通过“设计安全”锁定软件供应链

由柏拉图重新发布

关注： 0

通过“设计安全”PlatoBlockchain 数据智能锁定软件供应链。垂直搜索。人工智能。

在最基本的层面上优先考虑安全性的软件意味着在设计系统时将客户安全作为关键目标，而不是附加功能。随着攻击者开始更频繁地针对供应链，这一概念（设计安全）变得越来越重要。

NetRise 首席执行官托马斯·佩斯 (Thomas Pace) 表示：“他们知道，通过成功利用供应链，他们可以产生更大的影响。”他说，由于 EDR、防火墙和垃圾邮件过滤器等传统安全解决方案已经能够很好地防止正面攻击，因此攻击者必须在链条的更上游寻找漏洞。

粘贴在一起的系统就提供了这种开口。 ForAllSecure 首席执行官 David Brumley 表示：“当企业和供应商试图在事后‘加强’安全时，网络攻击就会变得更容易。” “这就像在你的车里装了一个售后音响——它只是不能完全正常工作。”

为了增强全球软件安全性，网络安全和基础设施安全局 (CISA) 提出了一项倡议，旨在通过在软件开发生命周期中采用“设计安全”原则来彻底改变开发实践。它反映了向主动安全措施的关键转变。

索取资料重点关注解决反复出现的软件漏洞、强化运营技术以及评估安全实践对成本的影响。征求意见截止日期为 20 年 2024 月 XNUMX 日，该征求意见还强调了技术制造商和消费者在培育技术本质安全的未来方面的集体责任。

“设计上的安全意味着安全是从头开始构建软件的一部分，”Brumley 解释道。 “这意味着它对攻击的抵抗能力要强得多。”

基础安全级别

Qualys 威胁研究部门的网络威胁总监 Ken Dunham 解释说，在组织迁移到或开始使用云之前，安全设计始于运营中的架构和风险管理原则。

“这是现代复杂混合基础设施的关键要素，”他说。 “在共同责任的世界中，组织必须决定哪些风险可以接受与第三方分担，哪些风险可能更高，而不是由内部完全拥有和管理的风险。”

他指出，软件制造的生命周期越来越复杂，许多利益相关者都必须保持安全以降低风险。 Dunham 问道：“关心功能和用户体验的开发人员是否擅长安全编码原则、现代攻击、安全对策和 SecOps？”

组织的安全期望给入职团队带来了压力，要求他们在业务架构中正确部署、配置和监控软件。 “你们的事件响应和网络威胁情报服务有多成熟？”他问。 “在混合云世界中，您可能会以极快的速度遭受复杂的入侵攻击，您是否信任他们？”

“一旦找到了合适的人，整个流程就很好理解了，”布鲁姆利表示同意。 “您可以通过深度防御来构建产品，确保您的依赖项和第三方软件是最新的，并使用模糊测试等现代技术来查找未知漏洞。”

对于 Brumley 来说，默认安全意味着安全设计符合人们使用软件的方式。 “有些设计原则涵盖了多种原则——就像建造摩天大楼时一样，你需要考虑从结构支撑到空调的一切，”他解释道。

IT 安全需要转变范式

邓纳姆指出，2023 年是充满了例子哪里比赛条件存在了零天——漏洞被不良行为者逆转并武器化的速度比组织可以修补它们.

“这么长时间以来，仍有一些组织在努力修复 Log4J 漏洞，”他指出。

他表示，组织必须确定其内部和外部的攻击面，并相应地确定资产和风险管理的优先级，以便在与漏洞相关的利用和攻击风险增加时脱颖而出。

从 Pace 的角度来看，IT 安全行业必须在如何考虑风险以及如何最好地确定风险优先级方面经历范式转变，而这只有在供应链可见性的情况下才能实现。他分享了一个例子，其中一个“非常大的组织”在尽职尽责地更新该系统时不知道其安全系统有哪些依赖关系。 “更新后，通过漏洞扫描程序进行了扫描，确定最近的漏洞 Apache Struts 严重漏洞当时就在场，”他说。 “现在这个组织给他们的组织带来了严重的风险。”