توسعه دهندگان: ابتدا این ۱۰ کاهش را برای جلوگیری از حملات زنجیره تأمین اعمال کنید

گزارش می گوید ، چارچوب های ریسک توسعه امنیت سایبری فعلی همه تاکتیک هایی را که برای سازش Solarwinds ، Log4J یا XZ استفاده می شود ، پوشش نمی دهد ، می گوید ، گزارش می دهد ، که یک کیت استارت “کارهای مهم را ارائه می دهد.

رهبران DevOps امیدوارند که یک چارچوب خطر سایبری را پیدا کنند که مانع از تجربه کارشان انواع سازش هایی شود که منجر به حملات زنجیره تأمین می شود ، براساس یک مقاله تحقیقاتی جدید ، کار سختی خواهد داشت.

در مقاله ای که به سایت arxiv arxiv دانشگاه کرنل ارسال شده است برای دستنوشته های دانشگاهی ، شش محقق – چهار نفر از دانشگاه ایالتی کارولینای شمالی ، یکی از یاهو و دیگری بین مواضع – می توانند تیم های برتر را اجرا کنند که باید کارآیی را انجام دهند برنامه هایی که برای حمله به کاربران استفاده می شوند.

آنها این کار را با نقشه برداری از ۱۱۴ تکنیک گزارش شده مورد استفاده در به خطر انداختن سه برنامه حیاتی ، SolarWinds Orion ، Log4J و Xz ، در برابر ۷۳ کار توصیه شده ذکر شده در ۱۰ چارچوب امنیتی نرم افزار ، از جمله چارچوب توسعه نرم افزار امن NIST ایالات متحده انجام دادند.

با این حال ، محققان افزودند ، سه عامل کاهش در هر ۱۰ چارچوب وجود ندارد. این نشان می دهد که هیچ یک از چارچوب ها تمام سوراخ های بالقوه را در یک برنامه بسته نمی کنند. سه عنصر گمشده عبارتند از:

• اطمینان از پایدار بودن نرم افزار منبع باز ؛
• داشتن ابزارهای اسکن محیط زیست ؛
• و اطمینان حاصل کنید که شرکای برنامه آسیب پذیری های خود را گزارش می دهند.

یوهانس اولریش ، معاون تحقیقات در موسسه SANS موافقت کرد.

وی گفت: “هیچکدام از [چارچوبها] کامل نیستند ،” و این خوب است. زنجیره تأمین نرم افزار را نمی توان در انزوا تضمین کرد. رهبران DevOps باید با بقیه شرکت صحبت کنند تا ببینند شکاف ها در کجا هستند که باید پر شوند. این چارچوب ها نقطه شروع برای آن بحث هستند.

“در مورد سه شکاف ، کمی به دامنه تلاش امنیتی زنجیره تأمین نرم افزار شما بستگی دارد. به عنوان مثال ، آنها [محققان]” نرم افزار منبع باز “را یک تأمین کننده در نظر نمی گیرند ، زیرا هیچ رابطه قراردادی وجود ندارد. (که فکر می کنم با این کنترل کجا می روند). ”

ابزارهای اسکن محیط زیست ، یکی دیگر از کاهش های مفقود شده ، اغلب بخشی از مدیریت آسیب پذیری است. اما ، او گفت ، گاهی اوقات فعالیت های دیگر می توانند شکاف را پر کنند. به عنوان مثال ، “مشارکت پاسخ” اغلب بخشی از چارچوب پاسخ به حادثه است ، و همکاری اغلب بخشی از اطلاعات تهدید است.

“اگر استفاده از آنها را فراتر از کاری که در ابتدا برای انجام آن طراحی شده اند ، می توانید شکاف هایی را در چارچوب ها پیدا کنید.” و دوباره ، آنها باید به طور مداوم به روز شوند. ”

بدترین حملات زنجیره تأمین

مقاله ، بستن زنجیره: چگونه می توان خطر ابتلا به Solarwinds ، Log4J یا Xz را کاهش داد ، با سه مورد از بدترین سازش های زنجیره تأمین در سالهای اخیر سروکار دارد.

• بادهای خورشیدی : همانطور که گزارش دادیم ، microsoft inshning inshienge ound ound ound anne،۰۰۰ skelled on on to al on the skelle onle،۰۰۰ ansert. کد مخرب که Sunburst را به روزرسانی های نرم افزار برای مجموعه مدیریت شبکه Orion SolarWinds لقب داده است. Solarwinds گفت حدود ۱۸،۰۰۰ شرکت به روزرسانی ها را بارگیری کردند ، و از آنها ، حدود ۱۰۰ نفر به خطر افتادند ؛
• log4j : مهاجمان از نقص Apsoge (cve-2021-444228) استفاده کردند) ابزار ورود به سیستم این میزان از ۱۰ از ۱۰ در مقیاس رتبه بندی آسیب پذیری CVSS رتبه بندی شده است و می تواند منجر به اجرای کد از راه دور (RCE) در سرورهای اساسی شود. به دلیل همه گیر بودن در طیف گسترده ای از برنامه ها ، مشخص نیست که تعداد شبکه های فناوری اطلاعات به خطر افتاده اند ؛
• XZ UTILS یک ابزار فشرده سازی داده ، بخشی از توزیع عمده لینوکس است. نصب یک پشتی قبل از اینکه بتواند آسیب گسترده ای وارد کند ،

  محققان می خواستند با نگاهی به بازیگران تهدید تاکتیک مورد استفاده در این سه هک ، کلیه کارهای پیشنهادی را در ۱۰ چارچوب توسعه نرم افزار امنیتی اولویت بندی کنند ، و این نشان می دهد که وظایف چارچوب فعلی که می تواند این حملات را کاهش دهد. این کار همچنین شکاف هایی را در چارچوب هایی نشان می دهد که کد را در معرض حملات قرار می دهد.

  آنها ۱۰۶ گزارش اطلاعات تهدید سایبری (CTI) از تکنیک های مورد استفاده در این سه حمله را مورد تجزیه و تحلیل قرار دادند ، سپس آنها را به ۷۳ وظیفه بهترین تمرین در چارچوب هایی که توسعه دهندگان باید انجام دهند ، نقشه برداری کردند. سرانجام ، آنها وظایف اولویت دار را رتبه بندی کردند که به بهترین وجه تکنیک های حمله را کاهش می دهد.

  در حالی که ۱۱۴ تکنیک حمله منحصر به فرد در سه هک وجود داشت ، ۱۲ نفر از آنها رایج بود ، از جمله بهره برداری از روابط قابل اعتماد ، داده های مبهم و به خطر انداختن زیرساخت ها. آنها همچنین دریافتند که ۲۷ مورد از ۷۳ روش پیشنهادی می توانند سه حمله را کاهش دهند.

  با این حال ، آنها اضافه کردند ، سه مورد از ۲۷ کار کاهش توصیه شده در هیچ یک از چارچوب ها گنجانده نشده است. آنها شامل استفاده از نرم افزار منبع باز پایدار و استفاده از ابزارهای اسکن محیط زیست بودند.

  “بنابراین ، محصولات نرم افزاری همچنان در برابر حملات زنجیره تأمین نرم افزار آسیب پذیر خواهند بود حتی اگر سازمان ها تمام کارهای توصیه شده را اتخاذ کنند ،” آنها نتیجه گرفتند.

  کیت استارت کاهش

  کاری که این کار به محققان اجازه می دهد انجام دهد این است که “کیت استارت” از ۱۰ تاکتیک های دفاعی که باید توسعه دهندگان را بر اساس بالاترین نمرات کاهش در تحقیقات خود اتخاذ کنند ، ایجاد کنند. گرفته شده از چارچوب مدیریت ریسک زنجیره تأمین نرم افزار پیشرو (p-sscrm) ، ۱۰ مورد:

  هستند

  • کنترل دسترسی مبتنی بر نقش
  • نظارت مداوم سیستم
  • نظارت و کنترل ارتباطات در مرز خارجی سیستم و در مرزهای داخلی کلیدی
  • نظارت بر تغییرات در تنظیمات پیکربندی
  • امکان تأیید اعتبار برای کارمندان و پیمانکاران
  • به روزرسانی وابستگی های آسیب پذیر هنگامی که یک نسخه ثابت در دسترس است
  • ذکر بردارهای تهدید احتمالی از طریق مدل سازی تهدید و تجزیه و تحلیل سطح حمله
  • محدود کردن جریان اطلاعات در مرزهای اعتماد به شرکت کنندگان در زنجیره تأمین
  • محافظت از اطلاعات در استراحت
  • رفع آسیب پذیری ها ، اولویت بندی مبتنی بر خطر.

  محققان افزودند: این ۱۰ کاهش در مورد امنیت نرم افزار گسترده تر و نه خاص بودن در امنیت زنجیره تأمین نرم افزار ، اعمال می شود. آنها تأکید کردند: “قبل از کاهش حملات زنجیره تأمین نرم افزار ، باید به وظایف امنیتی نرم افزار متداول رسیدگی شود.”

  در مصاحبه ، سیونا هامر ، نویسنده گزارش ، اذعان داشت که همه ۱۰ چارچوب مورد مطالعه دارای شکاف هایی در کاهش هستند که باید در سه برنامه هک شده اعمال می شد. وی گفت: “هیچ یک از چارچوب ها قرار نیست دیدگاه کاملی از امنیت ارائه دهند.” “همه یک مفهوم متفاوت دارند ، مانند یکی بیشتر در محیط های ساخت متمرکز است.”

  “کیت استارت” از کاهش لیست لیست کارهای امنیتی است که توسعه دهندگان باید اولویت بندی کنند.