Три шага к защите цепочек поставки программного обеспечения

Компьютерный код - это основа всех технологий, от смартфонов до роботов и сетей, которые их соединяют. В современном цифровом мире это также делает код частью основы для многих, если не для большинства, предприятий и услуг.

Хакеры признают этот факт и используют его. Недавний нашумевший пример - атака на FireEye с использованием нескольких троянских обновлений программного обеспечения SolarWinds. Преследуя поставщиков программного обеспечения, хакеры смогли установить лазейки в компании, которые, в свою очередь, позволили им достичь намеченных целей:правительственные учреждения, которые получали услуги от этих компаний.

Этот метод атаки также увеличивает доверие. Компании, правительства и другие клиенты полагают, что установка обновлений программного обеспечения или микропрограмм от поставщика безопасна. Некоторые будут доверять, но проверять; они проверяют веб-сайт поставщика на предмет хеш-значения обновления, а затем сравнивают его с загруженным. Если они совпадают, они предполагают, что в нем нет уязвимостей.

Это доверие создает возможности для злоумышленников, которые могут манипулировать исходным кодом в процессе разработки. В результате пользователи невольно загружают эксплойт, который часто остается незаметным в течение недель или месяцев, распространяясь по всей организации, чтобы в конечном итоге атаковать список партнеров, поставщиков или клиентов. Как организации могут защитить себя?

Не допускайте плохих актеров. Программа управления рисками цепочки поставок (SCRM) имеет решающее значение для снижения угроз и уязвимостей, связанных с внедрением и интеграцией сторонних продуктов и услуг. Он охватывает людей, процессы и технологии и охватывает несколько отделов, включая безопасность, ИТ, человеческие ресурсы (HR), закупки и юриспруденцию. Особенно важно включить программу SCRM компании в жизненный цикл разработки программного обеспечения (SDLC). В процессе программа SCRM создает культуру безопасности, в которой все являются участниками и ориентированы на одну и ту же цель.

В рамках SDLC программа SCRM ориентирована на людей, которым необходимо прикоснуться к коду и связанным ресурсам, таким как наборы инструментов. Понятно, что этих сотрудников следует тщательно проверять в процессе приема на работу, включая проверку биографических данных для выявления любых потенциальных связей с преступной деятельностью и / или национальными государствами.

Компании, использующие кадровые агентства, должны убедиться, что фирма понимает их уникальные и специфические требования. Например, компании должны знать, кто их кадровые фирмы и есть ли у них представительства в странах, которые в прошлом имели киберпреступность, спонсируемую государством. Когда компании имеют дело с частной и конфиденциальной информацией, они не хотят, чтобы удаленные офисы кадровых компаний снабжали их резюме и кандидатами, которые являются потенциальными инсайдерскими предприятиями. Злоумышленники из числа национальных государств все больше сосредотачиваются на том, чтобы привлечь своих людей в целевые организации. У них есть финансовые ресурсы для обучения людей, демонстрирующих желанные навыки программирования и другие востребованные навыки, которые поднимают их резюме на вершину списка. Это то, о чем должны знать отделы кадров и менеджеры по найму.

Возможно, что некоторые плохие актеры не пройдут даже через самый тщательный процесс отбора и найма. Вот почему так важно отслеживать деятельность сотрудников с помощью четко определенной программы инсайдерских угроз, чтобы выявлять необычное и подозрительное поведение, такое как несанкционированное повышение привилегий и доступ к системам, программам и приложениям.

Программа SCRM также должна идентифицировать людей, которым необходимо прикоснуться к коду и связанным ресурсам, таким как наборы инструментов, а затем реализовать меры безопасности, чтобы все это держалось подальше от всех остальных. После того, как код лицензирован, он должен быть единственным источником для авторизованных разработчиков, то есть они не могут вводить дополнительный код из внешних источников. По сути, после того, как код уже оценен и контролируется, компании не хотят, чтобы разработчики пытались получить код из новых источников, которые еще не были оценены на предмет рисков безопасности. Эта передовая практика снижает уязвимости, такие как лазейки, скрытые в неавторизованном коде, который невольно используется авторизованными разработчиками, или недокументированные порталы, скрытые неавторизованными пользователями.

Внимательно исследуйте и контролируйте. Жестко контролируемая технология обеспечивает еще один уровень защиты. Например, даже когда сотрудники переходят в организацию, подумайте о том, чтобы предоставить им новый ноутбук с изображением, созданным специально для их новой роли и отдела. Также отключите любой ранее полученный доступ, который больше не требуется. Это помогает гарантировать, что данные и доступ останутся привилегированными.

ИТ-отдел также должен обновлять образ новых компьютеров, прежде чем они будут переданы разработчикам. Использование стандартного образа, предоставленного поставщиком, может создать лазейки, если операционная система и любое предустановленное вредоносное ПО имеют скомпрометированный код. Вместо этого создайте для этих устройств собственный защищенный образ.

Все новые типы оборудования и программного обеспечения должны быть изначально изолированы на некоторое время. Это дает ИТ-отделу время на то, чтобы тщательно изучить их поведение, например, совершать незапрашиваемые вызовы в Интернет, чтобы попытаться получить данные. Это также создает основу для выявления внезапных изменений в поведении спустя месяцы или годы, которые могут указывать на то, что они были скомпрометированы.

Создайте культуру безопасности. Это необходимо учитывать, и это подчеркивает, почему SCRM должен быть межорганизационным усилием. Например, юридический отдел должен обеспечить, чтобы в контрактах с поставщиками и партнерами содержались формулировки, касающиеся аудита, чтобы гарантировать соблюдение всех требований. Тем временем отдел кадров может помочь разработать и обеспечить соблюдение правил отбора кандидатов.

Вовлеченность и лидерство высшего руководства являются ключевыми для достижения такого рода командных усилий и обеспечения наличия ресурсов для реализации программы SCRM. Это создает культуру безопасности, которая охватывает всю организацию и превращает безопасность из второстепенного в фундаментальную часть процесса разработки.

Майкл Иванофф, директор по информационной безопасности iconectiv.