软件供应商是否像你一样关心安全问题?
这篇文章的一个版本出现在《安全杂志》上。它已被更新并在此转发。
对于安全专家来说,12月13日有一些特别之处。它是我们最终永远消除SQL注入的日子吗?当然不是。也许它是 "国际安全工作者感谢日"?也不是。在这一天,FireEye和Mandiant发布了他们令人震惊的报告,内容是关于一个以前不为人知的全球入侵活动,该活动将被称为SolarWinds。该报告详细介绍了一个持续的、几乎令人难以置信的攻击,其中恶意代码被隐藏在SolarWind流行的Orion管理软件的软件更新中。
超過18,000名SolarWinds客戶已經下載了該損壞的更新。他们中的许多人都是自动下载的,就像他们在其组织和网络中对数百个其他软件更新所做的那样。攻击者在通过SolarWinds漏洞获得访问权后,对他们选择的攻击对象进行了高度的选择性。许多大公司以及政府机构的数据被盗,他们的网络被破坏。这是有史以来规模最大、代价最高的漏洞之一,尤其是在政府机构的案例中,损失的全部程度从未被公开分享。
而这一切的发生是因为人们信任他们的软件供应链中的供应商,而没有适当地核实或审查他们的活动。
供应链安全的巨大转变
一旦警报响起,各公司、组织和政府机构就会迅速做出反应。当然,SolarWinds的漏洞被阻止了,但这次攻击也暴露了无监管和无监控的软件供应链的危险性。虽然SolarWinds事件一经发现就迅速得到解决,但关于供应链如何被用作攻击媒介的影响仍在持续。如果这次攻击没有其他好处,它至少使人们注意到网络安全的一个关键但被忽视的方面。
对SolarWinds攻击事件最引人注目的回应之一是拜登总统关于改善国家网络安全的行政命令。该命令是美国有史以来发布的最全面的网络安全指令之一。它要求各机构和与政府有业务往来的人加强网络安全,倡导零信任网络等先进的保护措施,并强调了软件供应链安全的必要性。
虽然该EO是专门针对政府的,但其他团体也开始强调供应链安全的重要性,以防止另一次SolarWinds式的攻击。例如,Palo Alto最近发布了题为 "保护软件供应链以保护云 "的第42单元云威胁报告。该报告指出,没有软件供应链的安全,任何云的部署都是完全安全的。而云原生计算基金会也同意,发布了一份白皮书,详细说明了在SolarWinds事件后必须遵循的关键软件供应链最佳实践。
可以说,过去几年是网络安全标准的转型期,虽然不是强制性的,但所有组织都应以此为目标,将供应商的安全实践视为自身内部安全计划的一部分进行严格审查。CISA 的新战略计划等举措进一步证明,将安全作为一项共同责任,正在成为所有软件创建者,尤其是涉及关键基础设施或软件供应链的创建者的新标准的一部分。
企业如何改进软件供应链?
这种情况使许多供应商正确地询问他们可以做些什么,以保护他们自己的供应链。一个组织可以做什么来确保其供应商像他们一样关心网络安全?
EO特别概述了软件开发人员的影响,以及他们需要拥有经过验证的安全技能和意识,这是一个往往被遗忘的领域,因为这个行业是以工具为主导的,而不是通过关键的安全技能关注以人为本的防御。
显然,如今任何全面的网络安全方法都必须绝对包括详细的第三方风险assessment ,包括现有的技术安全控制和合作伙伴如何看待自己组织内的治理、风险和合规性assessment 。
所有第三方评估应包括保证和详细计划,说明你的软件供应链中的人计划如何发布带有经过验证的证书签名的安全程序更新,以及他们将如何帮助管理其所有软件和设备的身份。它还应该展示其产品的加密升级和更新的清晰路径。
而现在,开发人员终于被视为软件供应链安全的一个重要组成部分,任何assessment ,还应该包括一份报告,详细说明他们如何鼓励安全编码和开发社区的持续改进,最好是对他们的技能和目前的培训进行基准评估。我们知道,对开发人员技能提升的重视程度正在提高,但48%的开发人员承认在知情的情况下运送有漏洞的代码。
诸如时间限制等因素,以及在他们的世界里,安全根本不是最优先的事项(也不是衡量成功的标准),这些因素导致了一种环境,即代码级别的漏洞没有得到应有的早期解决。如果我们要阻止他们感染软件供应链,每个 组织都需要致力于一个更适合开发者的安全计划。
下一步?
风险评估是至关重要的,因为如果你使用一个有安全问题的供应商的软件,你将把它们继承到你的生态系统中,并承担后果。然而,企业也应该意识到,他们的供应商有可能实际上更安全,甚至可能更好地支持他们的开发者社区。
你可以使用第三方风险assessment ,作为评估你自己安全的第二种方式。如果一个供应商对安全的某些方面处理得比你的内部要好,你可以采用他们的方法来改善你自己的组织。
最后,真正改善软件供应链的下一个重要步骤是为开发人员实施安全编码认证。有一个好的计划是第一步,但验证它是否真的被遵守并帮助产生安全代码也是必要的。
在开发人员实现安全编码成为常态之前,我们总是无法在威胁行为者窥视之前关闭机会之窗。不过,有了正确的支持,现在产生积极影响还为时不晚。现在就看看您的开发人员如何利用敏捷学习的力量磨练相关的高影响力安全技能。
马蒂亚斯-马杜博士
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
软件供应商是否像你一样关心安全问题?
这篇文章的一个版本出现在《安全杂志》上。它已被更新并在此转发。
对于安全专家来说,12月13日有一些特别之处。它是我们最终永远消除SQL注入的日子吗?当然不是。也许它是 "国际安全工作者感谢日"?也不是。在这一天,FireEye和Mandiant发布了他们令人震惊的报告,内容是关于一个以前不为人知的全球入侵活动,该活动将被称为SolarWinds。该报告详细介绍了一个持续的、几乎令人难以置信的攻击,其中恶意代码被隐藏在SolarWind流行的Orion管理软件的软件更新中。
超過18,000名SolarWinds客戶已經下載了該損壞的更新。他们中的许多人都是自动下载的,就像他们在其组织和网络中对数百个其他软件更新所做的那样。攻击者在通过SolarWinds漏洞获得访问权后,对他们选择的攻击对象进行了高度的选择性。许多大公司以及政府机构的数据被盗,他们的网络被破坏。这是有史以来规模最大、代价最高的漏洞之一,尤其是在政府机构的案例中,损失的全部程度从未被公开分享。
而这一切的发生是因为人们信任他们的软件供应链中的供应商,而没有适当地核实或审查他们的活动。
供应链安全的巨大转变
一旦警报响起,各公司、组织和政府机构就会迅速做出反应。当然,SolarWinds的漏洞被阻止了,但这次攻击也暴露了无监管和无监控的软件供应链的危险性。虽然SolarWinds事件一经发现就迅速得到解决,但关于供应链如何被用作攻击媒介的影响仍在持续。如果这次攻击没有其他好处,它至少使人们注意到网络安全的一个关键但被忽视的方面。
对SolarWinds攻击事件最引人注目的回应之一是拜登总统关于改善国家网络安全的行政命令。该命令是美国有史以来发布的最全面的网络安全指令之一。它要求各机构和与政府有业务往来的人加强网络安全,倡导零信任网络等先进的保护措施,并强调了软件供应链安全的必要性。
虽然该EO是专门针对政府的,但其他团体也开始强调供应链安全的重要性,以防止另一次SolarWinds式的攻击。例如,Palo Alto最近发布了题为 "保护软件供应链以保护云 "的第42单元云威胁报告。该报告指出,没有软件供应链的安全,任何云的部署都是完全安全的。而云原生计算基金会也同意,发布了一份白皮书,详细说明了在SolarWinds事件后必须遵循的关键软件供应链最佳实践。
可以说,过去几年是网络安全标准的转型期,虽然不是强制性的,但所有组织都应以此为目标,将供应商的安全实践视为自身内部安全计划的一部分进行严格审查。CISA 的新战略计划等举措进一步证明,将安全作为一项共同责任,正在成为所有软件创建者,尤其是涉及关键基础设施或软件供应链的创建者的新标准的一部分。
企业如何改进软件供应链?
这种情况使许多供应商正确地询问他们可以做些什么,以保护他们自己的供应链。一个组织可以做什么来确保其供应商像他们一样关心网络安全?
EO特别概述了软件开发人员的影响,以及他们需要拥有经过验证的安全技能和意识,这是一个往往被遗忘的领域,因为这个行业是以工具为主导的,而不是通过关键的安全技能关注以人为本的防御。
显然,如今任何全面的网络安全方法都必须绝对包括详细的第三方风险assessment ,包括现有的技术安全控制和合作伙伴如何看待自己组织内的治理、风险和合规性assessment 。
所有第三方评估应包括保证和详细计划,说明你的软件供应链中的人计划如何发布带有经过验证的证书签名的安全程序更新,以及他们将如何帮助管理其所有软件和设备的身份。它还应该展示其产品的加密升级和更新的清晰路径。
而现在,开发人员终于被视为软件供应链安全的一个重要组成部分,任何assessment ,还应该包括一份报告,详细说明他们如何鼓励安全编码和开发社区的持续改进,最好是对他们的技能和目前的培训进行基准评估。我们知道,对开发人员技能提升的重视程度正在提高,但48%的开发人员承认在知情的情况下运送有漏洞的代码。
诸如时间限制等因素,以及在他们的世界里,安全根本不是最优先的事项(也不是衡量成功的标准),这些因素导致了一种环境,即代码级别的漏洞没有得到应有的早期解决。如果我们要阻止他们感染软件供应链,每个 组织都需要致力于一个更适合开发者的安全计划。
下一步?
风险评估是至关重要的,因为如果你使用一个有安全问题的供应商的软件,你将把它们继承到你的生态系统中,并承担后果。然而,企业也应该意识到,他们的供应商有可能实际上更安全,甚至可能更好地支持他们的开发者社区。
你可以使用第三方风险assessment ,作为评估你自己安全的第二种方式。如果一个供应商对安全的某些方面处理得比你的内部要好,你可以采用他们的方法来改善你自己的组织。
最后,真正改善软件供应链的下一个重要步骤是为开发人员实施安全编码认证。有一个好的计划是第一步,但验证它是否真的被遵守并帮助产生安全代码也是必要的。
在开发人员实现安全编码成为常态之前,我们总是无法在威胁行为者窥视之前关闭机会之窗。不过,有了正确的支持,现在产生积极影响还为时不晚。现在就看看您的开发人员如何利用敏捷学习的力量磨练相关的高影响力安全技能。
