محافظت در برابر حملات زنجیره تامین نرم افزار

نرم افزار منبع باز همه جا حاضر است و حملات زنجیره تامین در حال افزایش است. شرکت ها باید این سه استراتژی را برای ایمن سازی نرم افزار خود در نظر بگیرند.

MOVEit و ۳CX آسیب‌پذیری‌ها یادآور خطر حملات زنجیره تأمین نرم‌افزاری امروز هستند.

بازیگران تهدید از آسیب‌پذیری‌ها برای نفوذ به شبکه ارائه‌دهنده نرم‌افزار و اصلاح عملکرد اصلی نرم‌افزار با کدهای مخرب سوء استفاده می‌کنند. هنگامی که نرم‌افزار آلوده به مشتریان منتقل می‌شود، معمولاً از طریق به‌روزرسانی‌های نرم‌افزار یا نصب‌کننده‌های برنامه، این نفوذ درها را به روی کارهای غیرمجاز، مانند استخراج اطلاعات حساس یا ربودن داده‌ها باز می‌کند.

ما در میان افزایش سریع حملات زنجیره تامین نرم افزار هستیم. با توجه به وضعیت زنجیره تامین نرم افزار. تعداد کمی انتظار دارند که این رشد به زودی معکوس شود.

تأثیر گسترده و پایدار

شدت نقض‌های زنجیره تامین نرم‌افزار تا حدی با نحوه قرار گرفتن آنها در تقاطع دو عنصر اصلی چشم‌انداز تهدید سایبری امروزی توضیح داده می‌شود. حملات پیچیده‌تر و جاه‌طلبانه‌تر از قبل هستند، و دیجیتالی‌سازی بیشتر، دنیای مدرن بی‌سابقه‌ای به‌هم‌پیوسته ایجاد کرده است که با شیوع همه‌گیری و فرصت‌های ارائه شده توسط فناوری‌های نوظهور تسریع شده است.

آیا SolarWinds در سال ۲۰۱۹< /a> یا کاسیا و Log4j در سال ۲۰۲۱، همگی گستردگی چنین حملاتی و آسیبی که می توانند به آنها وارد کنند را نشان می دهد. ایجاد کند. به گفته SolarWinds، تا ۱۸۰۰۰ مشتری ممکن است این بدافزار را دانلود کرده باشند. حمله باج افزار Kaseya ۱۵۰۰ شرکت را تحت تأثیر قرار داد و یک ۵۰ میلیون دلار باج.

با Log4j، تقریباً ۱.۳ میلیون تلاش برای سوء استفاده از آسیب پذیری در بیش از ۴۴ درصد از شبکه های شرکتی در سراسر جهان در هفت روز اول. با این حال، شکاف های زنجیره تامین می توانند دم بسیار بلندی نیز داشته باشند. CISA Log4Shell را به‌عنوان بومی طبقه‌بندی کرد و نمونه‌های آسیب‌پذیر برای سال‌های آینده، شاید یک دهه یا بیشتر، باقی خواهند ماند.

تخفیف حملات زنجیره تامین نرم‌افزار دشوار است و هزینه بالایی دارد. گزارش هزینه نقض داده در سال ۲۰۲۳ IBM نشان داد که میانگین هزینه یک زنجیره تامین نرم افزار به خطر می افتد ۴.۶۳ میلیون دلار بود که ۸.۳ درصد بیشتر از میانگین هزینه نقض داده به دلایل دیگر است. شناسایی و مهار مخاطرات زنجیره تامین به ۲۹۴ روز، ۸.۹٪ روز بیشتر در مقایسه با سایر انواع نقض های امنیتی نیاز دارد.

تکامل زنجیره های تامین نرم افزار

همانطور که می دانیم، کد بلوک اساسی برای برنامه های نرم افزاری است. اما در حالی که بخش قابل توجهی از این کد به طور کلی از ابتدا ۲۰ سال پیش نوشته شده بود، چشم انداز دیجیتال امروز با پذیرش گسترده نرم افزار منبع باز، افزایش همکاری جامعه نرم افزاری، و تکامل فناوری هایی مانند مشخص می شود. هوش مصنوعی مولد.

در این محیط، تیم‌های توسعه می‌توانند از کدهایی استفاده کنند که از طیف گسترده‌ای از منابع مختلف – از کتابخانه‌های منبع باز در GitHub گرفته تا کدهای تولید شده توسط دستیاران کدنویسی هوش مصنوعی مانند GitHub Copilot استفاده کنند. a>، کدی که قبلاً برای سایر برنامه‌های نرم‌افزاری در شرکت و نرم‌افزارهای شخص ثالث، از جمله پایگاه‌های داده و چارچوب‌های گزارش‌گیری توسعه داده شده است.

این “منابع” چیزی را تشکیل می دهند که معمولاً به عنوان زنجیره تامین نرم افزار شناخته می شود. هر منبع ذاتاً خطرات امنیتی جدیدی را در زنجیره تأمین نرم افزار معرفی می کند. اساساً، یک آسیب‌پذیری امنیتی در هر منبعی می‌تواند سایر محصولات نرم‌افزاری متصل را که با آن‌ها متصل هستند، آشکار کند.

ایمن سازی زنجیره تامین نرم افزار

یک پیوند ضعیف تنها چیزی است که برای ایجاد دروازه ای برای عوامل تهدید برای دور زدن محیط های قوی و امن لازم است. بر این اساس، کلید هر زنجیره تامین نرم‌افزار ایمن، توانایی شناسایی و اصلاح سریع هر آسیب‌پذیری قبل از سوء استفاده توسط عوامل تهدید است.

شرکت ها باید سه استراتژی را برای ایجاد یک زنجیره تامین نرم افزار ایمن در نظر بگیرند.

در ابتدا، شرکت‌ها به یک صورتحساب نرم‌افزاری مواد یا SBOM نیاز دارند. اگرچه SBOM ها برای بیش از یک دهه برای جامعه منبع باز آشنا هستند، اخیراً در پی افزایش خطرات سایبری و مجموعه ای از قوانین ایالات متحده اهمیت تازه ای پیدا کرده اند.

در اصل، یک SBOM فهرستی از تمام اجزای نرم افزار، مانند کتابخانه ها، چارچوب ها، کدهای تولید شده است که در زنجیره تامین نرم افزار آنها استفاده می شود. داشتن SBOM به شرکت اجازه می دهد تا درک جامعی از ترکیب نرم افزار و وابستگی های خود ایجاد کند تا بتواند به سرعت و با دقت آسیب پذیری های احتمالی را برطرف کند.

ثانیاً، هر مؤلفه نرم‌افزاری که بخشی از SBOM است باید برای آسیب‌پذیری‌های امنیت سایبری که به صورت عمومی افشا شده اسکن شود، و هر گونه آسیب پذیری کشف شده باید فورا رفع شود. اسکن آسیب‌پذیری‌ها را در مراحل اولیه چرخه عمر توسعه نرم‌افزار آغاز کنید تا مشکلات را قبل از اینکه رفع مشکل‌تر و پرهزینه‌تر شوند، شناسایی کنید. اسکن باید در طول کل خط لوله CI/CD، از ساخت تا آزمایش تا استقرار و زمان اجرا انجام شود. علاوه بر این، اسکن نمی تواند یک فعالیت یکباره باشد. بلکه باید به طور مداوم در محیط‌های نرم‌افزاری انجام شود، زیرا تشخیص آسیب‌پذیری‌های جدید بعداً غیرمعمول نیست.

ثالثاً، سازمان‌ها باید به صراحت سیاست‌های اعتماد صفر برای دریافت آنچه بخش‌های مختلف بارهای کاری برنامه باید مجاز به انجام یا دسترسی باشند. همانطور که MOVEit و Log4j نشان دادند، روز صفر حملات خطر بسیار شدیدی را ایجاد می‌کنند و از آسیب‌پذیری‌های ناشناخته‌ای که هنوز وصله‌ای برای آن‌ها وجود ندارد، سوء استفاده می‌کنند. چنین حملاتی به عوامل تهدید دسترسی آسان به منابع محدود شده مانند فایل ها، فرآیندها و شبکه ها را می دهد. اصول اعتماد صفر برای کاهش چنین حملاتی بسیار مهم است. اساساً، اعتماد صفر یک ریزبخش بندی تکنیک، استفاده از سیاست‌های امنیتی برای جلوگیری از دسترسی غیرمجاز به منابع محدود شده توسط کد مخربی که توسط عوامل تهدید تزریق می‌شود.

با پیش‌بینی گارتنر که ۴۵٪ از سازمان‌ها تا سال ۲۰۲۵ حملاتی را به زنجیره‌های تامین نرم‌افزار خود تجربه خواهند کرد، شرکت‌ها باید گام‌های فوری برای درک ترکیب نرم‌افزار خود بردارند، این کد را به شدت بررسی کنند و روش‌شناسی اعتماد صفر را در اکوسیستم خود اعمال کنند. کسانی که از اتخاذ استراتژی‌های صحیح برای مستندسازی زنجیره تامین و رسیدگی به آسیب‌پذیری‌های شناخته شده و ناشناخته شکست می‌خورند، هم در معرض زیان مالی قابل‌توجه و هم لطمه‌ای ماندگار به شهرت خود هستند.

ویشال غاریوالا مدیر ارشد فناوری و مدیر ارشد آسیا اقیانوسیه، در SUSE. ویشال، کهنه کار IBM و Red Hat، بیش از دو دهه تجربه در زمینه امنیت سازمانی دارد. او استراتژی و رشد SUSE را در منطقه APAC رهبری می کند.

—

New Tech Forum مکانی را برای رهبران فناوری – از جمله فروشندگان و سایر مشارکت‌کنندگان خارجی – فراهم می‌کند تا فناوری سازمانی نوظهور را در عمق و وسعت بی‌سابقه بررسی و بحث کنند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه پرس و جوها را به doug_dineley@foundryco.com.