От безопасности приложений к безопасности цепочки поставок программного обеспечения: необходим свежий подход

Традиционный подход к обеспечению безопасности программных продуктов направлен на устранение уязвимостей в пользовательском коде и защиту приложений от известных рисков, связанных со сторонними зависимостями. Однако этот метод неадекватен и не способен устранить весь спектр угроз, исходящих от цепочки поставок программного обеспечения. Пренебрежение безопасностью каждого аспекта этой цепочки, от производства до распространения и развертывания, подвергает организации риску таких атак, как вредоносное ПО, утечка данных и кража интеллектуальной собственности. Игнорирование этого важного шага является серьезным пренебрежением к безопасности организации.

В этой статье мы рассмотрим растущую тенденцию кибератак, направленных на цепочку поставок программного обеспечения, а также недавние нормативные достижения и рамки передовой практики, возникшие в ответ на эту растущую опасность. Мы также прольем свет на необходимость новой стратегии защиты вашей цепочки поставок программного обеспечения, которая превосходит текущие меры безопасности приложений. Мы проиллюстрируем, почему текущие инвестиции в безопасность приложений обеспечивают некоторую защиту, но не полностью снижают риски кибербезопасности в этой области. Наконец, мы опишем, что необходимо дополнить их для полной защиты.

Полный текст Белой книги нажмите здесь. >>>

Почему важна безопасность цепочки поставок программного обеспечения

Использование сторонних инструментов, библиотек и программного обеспечения с открытым исходным кодом при разработке программного обеспечения увеличивает как сложность цепочки поставок программного обеспечения, так и риск потенциальных уязвимостей и атак. Злоумышленники могут атаковать определенное звено в цепочке поставок, чтобы получить доступ к конфиденциальной информации или сорвать операции. Эти атаки могут оказать существенное влияние на организации и их партнеров по цепочке поставок. 

Последствия нескольких атаки на цепочку поставок программного обеспечения в последние годы попал в заголовки новостей. Как следствие, Gartner прогнозирует Недавно сообщалось, что к 2025 году 45% организаций по всему миру подвергнутся атакам на свои цепочки поставок программного обеспечения, что в три раза больше, чем в 2021 году. 

Поскольку безопасность цепочки поставок программного обеспечения привлекает все больше внимания, различные поставщики решений для безопасности приложений проводят ребрендинг, предлагая решения в этой области. Но является ли безопасность цепочки поставок программного обеспечения просто новым термином для традиционной безопасности приложений или это отдельный сегмент рынка с уникальными характеристиками и технологиями? Достаточно ли наличия программы безопасности приложений (AppSec) для обеспечения безопасности цепочки поставок программного обеспечения, или организациям необходимо принять отдельные стандарты и технологии для обеспечения безопасности своего программного обеспечения и его цепочки поставок? Этот вопрос будет рассмотрен далее в статье.

Новые системы регулирования и передовой практики

Команда Исполнительный указ США о кибербезопасности и другие подобные правила отражают растущую важность безопасности цепочки поставок программного обеспечения и необходимость принятия организациями соответствующих мер для защиты своего программного обеспечения и его цепочки поставок. Растущий интерес, проявляемый крупными игроками к коллективному принятию мер по борьбе с угрозой, является позитивным событием и указывает на растущее признание необходимости скоординированного и общеотраслевого подхода для борьбы с растущей угрозой.

Некоторые из ключевых инициатив по обеспечению безопасности цепочки поставок программного обеспечения включают: совершенствование методов разработки программного обеспечения; улучшение прозрачности цепочки поставок; внедрение безопасных методов закупок программного обеспечения; и развитие возможностей разведки угроз. В целом эти инициативы направлены на повышение безопасности программного обеспечения и цепочки поставок за счет снижения риска атак и обеспечения отсутствия в программном обеспечении уязвимостей и вредоносного кода.

Ниже приводится краткий обзор ключевых инициатив:

1. NIST SP 800-21 Secure Software Development Framework (SSDF) направлена ​​на повышение безопасности цепочки поставок программного обеспечения для государственных поставщиков США. Он предлагает безопасные методы разработки для SDLC организаций, чтобы минимизировать уязвимости и будущие угрозы. Рекомендации являются настраиваемыми и не зависят от сектора. Прочитай это официальный документ подробнее о влиянии SSDF на индустрию программного обеспечения.
2. В 2022 году Управление управления и бюджета США (OMB) выпустило две памятки, посвященные безопасности цепочки поставок программного обеспечения и роли SBOM в обеспечении безопасности и целостности цепочки поставок программного обеспечения. Организации должны соблюдать требования к 2024 году и обеспечить безопасность своего программного обеспечения и цепочки поставок. Федеральные агентства должны реализовать руководящие принципы, включая обмен информацией и получение артефактов от поставщиков.
3. Уровни цепочки поставок для программных артефактов (SLSA) Framework — это комплексный набор мер безопасности и стандартов, предназначенных для обеспечения целостности цепочек поставок программного обеспечения. Он был разработан OpenSSF, Google и другими заинтересованными сторонами в области кибербезопасности. Следуя этой сквозной структуре, можно предотвратить несанкционированные изменения в пакетах программного обеспечения. Внедрение SLSA может помочь защититься от распространенных атак в цепочке поставок. 
4. Закон ЕС о киберустойчивости направлен на повышение киберустойчивости организаций в ЕС. Он требует от организаций сделать SBOM доступными для всех используемых ими программных продуктов, чтобы помочь им выявлять и устранять потенциальные уязвимости безопасности на раннем этапе. Закон также требует от организаций сообщать об уязвимостях ENISA/CERT-ЕС. 
5. Центр Интернет-безопасности (СНГ) разработала Руководство по безопасности цепочки поставок программного обеспечения в СНГ, которое охватывает этапы цепочки поставок программного обеспечения, от написания кода до доставки конечным потребителям. В руководстве представлены передовые методы обеспечения безопасности цепочки поставок программного обеспечения, включая создание программы безопасности, внедрение методов безопасной разработки, проведение регулярных оценок безопасности поставщиков, внедрение мер безопасности для распространения и развертывания, а также постоянный мониторинг уязвимостей и атак.
6. Сигстор — это проект с открытым исходным кодом, ориентированный на безопасность цепочек поставок программного обеспечения. Он обеспечивает метод повышения безопасности цепочек поставок программного обеспечения открытым, прозрачным и доступным способом. Ключом к обеспечению безопасности цепочек поставок программного обеспечения является цифровая подпись различных артефактов, из которых состоят приложения. Цель Sigstore — сделать подписание программного обеспечения повсеместным и простым, предоставляя более простое и быстрое решение по сравнению с традиционными решениями для цифровой подписи. Проект также создает открытый и неизменяемый журнал активности.

Цель и задачи дисциплины AppSec

Команда AppSec в зрелых организациях-производителях программного обеспечения фокусируется на защите программного обеспечения посредством обучения разработчиков, проверки кода, автоматического сканирования и мониторинга зависимостей. Наиболее распространенными инструментами являются статическое и динамическое тестирование прикладного программного обеспечения (SAST и DAST) для тестирования приложений и анализ состава программного обеспечения (SCA) для обнаружения известных уязвимостей в зависимостях с открытым исходным кодом. 

Чтобы справиться с меняющимся ландшафтом угроз, было разработано и принято несколько новых решений. Одним из таких решений является использование инструментов обнаружения секретов, которые помогают организациям идентифицировать секреты, такие как учетные данные, ключи API и конфиденциальные данные, которые могли быть непреднамеренно раскрыты в коде. Кроме того, были созданы новые инструменты сканирования для обнаружения уязвимостей в контейнерах и инфраструктуре как коде (IaC) в средах облачных вычислений, что позволяет организациям гарантировать безопасность своих приложений при их переходе в облако.

Для управления огромным набором инструментов безопасности были созданы решения по оркестрации, обеспечивающие единое представление о безопасности во всем SDLC. Эти решения централизуют управление инструментами и политиками безопасности, оптимизируя процесс обеспечения безопасности и снижая риск пропущенных уязвимостей.

Сортировка, дедупликация и приоритезация предупреждений безопасности являются одними из основных проблем, с которыми сталкиваются владельцы AppSec. Управлять объемом оповещений и определять, какие из них требуют немедленного внимания, а какие можно игнорировать, может быть непросто. Кроме того, владельцам AppSec необходимо оценить влияние уязвимостей на их конкретные системы, что требует глубокого понимания технологического стека и приложений.

Подход AppSec охватывает SDLC от написания кода до сборки, упаковки и тестирования и имеет решающее значение для снижения уязвимостей как в пользовательском коде, так и в компонентах с открытым исходным кодом, тем самым снижая ответственность производителей и операторов программного обеспечения. Ведущими поставщиками в этой области являются Veracode, Checkmarx, Snyk, Synopsis и Fossa.

На диаграмме ниже представлен упрощенный обзор рынка AppSec, на котором показаны несколько ключевых игроков. 

Упрощенный взгляд на рыночную ситуацию AppSec

Хотя решения AppSec могут быть эффективными в обнаружении известных уязвимостей и небезопасных шаблонов кода, они, как правило, носят реактивный, а не превентивный характер; они не уменьшают зону атаки заранее. Более того, большое количество ложноположительных предупреждений, генерируемых сканерами, может помешать разработчикам сосредоточиться на наиболее важных проблемах безопасности. Процесс сканирования также может отнимать много времени и нарушать сроки разработки, усложняя процесс разработки и замедляя выпуск нового программного обеспечения.

Растущая роль безопасности цепочки поставок программного обеспечения

Решения AppSec игнорируют области SDLC, которые могут быть уязвимы для атак и влияют на цепочку поставок программного обеспечения. К этим областям относятся инструменты разработки, репозитории кода, системы управления исходным кодом, серверы сборки и системы реестра артефактов, которые могут содержать уязвимости и неправильные конфигурации.

С другой стороны, с точки зрения потребителей программного обеспечения, общая проблема заключается в том, что стороннее программное обеспечение может создавать уязвимости безопасности, которые трудно обнаружить и устранить. Потребителям важно тщательно оценивать и проверять используемое ими программное обеспечение, а также регулярно отслеживать и обновлять его, чтобы снизить эти риски.

Чтобы преодолеть эти проблемы, как производителям программного обеспечения, так и потребителям необходимо принять более широкий подход. Производителям программного обеспечения следует интегрироваться на всех этапах SDLC и использовать автоматизированные инструменты для устранения угроз безопасности.

• Управление положением CI/CD – Для защиты цепочки поставок программного обеспечения решающее значение имеет безопасный SDLC. Управление состоянием CI/CD автоматизирует обнаружение и обеспечивает соблюдение правил безопасности. В наши дни прозрачность SDLC и использование безопасной инфраструктуры в средах разработки являются непростой задачей для предприятий. Управление состоянием CI/CD должно включать аутентификацию сервера, ограничения на общедоступные репозитории/корзины и истечение срока действия ключей. Ограничение рискованных методов разработки, таких как выполнение непроверенных ресурсов и ссылки на внешне измененные изображения, повышает безопасность программного обеспечения и снижает риск атак в цепочке поставок.
• Аттестация и происхождение – Для обеспечения безопасности цепочки поставок программного обеспечения требуется аттестация (проверка подлинности программного обеспечения) и отслеживание происхождения (происхождение, право собственности и хранение). Аттестация и происхождение влияют на решения о доверии, снижая риск несанкционированного доступа, уязвимостей и недостаточной безопасности в разработке, обеспечивая при этом соответствие отраслевым стандартам.
  Чтобы эффективно реализовать аттестацию и происхождение, необходимо собрать и криптографически подписать доказательства из таких источников, как менеджеры исходного кода, инструменты CI, серверы сборки и т. д. Доказательства включают в себя личность разработчика, подтверждение проверки кода, хэши файлов/артефактов и состояние безопасности инструментов. Политики аттестаций обеспечивают безопасную разработку и сборку, проверку на несанкционированный доступ и соответствие таким стандартам, как SSDF и SLSA.
  Существующие API и решения для наблюдения не могут собирать доказательства, подписывать аттестации и создавать следы происхождения. Необходимо разработать новые агенты для отслеживания данных, генерируемых во время SDLC, и подписывать доказательства целостности и подлинности.

С той же целью, помимо SDLC, как производители программного обеспечения, так и потребители должны искать средства для достижения следующего:

• Постоянное соответствие – Непрерывная проверка помогает поддерживать соответствие требованиям и защищать от уязвимостей даже после развертывания. Это предполагает непрерывный мониторинг и проверку безопасности компонентов программного обеспечения на протяжении всего процесса разработки и развертывания программного обеспечения. SBOM — это важный инструмент непрерывной проверки, в котором перечислены компоненты программного обеспечения и их версии, используемые в проекте. SBOM облегчают сканирование уязвимостей, помогают организациям опережать потенциальные угрозы безопасности и обеспечивать соблюдение правил и стандартов, таких как SSDF.
• Делитесь SBOM и аттестациями и постоянно отслеживайте риски – Наличие SBOM и постоянный мониторинг потенциальных рисков имеют решающее значение для обеспечения безопасности программного обеспечения и соответствия требованиям. SBOM предоставляют потребителям возможность управлять рисками, обнаруживать уязвимости, отклонять компоненты с низкой репутацией и обеспечивать безопасность цепочки поставок посредством аттестации.

Вышеупомянутые четыре пункта являются четырьмя краеугольными камнями безопасности цепочки поставок программного обеспечения и критериями выбора решения в этой области.

Ситуация на рынке безопасности цепочки поставок программного обеспечения о AppSec

Заключение

Поскольку разработка программного обеспечения и использование сторонних компонентов продолжают расширяться, необходимость комплексного и интегрированного подхода к безопасности цепочки поставок программного обеспечения становится все более важной. Традиционные меры AppSec по-прежнему важны, но уже недостаточны для полной защиты от меняющегося ландшафта угроз, и организациям необходимо принять более целостный подход для обеспечения безопасности своей цепочки поставок программного обеспечения. 

Чтобы преодолеть развивающиеся проблемы безопасности, в настоящее время мы наблюдаем эволюцию безопасности приложений к безопасности цепочки поставок программного обеспечения. Он включает в себя новое поколение технологий и новых инструментов, которые пытаются решить эти проблемы. Производителям программного обеспечения необходимо интегрировать новые технологии безопасности, использующие преимущества современных инфраструктур и инструментов, и они должны делать это на всех этапах SDLC и использовать автоматизированные инструменты, такие как управление состоянием CI/CD, технологии аттестации и происхождения, непрерывное подписание кода, постоянное соблюдение требований и управление, а также точные и высокоточные SBOM. Потребители программного обеспечения должны требовать SBOM и дальнейшую научно обоснованную аттестацию всех аспектов безопасности программного обеспечения, которое они используют на постоянной основе, до и после развертывания программного обеспечения в производство в течение всего его жизненного цикла.

Автоматизированные инструменты и решения, такие как Писец помочь организациям достичь нового уровня безопасности, предоставляя научно обоснованную платформу непрерывного обеспечения безопасности кода, которая может подтвердить надежность жизненного цикла разработки программного обеспечения и компонентов программного обеспечения.

Полный текст Белой книги нажмите здесь. >>>

Статьи по теме

Защита от недавних атак на цепочку поставок программного обеспечения: уроки и стратегии

В последние годы атаки на цепочки поставок программного обеспечения стали серьезной угрозой кибербезопасности, нацеленной на сложные сети взаимоотношений между организациями и их поставщиками. В этой статье рассматриваются примечательные недавние атаки на цепочки поставок, изучается, как они произошли, и обсуждаются стратегии предотвращения и смягчения последствий. От нарушений, которые ставят под угрозу конфиденциальные данные, до атак, которые используют […]

Практические шаги по защите вашего конвейера MLOps

Представьте себе следующее заседание совета директоров. Вы, руководитель службы безопасности в своей организации, представите стандартную презентацию рисков, мер по их устранению и инцидентов. Затем один из членов правления спросит: как вы готовитесь защитить новые технологии искусственного интеллекта и конвейеры MLOps, которые компания уже использует? Вот ваш ответ. ИИ […]

Сотрудничество с NCCoE для укрепления цепочки поставок программного обеспечения и безопасности DevOps

В Scribe Security мы считаем, что будущее кибербезопасности зависит от защиты цепочек поставок программного обеспечения изнутри. Вот почему мы гордимся сотрудничеством с Национальным центром передового опыта в области кибербезопасности (NCCoE) в рамках его проекта «Цепочка поставок программного обеспечения и методы безопасности DevOps». Эта инициатива объединяет участников государственного и частного секторов, чтобы изучить, как […]