SCSW Snap Bilgi Güvenliği Sorumlusu Jim Higgins, 1’den 10’a kadar bir ölçekte, 10 en yüksek risktir, yazılım tedarik zinciri riskini “yaklaşık 9,9” olarak derecelendirir.
Kayıt için on, “her zaman güvenlik hijyeni” dedi. Kayıt. Görünüşe göre bir sonraki SolarWinds tarzı senaryodan kaçınmaktan çok uzağız.
Tedarik zinciri yalnızca yüksek risk altında değil, aynı zamanda düzeltilmesi zor bir güvenlik sorunudur çünkü tek bir üründe on binlerce yazılım bağımlılığı olabilir.
Higgins, “Bu bir fizik sorunu,” dedi, çünkü yazılım paketleri diğer pek çok üçüncü taraf ve açık kaynaklı yazılım kitaplığına bağımlı. Ve kuruluşunuzu bir sonraki uyarıcı hikaye haline getirmek için bunlardan yalnızca birinde bir hata olması yeterlidir.
Higgins’e göre, diğer CISO’ların tedarik zinciri güvenliğini iyileştirmek için yapabileceği en önemli şey, kuruluşlarının hangi yazılımı kullandığını bilmek ve tedarik zincirindeki bağımlılıkları anlamaktır. Sorunu çözmek için bir başlangıç noktası olarak kullanımdaki kitaplıkların tam bir envanterini eklemenizi önerir, böylece güvenlik personeli neyi kontrol edeceğini tam olarak bilir.
“Envanterinizi anlamak kesinlikle 1 numaradır” dedi. “Sorunun yüzde 50’si bu. Her şeyin nerede olduğunu anlarsanız ve bir CVE vurursa, o zaman en azından nerede ve ne yapmanız gerektiğini anında bilirsiniz.”
Ayrıca yama yapmayı unutmayın. ®