Как обеспечить безопасность вашей цепочки поставок программного обеспечения для бизнес-инноваций
1 ноября 2022 г.Размышляя об истории программного обеспечения, невозможно понять, как далеко ушла ИТ-индустрия от первых дней каскадной разработки и монолитных неуклюжих приложений. Эта эволюция программного обеспечения отразилась в бизнес-моделях, поскольку большинство отраслей встали на путь цифровой трансформации. Поскольку мир становится все более ориентированным на программное обеспечение, компании создают и развертывают новые приложения, чтобы идти в ногу с требованиями клиентов и меняющимся ландшафтом угроз.
Кибератаки не зависят от отрасли, и, хотя растущая зависимость от технологий открывает возможности, они также предоставляют преступникам больше путей для атак на бизнес. В то время как компании работают над постоянным улучшением своих предложений для своих клиентов, они также должны обеспечивать безопасность на каждом этапе этого процесса; от разработки до поставки, до производства. Без надежной цепочки поставок программного обеспечения бизнес-инновации застопорятся, не успев начаться.
Уязвимая сеть
По результатам опроса в 2021 году несмотря на то, что 95 % респондентов очень уверены в безопасности своей цепочки поставок программного обеспечения, более половины (58 %) руководителей высшего звена не знают, как устранять неполадки, связанные с атакой программы-вымогателя, или к кому обратиться за помощью. . Это заставляет усомниться в том, действительно ли руководители высшего звена понимают потенциальные ловушки, если они не понимают, как решить проблему, если она возникнет.
Руководителям, которые считают, что их цепочка поставок программного обеспечения полностью безопасна, необходимо пересмотреть свою позицию, поскольку существует множество потенциальных брешей в безопасности, которые могут привести к серьезным нарушениям работы бизнеса. Вам не нужно заглядывать далеко в прошлое, чтобы увидеть разрушения, которые может вызвать атака программ-вымогателей. Атака программы-вымогателя Kaseya поставила более 40 000 организаций в риск взлома, поскольку они использовали уязвимые версии программного обеспечения Kaseya VSA.
Думать о безопасной цепочке поставок программного обеспечения в организационной структуре может быть сложно. Большинство предприятий работают с несколькими поставщиками, и чем больше сторонних организаций зависит от предприятия, тем больше «звеньев» в цепочке поставок программного обеспечения для бизнеса.
Более длинная цепочка, естественно, создаст больше потенциальных точек отказа или уязвимостей для использования хакерами. Чтобы цепочка поставок корпоративного программного обеспечения была максимально безопасной, безопасность необходима на каждом этапе цепочки. Это означает безопасность от разработки и написания кода до доставки и запуска в производство.
Безопасность в разработке
Обсуждая передовые методы обеспечения безопасности, многие эксперты говорят о важности гигиены безопасности. Это включает в себя такие основы, как защита паролей, обучение сотрудников и обнаружение угроз.
Точно так же чистый код является основой эффективности разработки, скорости выпуска и общей безопасности приложения. Чистый код — код, который является безопасным, простым для понимания и легко изменяемым — должен быть установлен с самого начала.
Альтернатива может привести ко многим последующим проблемам, особенно когда проблемы обнаруживаются после того, как код был выпущен после производства. Крайне важно, чтобы разработчики понимали важность превентивных мер безопасности и внедряли эти меры при создании кода.
Это часто называют «сдвигом влево», но перекладывание большей части бремени обеспечения безопасности программного обеспечения на разработчиков — нежизнеспособное долгосрочное решение. В цепочке поставок программного обеспечения достаточно одного слабого звена, чтобы поставить под угрозу силу целого, и достаточно часто эта слабость не видна командам инженеров.
Нам необходимо предоставить и внедрить экосистему DevOps, которая обеспечивает безопасность цепочки поставок программного обеспечения и просит разработчиков устранять только те проблемы, которые существуют в их коде. Такой подход необходим для поддержания продуктивности разработчиков.
Надежность при доставке
Для обеспечения безопасности при доставке необходимо отслеживать все потенциальные проблемы, которые могут возникнуть в процессе доставки, помимо самого кода, и именно здесь автоматизация играет ключевую роль. Автоматизация — это фундаментальный шаг для обеспечения безопасности всей цепочки поставок программного обеспечения, который может устранить любые человеческие ошибки или определить этапы, которые могли быть пропущены. Даже если код очень надежен, без безопасного конвейера доставки код по-прежнему уязвим для человеческих ошибок или злоумышленников.
Наряду с автоматизацией организациям следует настроить контроль доступа и привилегий для кода и самого конвейера. Обеспечение того, чтобы нужные люди имели правильный доступ к системам, имеет первостепенное значение для обеспечения безопасности.
Прежде всего, код и конвейер компании настолько безопасны, насколько безопасны ее меры безопасности, и, внедряя безопасность на каждом этапе пути — от разработки до поставки и производства — компании могут построить надежную и безопасную цепочку поставок. Мало того, что устаревшие традиционные отрасли обращаются к стратегиям, ориентированным на программное обеспечение, но и для многих предприятий программное обеспечение теперь является второй натурой.
Сегодня нет отрасли, которая могла бы позволить себе стать жертвой нарушения безопасности, особенно такого, которое можно было бы предотвратить с помощью целостного комплексного подхода к программному обеспечению. Чтобы обеспечить будущие инновации, компаниям необходимо ознакомиться с потенциальными недостатками в своей цепочке поставок программного обеспечения и работать над их быстрым устранением, иначе они рискуют стать следующей компанией, которая станет жертвой атаки.
Безопасность в рабочей среде
После того, как код развернут, он не может быть «с глаз долой, из сердца вон». Релизы происходят так часто и быстро, что даже после развертывания кода важно отслеживать его. Не менее важно обеспечить, чтобы ИТ-специалисты могли быстро отреагировать, как только возникнет проблема с безопасностью.
При обнаружении и устранении проблем важно учитывать два ключевых отраслевых показателя: среднее время обнаружения (MTTD), продолжительность времени, необходимого для обнаружения проблемы после выпуска программного обеспечения, и среднее время устранения (MTTR). продолжительность времени, необходимого для устранения обнаруженной проблемы.
С момента появления серьезной уязвимости автоматически запускается обратный отсчет между обнаружением и устранением, и действия, предпринимаемые специалистами по безопасности в течение этого времени, напрямую влияют на результат. В то время как скорость имеет существенное значение, так же как и точность. Именно здесь вступают в игру новые методы быстрого реагирования, такие как автоматические откаты и пометка функций. , гарантируя, что команды смогут эффективно и действенно устранить проблему.
Оптимальная стратегия безопасности также должна включать в себя систему непрерывного соблюдения требований, которая работает в тандеме с хорошей системой смягчения последствий. Лучшая система будет действовать в стиле петли обратной связи, которая соединяет всю цепочку поставок предприятия с системой кодирования и будет выходить за рамки простого обнаружения нарушений правил безопасности и соответствия, запуская меры по их устранению и предоставляя четкие и конкретные инструкции о том, как их устранить. решить проблемы под рукой. п
Оригинал