Защита путей к данным организации

По всему миру компании любого размера и из всех отраслей в той или иной форме подвергаются ИТ. трансформация. Фактически, компании ускорили оцифровку своих внутренних и внешних деловых операций на три-четыре года после того, как пандемия перевернула мир. Хотя COVID-19 можно считать основным ускорителем этих изменений, руководители организаций также признают стратегическую важность внедрения технологий в свой бизнес.

Для многих трансформация будет вызвана внедрением стороннего коммерческого готового программного обеспечения, развернутого внутри компании, приложений «программное обеспечение как услуга» (SaaS), в которых хранятся конфиденциальные данные, и сторонних библиотек с открытым исходным кодом. которые используются для создания программного обеспечения. Хотя внедрение современных технологий является признаком необходимого прогресса, предприятиям не следует упускать из виду потенциальные риски безопасности, связанные со всеми этими нововведениями. Преобладание цепочек поставок программного обеспечения представит ничего не подозревающие компании новым и сложным образом, раздвинув границы традиционных средств защиты.

Уязвимые цепочки поставок программного обеспечения даже привлекли внимание правительства США, подтверждая безотлагательность этого растущего риска кибербезопасности. В мае руководители правительства сделали первый шаг к проактивному устранению потенциальных угроз, скрывающихся в растущей экосистеме сторонних зависимостей. Правительственный указ 14028 излагает план, призывающий правительство «внести смелые изменения и значительные инвестиции для защиты жизненно важных институтов, лежащих в основе американского образа жизни». Э. уделяет особое внимание безопасности критически важного программного обеспечения », которому, как отмечает правительство,« не хватает прозрачности, достаточного внимания к способности программного обеспечения противостоять атакам и адекватного контроля для предотвращения взлома злоумышленниками ».

Национальный институт стандартов и технологий (NIST) изложил меры безопасности для защиты критически важного программного обеспечения, уделяя особое внимание средствам защиты, которые необходимы для защиты данных, а не только систем и сетей вокруг них. Этот подход, который фокусируется на защите данных и всех путей к ним, признает неразрешимую проблему сторонних программных приложений и библиотек, которые имеют прямой доступ к конфиденциальным данным. Как свидетельствуют успешные атаки, проведенные за последние несколько месяцев, корпоративные организации должны учитывать программное обеспечение поставщика или стороннее программное обеспечение, которое лежит в основе их приложений и интерфейсов, если мы собираемся действительно снизить угрозу атак на цепочку поставок программного обеспечения.

Сложная экосистема

Исторически сложилось так, что компании сосредоточены на рисках, связанных с их непосредственным набором поставщиков и критически важным программным обеспечением, на которое они полагаются. Этой позы уже недостаточно, поскольку И. трансформация раздвигает границы традиционной сети и делает устаревшие элементы управления менее эффективными.

Несмотря на то, что у компании могут быть надлежащие меры безопасности, это не означает, что ее поставщики в цепочке поставок программного обеспечения имеют. Стратегия безопасности больше не может полагаться на доверие ко всему от экосистемы, даже к партнерам и поставщикам. Расширяющаяся цепочка поставок программного обеспечения наряду со сложностью современных приложений означает, что уязвимости будут внедряться с большей скоростью. Чтобы помочь справиться с растущим масштабом атак в жизненном цикле разработки программного обеспечения, организациям необходимо принять модель угроз, которая включает все части цепочки поставок, включая сторонний код.

Современные приложения основаны на сложной экосистеме интерфейсов прикладного программирования (API), микросервисов и бессерверных функций. С большим количеством эфемерных рабочих нагрузок и распределенной архитектурой нет серебряной пули для предпроизводственного анализа программного обеспечения. Даже в самом строгом жизненном цикле разработки программного обеспечения (SDLC) сложность разработки означает, что будут внесены уязвимости. Вот почему защита всех путей к данным должна быть фундаментальной стратегией для организаций.

Непосредственное решение проблемы

Судя по более ранним атакам на цепочку поставок программного обеспечения, злоумышленники незаметно маневрируют в цепочке поставок программного обеспечения, используя уязвимость в стороннем программном соединении, используя его для горизонтального перемещения и в конечном итоге получения доступа к данным цели.

Безопасность веб-приложений должна развиваться и больше сосредотачиваться на выявлении поведения приложений во время выполнения, например, на том, несет ли сторонний код ответственность за нежелательные действия. Только заблокировав неожиданное поведение, можно предотвратить новое атакующее поведение. Это будет иметь решающее значение, поскольку корпоративные ИТ. превращается в разнообразные современные среды приложений.

Инструменты сканирования приложений хороши, но вряд ли обнаружат скомпрометированное стороннее программное обеспечение, встроенное в приложения. Инструменты периметра могут быть обмануты кажущимся безобидным трафиком от приложений до тех пор, пока подписи не будут опубликованы. Наконец, несмотря на то, что многие компании применяют средства защиты конечных точек, эта технология часто не учитывает атаки приложений, поскольку им редко приходится прикасаться к пользовательским устройствам на ранних этапах.

Вместо этого компаниям необходимо развернуть самозащиту приложения во время выполнения (RASP) для обнаружения и предотвращения атак в режиме реального времени и из приложения. Эта технология, рекомендованная в NIST SP 800-53 Revision 5, может определять атаки вплоть до точной строки кода и автоматически прекращать использование уязвимости, давая организациям время, необходимое для исправления уязвимостей по своему собственному графику.

Для внедрения инноваций и сохранения конкурентного преимущества организациям необходимо будет модернизировать свою деятельность. Большая часть этого преобразования будет зависеть от сторонних приложений и служб.

Однако уязвимости программного обеспечения и приложений являются фундаментальными проблемами безопасности, и компании должны это учитывать. Таким образом, они должны сделать упор на свою защиту, особенно на API-интерфейсы, лежащие в основе их цифровой трансформации.

Поскольку злоумышленники находят скрытые способы уклониться от защиты и получить доступ к базовым данным, важно, чтобы были установлены правильные элементы управления и использовались соответствующие инструменты для реальной защиты данных и всех путей к ним.

Питер Климек - технический директор Imperva.