đã nghiên cứu và tư vấn về an ninh mạng trong hơn XNUMX năm. Anh ấy thành thạo về bảo mật đám mây, bảo mật vùng chứa, bảo mật Kubernetes, bảo mật API, kiểm tra bảo mật, bảo mật di động, bảo vệ ứng dụng và phân phối liên tục an toàn. Anh ấy đã hướng dẫn vô số tổ chức trên toàn cầu trong các sáng kiến bảo mật và hỗ trợ hoạt động kinh doanh của họ.
Trước khi có kinh nghiệm nghiên cứu và tư vấn, Mike đã học được nhiều bài học đắt giá về CNTT với hơn 20 năm kinh nghiệm thực hành và lãnh đạo tập trung vào bảo mật ứng dụng, quản lý lỗ hổng, kiến trúc doanh nghiệp và kỹ thuật hệ thống.
