SolarWinds’in yazılımının iki yıldan uzun bir süre önce hacklenmesi, yazılım tedarik zinciri saldırıları tehdidini güvenlik görüşmelerinin önüne itti, ancak herhangi bir şey yapılıyor mu?
Bu hafta birkaç gün içinde, tedarik zinciri güvenliğini desteklemek için en az dört farklı çaba açıklandı; bu, bu tür risklerin ne kadar akılda kalıcı hale geldiğinin bir örneği ve satıcıların ve geliştiricilerin bunları azaltma yönündeki çabalarının bir örneği.
Tehdit büyüyor. Gartner bekler 2025 yılına kadar, dünya çapındaki kuruluşların yüzde 45’i bir yazılım tedarik zinciri saldırısı yaşamış olacak, bu da 2021’den üç kat daha fazla. Açık bir MITRE ATT&CK benzeri çerçeve oluşturan startup Ox Security’nin CEO’su Neatsun Ziv’e göre bu sürpriz değil. işletmelerin yazılım tedarik zincirlerini kontrol etmesi için.
“Bu tür saldırılar süper, süper kazançlı oluyor çünkü [hits] Ziv, “Tek bir silahtan elde edebileceğiniz, sektörde gördüğünüz başka hiçbir şeyle orantılı değil” dedi. Kayıt.
SolarWinds saldırısında olduğu gibi, kötü niyetli bir kişi, güvenliği ihlal edilmiş yazılım müşterilere gönderilmeden ve bu sistemleri tehlikeye atmadan önce bir yazılım parçasına kötü amaçlı kod enjekte edebilir. Kuruluşlar bunu yakalamakta yavaş görünüyor.
Daha yakın zamanlarda, saldırganlar GitHub gibi kod havuzlarını hedef aldı ve PyPI ve CI/CD platform sağlayıcısı gibi şirketler ÇemberCISiber güvenlik satıcısı ReversingLabs’in saha CISO’su Matt Rose’a göre, tedarik zinciri saldırısının tanımını genişleten bir olay.
Rose, “CircleCI olayının gösterdiği şey, kuruluşların yalnızca derlenmiş bir nesneye veya teslimata kötü amaçlı yazılım enjekte edilmesiyle değil, aynı zamanda bunları oluşturmak için kullanılan araçlarla da ilgilenmesi gerektiğidir.” Blog yazısı. “İşte bu yüzden CircleCI hack’i, pek çok kuruluş için ufuk açıcı.”
Hepsi için tek bir çerçeve
OSC&R (Açık Yazılım Tedarik Zinciri Saldırı Referansı) bu hafta kullanıma sunuldu ve Check Point’in eski siber güvenlik başkan yardımcısı Ziv ve Google, Microsoft, GitLab ve Fortinet gibi yerlerde geçmişi olan diğer güvenlik profesyonelleri tarafından kuruldu.
Buradaki fikir, işletmelere tedarik zincirlerine yönelik riskleri değerlendirmek ve ölçmek için ortak bir çerçeve sağlamaktır; bu, geleneksel olarak sezgi ve deneyimle yapılan bir şeydir. OSC&R, kuruluşlara saldırı taktiklerini ve savunmalarını anlamak, tehditleri önceliklendirmek ve tehdit grubu davranışını izlemek için ortak bir dil ve araçlar sağlayacaktır.
Yeni taktikler ortaya çıktıkça güncellenecek, kırmızı takım penetrasyon tatbikatlarına yardımcı olacak ve diğer satıcılardan katkı alacak. Grup, MITRE ATT&CK’de kullanılan fidye yazılımı ve uç noktalar için konseptler aldı ve bunları tedarik zincirine uyguladı.
Ziv, “Zorluk, bizi temel bir anlayıştan, tedarik zinciri saldırılarına karşı duyarlıysak çevremizi kontrol etme yeteneğimize götürecek bir çerçevenin olmamasıydı,” dedi.
Çerçeve, konteyner ve açık kaynak güvenliği, sır hijyeni ve CI/CD duruşu gibi dokuz temel alana değiniyor ve ilk erişim, kalıcılık, ayrıcalık yükseltme ve savunma kaçırma gibi alanlarda saldırganlar tarafından kullanılan teknikleri özetliyor. Hem özelliklerde hem de katkı sağlayanlarda büyüyecek” dedi.
OpenVEX spesifikasyonu
Aynı ruhla, tedarik zinciri güvenliği satıcısı Chainguard, kurumsal yazılımlardaki güvenlik açıklarını ele alan bir araç olan Visibility Exploitability eXchange’in (VEX) benimsenmesine hızlı bir başlangıç yapmak için HPE, VMware ve The Linux Foundation’ı içeren bir grubun başında yer alıyor. ABD Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA) ve Siber Güvenlik Altyapısı Güvenlik Ajansı (CISA) gibi kurumlar tarafından desteklenmektedir.
Giriş OpenVEX spesifikasyonu ve referans araç zinciri
Chainguard’ın kurucusu ve CEO’su Dan Lorenc, “Bugüne kadar VEX, endüstrinin minimum gereksinimleri tartışmak ve oluşturmak için zaman harcadığı bir kavramdı.” yazdı. “OpenVEX’in piyasaya sürülmesiyle kuruluşlar artık VEX’i uygulamaya koyabilir.”
Lorenc, OpenVEX’in şeffaflığa yardımcı olan ancak sektörde “gürültü” yaratabilen yazılım malzeme listesine eşlik edecek şekilde çalışacağını yazdı. OpenVEX ile tedarikçiler, ürünlerin ne kadar istismar edilebilir olduğunu daha kesin bir şekilde tanımlayabilir ve son kullanıcıların yanlış pozitifleri filtrelemesine yardımcı olabilir.
Chainguard, OpenVEX’i Wolfi konteynere özgü Linux dağıtımı ve varsayılan olarak güvenli konteyner temel görüntüleri dahil olmak üzere bazı ürünlerine yerleştirdi.
Siber güvenlik satıcısı Checkmarx, tedarik zincirine odaklanmak için Mart 2022’de piyasaya sürdüğü bir tehdit istihbarat aracıyla tedarik zinciri güvenliği teklifini geliştiriyor. Kötü amaçlı paketleri saldırı türüne göre tanımlama (yazım hatası veya bağımlılık karışıklığı gibi) gibi bilgileri içerir; saldırının arkasındaki operatörlerin analizi, paketlerin nasıl çalıştığı ve bunların arkasındaki geçmiş veriler.
“Bu istihbarat, genellikle fidye yazılımı, kripto madenciliği kodu, uzaktan kod yürütme ve diğer yaygın kötü amaçlı yazılım türlerini içeren, amaca yönelik oluşturulmuş, kötü amaçlı paketleri izlemekle ilgilidir.” yazdı Checkmarx’ın ana içerik pazarlama yöneticisi Stephen Gates.
CISA hareket halinde
CISA’nın tedarik zinciri güvenliğini ele almak ve federal politikaları uygulamaya koymak için kamu ve özel sektörle birlikte çalışmak üzere bir ofis oluşturduğu bildiriliyor. daki bir habere göre Federal Haber Ağı, Shon Lyublanovits girişimi yönetiyor. CISA’nın siber güvenlik bölümünün bir parçası olan siber tedarik zinciri risk yönetimi (C-SCRM) için proje yönetim ofisinin başındadır.
Ofisin ele alacağı sorunlar, sahte bileşenlerden açık kaynaklı yazılım güvenlik açıklarına kadar uzanıyor.
oluşturduğundan beri tedarik zinciri güvenliğine odaklanan CISA için son adımdır. görev gücü 2018’de BT ve iletişim teknolojisi görevi için.
Tedarik zinciri güvenliği satıcısı Endor Labs’ın kurucu ortağı ve CEO’su Varun Badhwar, CISA’nın ofisi oluşturma kararını alkışlayarak şunları söyledi: Kayıt “böylesine yüksek bir seviyede yeni bir yetenek oluşturmanın bir kilometre taşı olarak öne çıktığı”.
Ancak Badhwar, sorunun karmaşıklığını anlamanın önemli olduğunu söyledi. Yazılım yaşam döngüsü boyunca açık kaynaklı bileşenler vardır ve kuruluşların öncelikle kullandıkları açık kaynaklı yazılımları güvenceye almaları gerekir. Kuruluşlar ve ajanslar, geliştiriciler tarafından indirilen ortalama 40.000’den fazla açık kaynaklı yazılım paketi kullanır ve bunların her biri 77 bağımlılık daha getirebilir.
Endor Labs’in açık kaynak güvenlik açıklarının yüzde 95’inin geçişli bağımlılıklarda bulunduğunu bulduğunu da sözlerine ekleyerek, “Bu, tedarik zinciri saldırı yüzeyini birden çok boyutta artıran devasa, kontrolsüz bir yayılmaya neden oluyor” dedi. ®