अप्रैल 2023 को CISA ने सॉफ़्टवेयर सुरक्षा के लिए एक नई संयुक्त मार्गदर्शिका जारी की जिसका नाम है साइबर सुरक्षा जोखिम का संतुलन बदलना: सुरक्षा-दर-डिज़ाइन और डिफ़ॉल्ट सिद्धांत. गाइड को एनएसए, ऑस्ट्रेलियाई साइबर सुरक्षा केंद्र (एसीएससी), और जर्मनी के संघीय सूचना सुरक्षा कार्यालय (बीएसआई) समेत 9 विभिन्न एजेंसियों के सहयोग से तैयार किया गया था। यह तथ्य कि दुनिया भर की कई एजेंसियों ने साइबर सुरक्षा गाइड तैयार करने में सहयोग किया है, इस समय दुनिया भर में साइबर सुरक्षा के विषय के महत्व का एक मजबूत प्रमाण होना चाहिए।
सीआईएसए के निदेशक जेन ईस्टरली ने हाल ही में पिट्सबर्ग में कार्नेगी मेलन विश्वविद्यालय में छात्रों और संकाय को दिए एक भाषण में साइबर सुरक्षा के विषय पर अपने विचार साझा किए हैं। सीआईएसए निदेशक के अनुसार, इन मार्गदर्शक सिद्धांतों से आने वाले वर्षों में वैश्विक सॉफ्टवेयर उद्योग को आगे बढ़ाने में मदद मिलेगी:
- सुरक्षा का बोझ कभी भी केवल ग्राहक पर नहीं पड़ना चाहिए। सॉफ़्टवेयर निर्माताओं को अपने उत्पादों और कोड की ज़िम्मेदारी लेनी चाहिए।
- प्रौद्योगिकी निर्माताओं को अपने उत्पादों के लिए जवाबदेही की प्रतिबद्धता के रूप में आमूल-चूल पारदर्शिता अपनानी चाहिए।
- प्रौद्योगिकी निर्माताओं को सुरक्षित उत्पाद बनाने पर ध्यान केंद्रित करना चाहिए, ऐसे उत्पाद विकसित करने चाहिए जो डिज़ाइन द्वारा सुरक्षित हों और डिफ़ॉल्ट रूप से सुरक्षित हों।
सीआईएसए गाइड इन बुनियादी सिद्धांतों को लेता है और उन पर विस्तार करता है, जिसमें व्यावहारिक सुझावों की एक व्यापक सूची शामिल है जो सॉफ्टवेयर निर्माता बाजार में अधिक सुरक्षित उत्पाद लाने के लिए अपना सकते हैं।
यह ध्यान रखना दिलचस्प है कि बहुत सारे स्पष्ट सुझाव इसी पर आधारित हैं एनआईएसटी का एसएसडीएफ ढांचा लेकिन इसे अधिक व्यावहारिक, कम स्वैच्छिक तरीके से व्यक्त किया गया है।
गाइड में दिए गए सुझावों में से एक, जो सीधे तौर पर आमूल-चूल पारदर्शिता से संबंधित है, सॉफ्टवेयर निर्माताओं के लिए एक का उत्पादन शामिल करना है एसबीएम उनके सॉफ़्टवेयर के घटकों में दृश्यता प्रदान करने के लिए उनके SDLC में।
लेकिन क्या एसबीओएम बनाना और उसे प्रकाशित करना भी वास्तव में पर्याप्त है? एक सॉफ़्टवेयर निर्माता या सॉफ़्टवेयर उपभोक्ता वास्तव में SBOM JSON या XML फ़ाइल के साथ क्या कर सकता है?
इस लेख में, हम उन उपयोगों पर गौर करेंगे जो एक एसबीओएम आज एक सॉफ्टवेयर निर्माता के लिए ला सकता है, वह जानकारी जो एसबीओएम को समृद्ध करने के लिए इसमें जोड़ी जा सकती है, और व्यावसायिक बुद्धिमत्ता जो ऐसे समृद्ध दस्तावेजों की जांच से प्राप्त की जा सकती है। हम एसबीओएम का उपयोग करने के अनुपालन पक्ष पर एक त्वरित नज़र डालेंगे और एक सॉफ्टवेयर निर्माता, एक सॉफ्टवेयर एग्रीगेटर, या एक ओपन-सोर्स मेंटेनर के रूप में आपकी देनदारी कहां निहित है। हम जोखिम प्रबंधन और साइबर सुरक्षा नियामक अनुपालन और प्रबुद्ध जोखिम प्रबंधन के साथ डिजाइन द्वारा सुरक्षित और डिफ़ॉल्ट रूप से सुरक्षित के सीआईएसए के सिद्धांतों के बारे में बात करके अपनी बात समाप्त करेंगे।
सभी एसबीओएम समान नहीं बनाए गए थे
एसबीओएम के निर्माण के लिए आज कई उपकरण उपलब्ध हैं, ओपन-सोर्स से लेकर मालिकाना समाधान तक, कोई व्यक्ति या कंपनी जो एसबीओएम निर्माण को अपने एसओपी में शामिल करना चाहता है वह आसानी से ऐसा कर सकता है। कोई भी भिन्न के बीच चयन कर सकता है मानकों जो उनकी आवश्यकताओं के लिए सबसे उपयुक्त है लेकिन फिर भी आपको एक सूचित निर्णय लेने के लिए बहुत सारे उपकरणों का सामना करना पड़ सकता है। तो, बिल्कुल सही निर्णय लेते समय आप और क्या देख सकते हैं एसबीओएम पीढ़ी आपके लिए उपकरण?
सबसे पहले, जांचें कि एसबीओएम के निर्माण में कौन सी जानकारी शामिल है या छोड़ी गई है। सामग्रियों का एक बिल जिसमें उपकरण और कोड शामिल हैं जो विकास प्रक्रिया का हिस्सा थे लेकिन वास्तविक उत्पाद का हिस्सा नहीं थे, उनमें संभवतः बहुत सारी अनावश्यक जानकारी होगी जिसे परिणामी फ़ाइल से 'साफ़' करना बहुत मुश्किल है ताकि आप केवल अपने पास रख सकें सबसे प्रासंगिक जानकारी. इसी तरह, उदाहरण के लिए, जब आप कमजोरियों के लिए स्कैन करना चाहते हैं तो उपकरण या कोड जो शामिल नहीं हैं या जानबूझकर छोड़े गए हैं, स्पष्ट रूप से गायब होंगे।
सॉफ़्टवेयर सामग्रियों और निर्भरताओं की सूची, अपने आप में, अधिकतर अर्थहीन है। आप इसके साथ जो करना चुन सकते हैं उससे परे इसका बहुत कम उद्देश्य पूरा होता है। आज एसबीओएम का सबसे प्रचलित उपयोग उन कमजोरियों की सूची प्राप्त करने के लिए सॉफ्टवेयर घटकों को स्कैन करना है जो आपके उत्पाद को प्रभावित कर सकते हैं।
यह याद रखना महत्वपूर्ण है कि आपके द्वारा खोजी गई लगभग 95% कमजोरियाँ आपके उत्पाद में शोषण योग्य नहीं हैं। युक्ति यह है कि उस मायावी 5% को ढूंढें, एक कार्य योजना बनाएं और इन शोषण योग्य कमजोरियों से निपटना शुरू करें। कैसे बताएं कि क्या शोषण योग्य है और क्या नहीं? यह बड़ा सवाल है जो सुरक्षा और इंजीनियरिंग से जुड़े लोगों को रात में जगाए रखता है। एक वर्तमान सुझाव नामक समाधान नियोजित करना है VEX - एक भेद्यता शोषणशीलता ईएक्सचेंज, एक सुरक्षा सलाह का एक रूप जहां लक्ष्य उस उत्पाद के संदर्भ में ज्ञात कमजोरियों वाले घटकों की शोषणशीलता को संप्रेषित करना है जिसमें उनका उपयोग किया जाता है। इसमें अभी भी भेद्यता की जानकारी के ढेर को छानने और शोषण योग्य कमजोरियों की सुई ढूंढने का बहुत सारा काम इंजीनियरिंग टीम पर छोड़ दिया गया है। आख़िरकार - अपने उत्पाद को उन लोगों से बेहतर कौन जानता होगा जिन्होंने इसे कोड किया था?
हालाँकि, ऐसी अन्य चीजें भी हैं जो आप कर सकते हैं, खासकर जब विरासत में मिली कमजोरियों की बात आती है जो आपकी डॉकर छवि की मूल छवियों से या आपकी निर्भरता श्रृंखला में बहुत पीछे निर्भरता से आती हैं। जैसे ओपन-सोर्स टूल का उपयोग करना माता-पिता की छवि आप यह पता लगा सकते हैं कि मूल छवि के साथ कौन सी कमजोरियाँ आईं और कौन सी कमजोरियाँ आपके कोड का प्रत्यक्ष परिणाम थीं। इससे संभावित रूप से कमजोरियों का एक बड़ा समूह समाप्त हो जाएगा और छंटाई का काम आसान हो जाएगा। विभिन्न कमजोरियों के बारे में विभिन्न सलाह का उपयोग करना भी एक अच्छा विचार है क्योंकि एक बार जब आप यह निर्धारित कर लेते हैं कि एक भेद्यता शोषण योग्य नहीं है, तो यह समझ में आता है कि आप अपनी टीम के अन्य लोगों या अपने उपयोगकर्ताओं को बताएं ताकि आप हर संस्करण में एक ही भेद्यता की जांच न करते रहें। आपके उत्पाद में जहां आपने उस मॉड्यूल को भी संशोधित नहीं किया है जहां यह पाया गया था। यह भी सलाह दी जाती है कि आप अपने ओपन-सोर्स और तीसरे पक्ष की निर्भरता का पालन करें ताकि एक बार जब वे शोषक कमजोरियों को ढूंढ लें और उन्हें ठीक कर लें तो आप अपने उत्पाद में उस कोड को अपडेट कर सकें। सुनिश्चित करें कि आप भी उस विशेष संभावित समस्या से सुरक्षित हैं।
आप एसबीओएम में और क्या जोड़ सकते हैं?
जैसा कि ऊपर बताया गया है, आज एसबीओएम के लिए सबसे आम उपयोगों में से एक भेद्यता स्कैनिंग के लिए चेकलिस्ट के रूप में है। एनवीडी (राष्ट्रीय भेद्यता डेटाबेस) जैसे विभिन्न स्वतंत्र रूप से उपलब्ध डेटाबेस का उपयोग करके आप एसबीओएम द्वारा प्रदान की गई सूची के समान घटकों की एक सूची को स्कैन कर सकते हैं, और देख सकते हैं कि इसमें कौन सी कमजोरियां हैं। एक बार जब आपके पास कमजोरियों की एक सूची हो जाए तो आप इसे गंभीरता के आधार पर ऑर्डर कर सकते हैं, जांच कर सकते हैं कि क्या किसी में मौजूदा सुधार हैं, इत्यादि।
जानकारी की एक और परत जो आपके घटकों के बारे में उपयोगी होती है वह है उनका लाइसेंस। बहुत सारे ओपन-सोर्स घटक ऐसे लाइसेंस के साथ आते हैं जो व्यावसायिक उपयोग के अनुकूल नहीं है। यह सुनिश्चित करना महत्वपूर्ण है कि आपके सभी ओपन-सोर्स घटक, यहां तक कि वे भी जिन्हें आपने स्वयं शामिल नहीं किया था लेकिन किसी अन्य घटक द्वारा शामिल किया गया था, आप उनके लाइसेंस के संदर्भ में जो कुछ भी बनाने का प्रयास कर रहे हैं, उसके साथ संगत हैं।
एक अंतिम सुझाव यह है कि अपनी निर्भरताओं के लिए ओपन-सोर्स सुरक्षा 'स्वास्थ्य' मीटर का पालन करें ओपनएसएसएफ स्कोरकार्ड. ओपन-सोर्स पुस्तकालयों के साइबर सुरक्षा स्वास्थ्य के लिए एक उद्देश्यपूर्ण अपेक्षाकृत सरल उपाय होने से यह निर्णय लेने में बहुत मदद मिल सकती है कि आपके उत्पाद में कौन से पुस्तकालयों को शामिल किया जाए या हटाया जाए। कमजोरियों की गंभीरता के साथ संयुक्त ये स्कोर उन कमजोरियों को व्यवस्थित करने में मदद करने का एक अच्छा तरीका है जिन पर आप पहले काम करना चाहते हैं।
बिजनेस इंटेलिजेंस अभ्यास के रूप में जोखिम प्रबंधन
वहाँ एकाधिक मौजूद है सुरक्षा जोखिम किसी भी सॉफ्टवेयर निर्माता के लिए इन दिनों निपटना। मैलवेयर, क्रिप्टो माइनर्स, पासवर्ड चुराने वालों और रैंसमवेयर के बीच यह आश्चर्य की बात है कि निर्माता बाजार में कुछ भी लाने में सुरक्षित महसूस करते हैं। कोई भी सब कुछ एक साथ नहीं संभाल सकता इसलिए कंपनियां खतरे के मॉडल बनाती हैं और जिसे वे अपनी सबसे कमजोर कड़ी मानती हैं उसके अनुसार अपने जोखिम का प्रबंधन करने की कोशिश करती हैं। सबसे आसान पहला कदम यह सुनिश्चित करना है कि आपका कोड और विकास प्रक्रिया किसी भी प्रासंगिक नियमों और सर्वोत्तम प्रथाओं के अनुरूप है। निस्ट का एसएसडीएफ और ओपनएसएसएफ एसएलएसए शुरुआत करने के लिए एक अच्छी जगह है और साथ ही एसबीओएम जैसी चीजों के लिए अमेरिकी आवश्यकताएं भी हैं। नियमों और सर्वोत्तम प्रथाओं का पालन कम से कम मुकदमेबाजी से सापेक्ष सुरक्षा का वादा कर सकता है सुरक्षित बंदरगाह कार्यक्रम. लेकिन यह तो केवल शुरुआत है.
सीआईएसए गाइड निर्माताओं को सुरक्षा को ध्यान में रखते हुए अपने उत्पाद बनाने के लिए प्रोत्साहित करता है। उत्पाद तैयार होने के बाद कुछ 'बोल्ट-ऑन' सुरक्षा कुछ मूलभूत कमजोरियों को कम नहीं कर सकती है जो उत्पाद की वास्तुकला का हिस्सा हैं। गाइड के अनुसार, सिक्योर-बाय-डिज़ाइन उत्पाद वे हैं जहां ग्राहकों की सुरक्षा एक मुख्य व्यावसायिक लक्ष्य है, न कि केवल एक तकनीकी विशेषता। निर्माताओं को भी इसे अपनाने के लिए प्रोत्साहित किया जाता है मौलिक पारदर्शिता और जवाबदेही. इसका मतलब है, अन्य बातों के अलावा, यह सुनिश्चित करना कि भेद्यता संबंधी सलाह और संबंधित सामान्य भेद्यता और जोखिम (CVE) रिकॉर्ड पूर्ण और सटीक हैं। इसका मतलब यह भी है कि कोड के घटकों, इसकी निर्भरताओं और कमजोरियों को उपयोगकर्ताओं और ग्राहकों को दिखाने के तरीके के रूप में साझा करने के लिए प्रोत्साहित किया जाता है कि निर्माता कम से कम उत्पाद में संभावित समस्याओं के बारे में जानता है।
विकिपीडिया के मुताबिक, व्यापारिक सूचना (BI) इसमें उद्यमों द्वारा उपयोग की जाने वाली रणनीतियाँ और प्रौद्योगिकियाँ शामिल हैं डेटा विश्लेषण और व्यावसायिक जानकारी का प्रबंधन। जैसा कि आप कल्पना कर सकते हैं, प्रत्येक निर्माण के साथ-साथ भेद्यता रिपोर्ट, लाइसेंस जानकारी और सलाह के लिए एक एसबीओएम एकत्र करना जो बताता है कि कौन सी कमजोरियां शोषण योग्य हैं और कौन सी नहीं हैं - यह बहुत सारी जानकारी है। सूचना बिंदुओं की संख्या तब बढ़ जाती है जब आप एक विशिष्ट सॉफ़्टवेयर उत्पाद के जीवनकाल और इस तथ्य को ध्यान में रखते हैं कि आप यह जानकारी किसी तीसरे पक्ष के कोड या टूल के लिए चाहते हैं जिसका आप उपयोग कर रहे हैं और साथ ही ओपन-सोर्स पैकेज भी शामिल कर रहे हैं। प्रत्यक्ष या क्षणिक रूप से. संगठन की सुरक्षा शक्तियों (संभवतः सीआईएसओ और उनके अधीन लोगों) द्वारा प्रयोग करने योग्य तरीके से इसे समझने के लिए आपको एक प्रणाली, एक एकल 'कांच का फलक' मंच की आवश्यकता है यह आपको उस सारी जानकारी को व्यवस्थित करने, उसे प्रभावी ढंग से खोजने और ज़रूरत पड़ने पर उपयोगी रिपोर्ट में प्रस्तुत करने की अनुमति देता है। साइबर सुरक्षा प्लेटफ़ॉर्म के लिए BI प्लेटफ़ॉर्म कितना महत्वपूर्ण हो सकता है, इसका केवल एक उदाहरण देने के लिए, कल्पना करें लॉग4जे पिछले साल का नाटक. क्या इस 'नए' खतरे के लिए कुछ कीस्ट्रोक्स के साथ निर्भरता और तीसरे पक्ष के टूल सहित आपके सभी उत्पादों को खोजना अद्भुत नहीं होगा? एक अलग नए खतरनाक सीवीई की उपस्थिति की जाँच के बारे में क्या जो अभी सामने आया है? या इस पर एक रिपोर्ट तैयार करना कि कैसे आपकी कंपनी की कुल कमजोरियों की संख्या समय के साथ उत्तरोत्तर कम हो रही है (या कम से कम नहीं बढ़ रही है)। यह उस तरह की उपयोगी 'बड़ी तस्वीर' जानकारी है जो साइबर सुरक्षा एसबीओएम-समृद्ध संग्रह मंच के शीर्ष पर केवल एक बीआई प्रणाली ही पेश कर सकती है।
केवल एक बार जब आपके पास सभी प्रासंगिक जानकारी हो तो आप वास्तव में अपने जोखिम का मूल्यांकन कर सकते हैं, अपने वर्तमान कोड में, अपनी निर्भरता में, और अपने उत्पाद में किसी तीसरे पक्ष के टूल या कोड को शामिल करने या हटाने के चयन में। लगातार चलाने पर आप इस जोखिम मूल्यांकन का उपयोग गेटकीप बिल्ड के लिए भी कर सकते हैं और कुछ संदिग्ध गतिविधि पाए जाने पर उन्हें उत्पादन या वितरण से रोक सकते हैं।
भविष्य पर विचार करते हुए
टेक्नोलॉजी हर समय आगे बढ़ती रहती है। यदि किसी समय संगठन के कार्यालय में स्थित सर्वर पर मोनोलिथिक कोड प्रोजेक्ट आदर्श थे, तो आजकल मल्टी-क्लाउड माइक्रो-सर्विसेज आर्किटेक्चर और एलएलएम अग्रणी हैं। एसबीओएम को अपनी प्रासंगिकता और उपयोगिता बनाए रखने के लिए जो भी जटिल वास्तुकला या बुनियादी ढांचा सॉफ्टवेयर उपयोग करता है उसका समर्थन करने में सक्षम होने के लिए आगे बढ़ने की आवश्यकता है। उदाहरण के लिए, OWASP का CycloneDX पहले से ही शामिल करने पर काम कर रहा है एमएल पारदर्शिता उनके एसबीओएम प्रारूप में। भविष्य के लिए योजना बनाते समय यही प्रारूप VEX क्षमताओं और एक SBOM शेयरिंग एपीआई को भी शामिल करना सुनिश्चित कर रहा है। मेरा अनुमान है कि अधिक से अधिक प्लेटफ़ॉर्म जैसे कि बनाए गए हैं मुंशी एसबीओएम सहित सुरक्षा-संबंधित जानकारी के संचय और साझाकरण के लिए बनाया जाएगा, नियामक कारणों से और ऐसी समृद्ध जानकारी का उचित उपयोग करने वाले संगठनों के लिए लाभ और मूल्य के लिए।
स्क्राइब का प्लेटफ़ॉर्म मौजूदा सुरक्षा प्लेटफ़ॉर्म के हिस्से के रूप में मेरे द्वारा सुझाई गई सभी क्षमताओं और बहुत कुछ के साथ एक नया बीआई टूल जारी करने वाला है। मैं आपको इसके लिए प्रोत्साहित करता हूं कोशिश करो, समय के साथ एकत्रित ऐसी जानकारी की उपयोगिता देखें और देखें कि आप उस जानकारी का उपयोग किस लिए कर सकते हैं। भले ही आपने अपने एसडीएलसी में स्क्राइब प्लेटफॉर्म को शामिल करना चुना हो या नहीं, अधिक सुरक्षित पारिस्थितिकी तंत्र और अधिक व्यापक, उपयोगी एसबीओएम की दौड़ अभी खत्म नहीं हुई है। विनियमन या बाज़ार के दबाव द्वारा आप पर ज़बरदस्ती आमूल-चूल पारदर्शिता थोपने से बेहतर है कि अब आप पारदर्शिता की गाड़ी में सवार हो जाएँ।
यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.