Grafiek voor inzicht in artefactcompositie (GUAC): belangrijkste hoogtepunten

Alle berichten

Barak Brudo

De risico's waarmee softwaretoeleveringsketens hebben hun plaats ingenomen in de voorhoede van gesprekken in het cybersecurity-ecosysteem. Dit komt deels door de toegenomen frequentie hiervan aanvallen op de toeleveringsketen, maar ook vanwege de potentieel verstrekkende gevolgen die ze hebben als ze zich voordoen.

Cijfers uit 2021 lieten aanvallen op de software-toeleveringsketen zien verdrievoudigd in frequentie ten opzichte van het voorgaande jaar, een trend die in de toekomst waarschijnlijk niet zal vertragen. Gelukkig leidt het groeiende bewustzijn van het risico van aanvallen op de softwaretoeleveringsketen tot een breed scala aan potentieel nuttige acties. Eén van die recente acties is de uitgifte van een Uitvoeringsbesluit inzake cyberbeveiliging door de regering van de Verenigde Staten.

Wat nog geruststellender is, is de groeiende belangstelling van veel van de grote spelers voor het collectief introduceren van maatregelen die kunnen helpen in de strijd tegen de groeiende dreiging van kwaadwillende actoren die zich richten op de toeleveringsketens van software. In oktober 2022, Google kondigde een nieuw open-sourceproject dat bekend staat als Graph for Understanding Artifact Composition (kortweg GUAC). Hoewel dit initiatief zich nog in de beginfase bevindt, vinden wij het behoorlijk interessant omdat het de potentie heeft om het huidige begrip van de industrie over softwaretoeleveringsketens te veranderen en geavanceerde maatregelen introduceert om deze bedreigingen verder te beperken.

Waarom GUAC? Waarom nu?

Als organisatie is de kernmissie van Google het organiseren van alle informatie ter wereld en deze universeel toegankelijk en bruikbaar maken. De Graph for Understanding Artefact Composition (GUAC) is in lijn met die missie voor zover het de cyberbeveiligingswereld betreft. Het doel van GUAC is om beveiligingsinformatie op het hoogste niveau beschikbaar te maken voor alle organisaties, inclusief degenen die niet over het IT-budget of de beveiligingsinfrastructuur op ondernemingsniveau beschikken om deze informatie voor zichzelf te verkrijgen.

GUAC is een poging om waardevolle metagegevens over softwarebeveiliging samen te voegen tot een hifi-grafiekendatabase. De database zal niet alleen de identiteit van verschillende software-entiteiten bevatten, maar zal ook de standaardrelatie daartussen gedetailleerd beschrijven.

Gemeenschapssamenwerking tussen verschillende groepen heeft geleid tot beleidsdocumentatie zoals de Softwarestuklijsten (SBOM's), ondertekende attesten die gedetailleerd beschrijven hoe software wordt gebouwd (zoals SLSA), en databases die het gemakkelijker maken om kwetsbaarheden te ontdekken en te elimineren, zoals de Global Security Database (GSD). GUAC zal helpen bij het combineren en synthetiseren van de informatie die in al deze databases beschikbaar is, en deze in een uitgebreider formaat te organiseren. Op deze manier kan iedereen de antwoorden vinden die ze nodig hebben op beveiligingsvragen op hoog niveau over de softwaremiddelen die ze willen gebruiken.

Een afbeelding van het logische model voor transparantie van de softwaretoeleveringsketen

Bron: Google Beveiligingsblog

GUAC omvat drie stadia van beveiliging van de softwaretoeleveringsketen

GUAC is een gratis open-sourceplatform dat de verschillende bronnen van metagegevens over softwarebeveiliging samenvoegt tot één enkele bron. Als beveiligingstool zal GUAC nuttig zijn voor organisaties in de drie fasen van het beveiligen van hun software-infrastructuur tegen aanvallen op de toeleveringsketen. Hier ziet u hoe het nuttig zal zijn voor elk van deze fasen:

Fase #1: Proactief

In de proactieve fase neemt u maatregelen om te voorkomen dat grootschalige softwarecompromissen überhaupt plaatsvinden. In dit stadium wilt u weten welke kritieke componenten van uw software supply chain-ecosysteem u het meest gebruikt, en GUAC zal het gemakkelijker maken om deze te identificeren. Met GUAC kunt u zwakke punten in uw algehele beveiligingsinfrastructuur identificeren, inclusief gebieden waar u wordt blootgesteld aan risicovolle afhankelijkheden. Op deze manier bent u beter gepositioneerd om aanvallen te voorkomen voordat ze plaatsvinden.

Fase #2: Operationeel

De operationele fase is de preventieve fase waarin u bepaalt of de software die u wilt gebruiken of implementeren aan alle eisen voldoet als het gaat om beveiliging tegen supply chain-risico's. Met GUAC kunt u verifiëren of de software voldoet aan de vereiste beleidsstandaarden of dat alle binaire bestanden in productie kunnen worden getraceerd naar een beveiligde repository.

Fase #3: Reactief

Ondanks alle maatregelen kan er nog steeds sprake zijn van een inbreuk op de toeleveringsketen. In de reactieve fase bepaalt u wat u moet doen als er een inbreuk wordt ontdekt. Met GUAC kunnen getroffen organisaties achterhalen welk deel van hun inventaris is getroffen door de kwetsbaarheid, hoe zwaar ze zijn getroffen en wat de risico's zijn. Deze informatie helpt een aanval te beperken en herhaling in de toekomst te voorkomen.

Wat betekent GUAC voor u?

Wat betekent GUAC voor u als organisatie of cybersecurityprofessional? Omdat het project zich nog in de ontwikkelingsfase bevindt, zijn er verschillende manieren waarop u op individueel niveau of als organisatie betrokken kunt zijn.

  • Om te beginnen is het een oproep om mee te doen. Statistieken uit een enquête onder ongeveer 1,000 CIO's laten zien dat tot 82% van de ondervraagden gelooft dat hun organisatie kwetsbaar is voor cyberaanvallen. Dit betekent dat als u geen maatregelen neemt om uw software-infrastructuur te beveiligen, u dit nu meer dan ooit zou moeten doen. Deze stap van Google is opnieuw een wake-up call over de noodzaak om meer actie te ondernemen beveiliging van de toeleveringsketen van software serieuzer.
  • Ten tweede is dit een oproep om een ​​bijdrage te leveren. GUAC is momenteel een open-sourceproject op Github. Het enige wat het nu is, is een proof of concept dat SLSA-, SBOM- en Scorecard-documenten samenvoegt ter ondersteuning van de eenvoudige zoektocht naar software-metagegevens. Het project verwelkomt bijdragers die metadata aan GUAC toevoegen, evenals adviseurs die de behoeften van eindgebruikers vertegenwoordigen.
  • GUAC is een geweldige nieuwe combinatie voor de SLSA-framework. Het beveiligingsraamwerk – een samenwerking tussen verschillende belanghebbenden op het gebied van cyberbeveiliging – is een reeks overeengekomen industriestandaarden die bedrijven en individuele ontwikkelaars kunnen hanteren om weloverwogen beveiligingsbeslissingen te nemen bij het bouwen van software. Gecombineerd zullen deze twee beleidsdocumenten bijdragen tot betere resultaten op het gebied van softwarebeveiliging.
  • GUAC getuigt ook van het groeiende belang van de Software stuklijst (SBOM). Deze formele lijst van alle artefacten die in software worden gebruikt, verkleint de risico's op beveiligingsproblemen voor gebruikers en helpt hen ook te weten hoe ze moeten handelen en waar ze naar kwetsbaarheden moeten zoeken wanneer zich inbreuken voordoen.
  • Ten slotte moet u weten dat de enige manier om de integriteit van alle componenten van uw software van derden te garanderen, is ervoor te zorgen dat elke code die u niet zelf hebt geschreven, volledig wordt verantwoord, dat er niet mee wordt geknoeid en vrij is van alle kwaadaardige code. Gelukkig zijn er beveiligingstools en -frameworks voor de supply chain van software waarmee u elk onderdeel gedurende uw gehele Software Development Lifecycle (SDLC) kunt monitoren. Hier is een artikel dat een goed startpunt kan zijn om u te helpen de juiste software supply chain-beveiligingstool voor uw eigen behoeften.

Banner

Deze inhoud wordt u aangeboden door Scribe Security, een toonaangevende aanbieder van end-to-end software supply chain-beveiligingsoplossingen die state-of-the-art beveiliging levert voor codeartefacten en codeontwikkelings- en leveringsprocessen in de software supply chain. Meer informatie.

Gerelateerde berichten

Afbeelding van best practices
Software Supply Chain-beveiliging: de zeven beste praktijken die u moet kennen

In het huidige onderling verbonden digitale landschap is het garanderen van de veiligheid van uw softwaretoeleveringsketen van het allergrootste belang. De softwaretoeleveringsketen omvat alle processen en componenten die betrokken zijn bij het ontwikkelen, bouwen en implementeren van software, en wordt steeds vaker het doelwit van cyberaanvallen. Omdat ik met talloze bedrijven heb gewerkt en gebruik heb kunnen maken van mijn uitgebreide ervaring in de sector, kan ik vol vertrouwen een aantal van onze […]

SCA versus SBOM-banner
SCA en SBOM: wat is het verschil?

Dat is daarmee verbonden in een bepaalde softwareapplicatie. Met behulp van SCA-tools wordt de volledige codebase van een applicatie doorzocht om alle open-sourcebibliotheken en componenten te vinden die in de applicatie worden gebruikt, hun versies worden gecontroleerd en ook de bekende kwetsbaarheden voor die componenten worden opgespoord. Doel van SCA Het hoofddoel […]

Functieafbeelding
Wat brengt de toekomst voor VEX? En welke invloed zou het op jou hebben?

De snelheid waarmee nieuwe kwetsbaarheden worden onthuld, neemt voortdurend toe. Momenteel bedraagt ​​dit gemiddeld 15,000 CVE's per jaar. 2022 valt op met meer dan 26,000 gerapporteerde nieuwe CVE’s. Uiteraard zijn niet alle kwetsbaarheden relevant voor uw software. Om erachter te komen of een bepaalde kwetsbaarheid een probleem is, moet je eerst uitzoeken [...]

populaire berichten
Het nieuwe federale softwarebeveiligingsmandaat begrijpen en naleven: een praktische gidsHoe SBOM's in de gehele SDLC te integrerenVerdediging tegen recente aanvallen op de softwaretoeleveringsketen: lessen en strategieënZou jij ten strijde trekken zonder kaart?
Categorieën