Teknoloji dünyası, yazılım tedarik zinciri güvenliği seçeneklerini değerlendirirken, aciliyet çağrısı



Yazılım tedarik zincirini güvence altına almak, daha iyi yemek yemeye, düzenli egzersiz yapmaya ve daha fazla dinlenmeye benzer hale geldi. Herkes bunun yapılacak doğru şey olduğunu biliyor, ancak infaz genellikle arzulanandan çok şey bırakıyor.

Bir dizi endüstri lideri, yazılım tedarik zinciri sorununa aciliyet notu eklemek için son haftalarda öne çıktı. Bunlara özel sektör, akademi, teknoloji vakıfları ve hükümetteki liderler dahildir. Haber kaynaklarının bir incelemesinde ve SiliconANGLE Media ile ilk elden görüşmelerde yakalanan yorumları, ortak bir temayı yansıtıyor: Bu tehdidi ciddiye almanın ve bu konuda bir şeyler yapmanın zamanı geldi.

“Zayıf halkamın ne olduğunu gerçekten düşünüyorsun, kırılganlığım nedir?” Manoj NairBir Commvault girişimi olan Metallic’in genel müdürü SiliconANGLE ile yaptığı röportajda şunları söyledi: “Bu güvenlik açığı artık yazılım tedarik zinciriniz.”

Uyarı işaretlerini gözden kaçırmak zor. Dünya çapında özel ve kamu sektörü kuruluşları tarafından kullanılan yazılımlara kötü amaçlı kod yerleştiren SolarWinds saldırısı, tedarik zinciri ihlal edildiğinde ortaya çıkabilecek sorunları gösterdi. Daha yakın zamanlarda, Apache Log4j güvenlik açığı, geçen yılın sonlarında Java günlük kitaplığındaki sömürülebilir açıkları açığa çıkardığını bildirdi ve önemli sayıda uygulama ve sunucu hala güvenlik yamalarından yoksun.

Yazılım hattını güvence altına almanın zorluğu, bir endüstriden gelen son anket sonuçlarında görülebilir. Siber güvenlik firması Trellix Inc. Nisan ayında rapor edildi ABD sağlık hizmeti katılımcılarının %74’ü yazılım tedarik zinciri risk yönetimi politikalarını tam olarak uygulamamıştı. Bir dizi endüstri lideri, konuya aciliyet notu eklemek için son haftalarda öne çıktı.

“Bu tehditleri ciddiye almanın zamanı geldi” Richard TracyTelos Corp.’un 35 yıllık siber güvenlik gazisi ve baş güvenlik görevlisi olan , bir yazısında şunları yazdı: yorum yazılım tedarik zincirinin korunması hakkında. “Ne yapmamız gerektiğini ve nasıl yapacağımızı biliyoruz. Başlamamızın zamanı geldi.”

Hükümet SBOM’a doğru ilerliyor

Yazılım tedarik zinciri güvenliği ile başa çıkmak için fikir sıkıntısı yoktur. Kamu ve özel sektördeki düşünce liderleri, koruma için yararlı bir çerçeve sağlayan öneriler geliştirmektedir.

Anahtar araçlardan biri, yazılım malzeme listesi veya SBOMve federal hükümetteki SBOM’un en büyük savunucularından biri Alan Friedman, Siber Güvenlik ve Altyapı Güvenliği Ajansı için kıdemli danışman ve stratejist. SBOM, yazılım oluşturmada kullanılan çeşitli bileşenleri içeren bir kayıt sağlar.

Beyaz Saray bir yıl önce bir açıklama yayınladı. icra emri Bu, SBOM’ların daha geniş kullanımını gerektiriyordu. Yönetim ve Bütçe Ofisi, Mart ayında Yürütme Emrinin altını çizdi. preslenmiş federal ajanslar SBOM’lar da dahil olmak üzere Güvenli Yazılım Geliştirme çerçevesini benimsemek.

Friedman, kim CISA’ya katıldı ABD Ticaret Departmanında görev yaptığı süre boyunca SBOM’un tanımlanmasına yardımcı olduktan sonra geçen yıl, açık sözlü devlet kurumlarının yazılım tedarik zinciri güvenlik uygulamalarını hızla hayata geçirme ihtiyacı hakkında.

Friedman bir konuşmasında, “Federal hükümetin bu bileşenleri takip etmek için bir SBOM’nin sık kullanımına doğru hareket etmesi kritik önem taşıyor” dedi. dış görünüş Nisan ayında sanal bir etkinlikte. “Şeffaflık olmadan, herhangi bir güvenlik sorununu çözmek çok zor olacak.”

CISA, SBOM’ları uygulamaya çalışan tek federal kurum değildir. Gıda ve İlaç İdaresi, Ticaret Bakanlığı’nın yazılım malzeme faturası girişimini destekledi 2018’den beriöncülüğünde Suzanne SchwartzFDA’nın Cihazlar ve Radyolojik Sağlık Merkezi için Stratejik Ortaklıklar ve Teknoloji İnovasyonu Ofisi direktörü.

Nisan ayı başlarında, FDA yayınladı siber güvenlik kılavuzu taslağı tıbbi cihaz üreticileri için toplam ürün yaşam döngüsü yaklaşımıyla. Schwartz, cihaz şirketleri için üçüncü taraf bileşenlerinin ortak bir envanterini sağlamanın kritik olduğuna inandığını belirtti ve en son kılavuzun tıbbi ekipman tedarikçilerini yazılım tedarik zinciri güvenliğini ele almaya zorlayacağını açıkça belirtti.

“Burada dişlerimizin olduğu yer aslında üreticilerin bunu kabul etmesidir. [following this guidance] bir ürünü piyasaya sürmenin en iyi yolu bu olabilir,” dedi Schwartz yakın zamanda röportaj yapmak. “Kılavuzu takip etmemek, ortaya çıkacak soruları ele alma konusunda muhtemelen daha büyük karmaşıklıklar veya potansiyel zorluklar yaratacaktır. Bu, potansiyel olarak gecikmeler anlamına gelir.”

Makine öğrenimi tehditleri

Son zamanlardaki ihlaller ve federal hükümet düzeyinde artan tehdit faaliyeti, akademik dünyadaki güvenlik uzmanlarının bir süredir uyarıda bulunduğu tedarik zinciri konusuna inceleme getirdi. 2019 yılındaki Platform Güvenliği Zirvesi’nde, Mark ShermanCarnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü’ndeki CERT Bölümünde Siber Güvenlik Temelleri grubunun teknik direktörü olan , bir uzun sunum yazılım tedarik zincirinde artan riskler hakkında.

Sherman, açık kaynaklı yazılımların doğasında bulunan maruz kalma konusundaki endişelere dikkat çekti ve sürece SBOM’ler ve diğer kritik araçlar eklemek için girişimleri onayladı. Geçen yıl, Carnegie Mellon akademisyeni, makine öğrenimi tedarik zincirinin sınırlı kötü eğitim verileriyle. Endişeleri, özellikle derin sahte videolar için teknolojideki artan ilerlemeleri ve kötü niyetli aktörlerin uygulamaları ve eğitim setlerini hain amaçlarla birlikte seçme becerisini içeriyor.

Sherman, “Henüz çok fazla zararı yok, ancak teknoloji olgunlaştıkça bu teknolojinin başka tür saldırılar için nasıl kullanılabileceğini tasavvur edebilirsiniz” dedi. sunum Ai4 Siber Güvenlik 2021 Zirvesi’nde.

Sherman’ın araştırmasına ek olarak, çeşitli eğitim kurumlarından temsilciler, Cloud Native Computing Foundation’ın himayesinde ilgi çekici bir tedarik zinciri izleme çözümü geliştirdi. Mart ayında, CNCF ilan edildi kabul edeceğini devam eden proje kuluçka girişimi olarak. Latince “bütün veya bütün” anlamına gelen ifadeden türetilen In-toto, yazılım tedarik zincirinin bütünlüğünü kriptografik olarak sağlamak için bir çerçevedir.

in-toto’nun arkasındaki akademisyenler grubu arasında Justin CapposNew York Üniversitesi Bilgisayar Bilimi ve Mühendisliği Bölümü’nde profesör ve Santiago Torres-Arias, Purdue Üniversitesi’nde elektrik ve bilgisayar mühendisliği yardımcı doçent. Cappos, kimdi? adlandırılmış Popular Science tarafından 40 yaşın altındaki “Parlak On” bilim adamından biri olarak, in-toto’nun SolarWinds tedarik zinciri ihlalinin neden olduğu hasarı büyük ölçüde en aza indireceğine inanıyor.

“Bunu daha da zorlaştırabilirdik [SolarWinds] Cappos, 2021’de yaptığı açıklamada, röportaj yapmak. “In-to kesinlikle buna karşı koruma sağlayabilir. Onu yakalamak çok mümkün.”

In-toto, herhangi bir yazılım parçasının kaynağının daha iyi anlaşılmasını sağlamak için tedarik zinciri güvenliğinin kökenine inmeye yönelik ortak bir çabadır. Bu yaklaşım, ABD ürün pazarı için zaten uygulandı. FDA DNA parmak izi kullanır E. coli salgınları için çiftlik kaynaklı romaine’yi izlemek. Bu neden yazılım için de yapılamaz?

Torres-Arias, bir Kubernetes sırasında “Yazılım tedarik zincirini güvence altına almak ilginç bir zorluk, çünkü işlerin nasıl yapıldığını hala tam olarak anlamadığımız için” dedi. dijital ses dosyası Google’dan. “Yazılım yapma şeklimizdeki temel sınırlama, güven bilgilerini iletmek veya tükettiğimiz şeyler hakkında güven varsayımları yapmak için etkili yollara sahip olmamamızdır. Her şey eterik alemde.”

Yeni yaklaşımlar

Eterden somuta yolculuk, kurumsal yazılımlar için daha fazla güvenlik ve güvenlik sağlamak için yeni araçlar ve teknikler gerektirecektir. Bu alandaki iki ek çözüm şunları içerir: doğrulanmış tekrarlanabilir yapılar ve bir Açık Kaynak Program Ofisi veya OSPO.

David WheelerLinux Vakfı’nda açık kaynak tedarik zinciri güvenliği direktörü olan , savunucu doğrulanmış tekrarlanabilir yapılar için. SolarWinds’in Orion tescilli yazılımı, inşa sistemi kurulduğunda bir tehdit haline geldi. alt üst oldu. Doğrulanmış yapıların amacı bu tür saldırılara karşı koymaktır.

“Buradaki fikir, aynı kaynak koddan, aynı araçlardan ve benzerlerinden yeniden oluşturabiliyorsanız ve birden çok farklı bağımsız çabayla tamamen aynı yürütülebilir paketi üretebiliyorsanız, tüm bu oluşturma süreçlerinin altüst olması çok daha az olasıdır, Wheeler bir sunum Şubat ayında InfoQ Live’da. “Bunu gerçeğe dönüştürmek için çok ilerleme kaydedildi.”

OSPO, bir işletmenin nasıl özgür yazılım oluşturduğunu veya buna nasıl katkıda bulunduğunu denetlemek için tasarlanmıştır. Bir organize ederek açık kaynak uzmanları bürosu bir kuruluş içinde grup, görünürlük sağlayabilir ve sonuç olarak güvenlik açığını sınırlarken açık kaynak araçlarının kullanımını yönetebilir.

En son geliştirmede, Red Hat Inc. yazılım konfigürasyonlarını kod olarak eksiksiz yığınlar halinde oluşturmak ve doğrulamak için bir yazılım tedarik zinciri güvenlik modelinin ön izlemesini yaptı. bu duyuru Mayıs ortasındaki şirketin Zirve etkinliği sırasında yapıldı ve Kubernetes tarafından OpenShift Pipelines ve GitOps aracılığıyla yönetilecek. Red Hat, Ansible Otomasyon Platformu güncellemelerinin bir parçası olarak bir içerik imzalama teknolojisi özelliği de duyurdu.

“Otomasyon çok önemli çünkü her şey çok hızlı ilerliyor” Kirsten Yeni gelenRed Hat Bulut ve DevOps stratejisi direktörü, Red Hat Zirvesi’nde bir medya brifingi sırasında söyledi. “Tedarik zincirini nasıl otomatikleştirebileceğinizi düşünmeniz gerekiyor.”

Yazılım tedarik zincirinin başka bir önemli ihlali tekrar olabilir mi? Siber güvenlik alanındaki düşünce liderleri, tehlikenin her zaman mevcut olduğunu açıkça ortaya koyuyor. Tedarik zinciri saldırılarından gelecek zararlar, her bir kuruluşun hangi yazılım araçlarının kullanıldığını ve nereden geldiklerini nasıl anlamaya çalıştığına bağlı olacaktır. Bu, bir değerlendirme sürecini ve nihayetinde bugün ele alınan koruma araçlarının birçoğunun benimsenmesini gerektirecektir.

Wheeler, “Yazılım, dağıtıldığı sırada yazılımdaki ve aynı zamanda tedarik zincirindeki – geliştiricinin parmaklarından ve kafasından, dağıtıldığı yere kadar bir yerde bu zincirdeki – güvenlik açıkları yoluyla saldırıya uğruyor” dedi. Şubat sunumu. “Güvenliğe önem veriyorsanız, gereksinimlerinizi karşılayıp karşılamadığına karar vermek için yazılımı değerlendirirsiniz.”

Resim: Getty Images

Uzmanlardan oluşan Cube Club ve Cube Event Topluluğumuza katılarak misyonumuza desteğinizi gösterin. Amazon Web Servisleri ve Amazon.com CEO’su Andy Jassy, ​​Dell Technologies’in kurucusu ve CEO’su Michael Dell, Intel CEO’su Pat Gelsinger ve daha birçok aydınlatıcı ve uzmanı içeren topluluğa katılın.


Kaynak : https://siliconangle.com/2022/06/10/thought-leaders-sound-call-for-urgency-as-tech-world-weighs-options-for-software-supply-chain-security-softwaresupplychain/

Yorum yapın