Notícias de dispositivos móveis, gadgets, aplicativos Android

Como a visibilidade na cadeia de suprimentos de software pode reduzir ataques cibernéticos

Com os ataques cibernéticos surgindo hoje em vários setores de tecnologia, há mais foco do que nunca no monitoramento das cadeias de fornecimento de software no SDLC.

Quando SolarWinds foi hackeado em 2020o evento causou ondas de choque em toda a ind√ļstria de software.

Embora a segurança cibernética sempre tenha sido importante até então, uma violação de segurança tão importante certamente faria as pessoas se sentarem e prestarem atenção.

Uma das coisas que tornou o ataque t√£o not√°vel foi o tempo que demorou para ser detectado. O tempo de perman√™ncia durou mais de um ano ‚Äď tempo mais do que suficiente para que supostos hackers russos roubassem informa√ß√Ķes valiosas de organiza√ß√Ķes clientes, incluindo departamentos governamentais como seguran√ßa interna, Tesouro, Com√©rcio e Estado. Organiza√ß√Ķes privadas como Deloitte, Microsoft e Intel tamb√©m foram afetadas, entre muitos outros nomes importantes da ind√ļstria tecnol√≥gica.

Gestão de riscos com SBOMs é uma prática DevOps altamente recomendada que visa mitigar os riscos de ataques à cadeia de suprimentos de software. Neste artigo, destacaremos esta prática e examinaremos como a visibilidade de cada unidade constituinte da cadeia de fornecimento de software pode reduzir o risco de ataque cibernético.

Qual é a cadeia de suprimentos de software?

V√°rias organiza√ß√Ķes de desenvolvimento de software dependem de v√°rios componentes para o funcionamento di√°rio eficiente de suas opera√ß√Ķes. Na maioria das vezes, o software √© integrado a componentes e depend√™ncias de terceiros. Conseq√ľentemente, o produto de software cont√©m inerentemente a cadeia de suprimentos de software de cada parte constituinte.

Essa rede de dependências permite que os desenvolvedores escalem seus projetos rapidamente. No entanto, isso coloca o software em risco de vulnerabilidades herdadas de outros códigos-fonte e processos além do seu controle direto.

A cadeia de suprimentos de software √© uma rede de plug-ins, depend√™ncias de cont√™ineres, bibliotecas, plug-ins, bin√°rios e c√≥digo. Al√©m disso, o newton inclui ferramentas como reposit√≥rios, analisadores de c√≥digo, ferramentas de opera√ß√Ķes de registro e orquestradores de constru√ß√£o.

N√≥s recomendamos:  Como consertar Ctrl + F que n√£o funciona Windows 11/10

Além disso, a cadeia de fornecimento de software inclui o pessoal humano envolvido no processo de criação.

Como resultado da escala das opera√ß√Ķes, torna-se necess√°rio encontrar formas de identificar componentes da cadeia de abastecimento ‚Äď saber de onde veio cada unidade, para ajudar a isolar amea√ßas potenciais muito antes de se manifestarem.

Para esse efeito, a administra√ß√£o Biden ordenou que as organiza√ß√Ķes e fornecedores de software que t√™m o governo federal como seus clientes fornecessem uma lista de materiais de software (SBOM).

Aqui estão os componentes típicos de um SBPM:

‚óŹ Componentes de c√≥digo aberto

‚óŹ Licen√ßas de c√≥digo aberto

‚óŹ Vers√Ķes de c√≥digo aberto

‚óŹ Vulnerabilidades de c√≥digo aberto

Com o atual risco e ameaça de ataque cibernético, é essencial tomar as medidas corretas para monitorizar a cadeia de abastecimento e reduzir o risco de segurança cibernética.

Veja como funciona:

Verificando dependências

As dependências de código aberto devem ser verificadas e avaliadas quanto ao risco em cada estágio do SDLC.

Os desenvolvedores podem aprender sobre possíveis vetores na cadeia de suprimentos por meio de SCA (análise de composição de software para mitigar riscos antes que eles avancem no pipeline).

Digitalize os repositórios GitHub

Os repositórios GitHub hospedam algumas das grandes bibliotecas de código existentes. Como tal, é essencial monitorizar a plataforma através da verificação regular dos seus repositórios.

Os usu√°rios podem receber notifica√ß√Ķes em tempo real que impedem a divulga√ß√£o de determinadas informa√ß√Ķes. Dessa forma, fica f√°cil para os desenvolvedores analisar a validade do c√≥digo-fonte.

Use hiperledgers.

Para validar sua cadeia de suprimentos, é essencial avaliar as tecnologias hyperledger e o lugar da tecnologia blockchain.

A tecnologia Blockchain é um mecanismo descentralizado. Quando incorporado à análise da cadeia de fornecimento de software, fornece muita transparência e ajuda a identificar pontos fracos em ataques secretos.

N√≥s recomendamos:  8 plugins mais bem pagos para WordPress ūü§Ď 2023 (gratuitos e...

Usar tokens de mel

Honeytokens podem desempenhar o papel de iscas de dados para alertar as organiza√ß√Ķes sobre amea√ßas e vulnerabilidades ativas de hackers a serem avaliadas e tratadas em tempo real.

Honeytokens são excelentes porque ajudam a evitar riscos substanciais de segurança.

Realizar avaliação de risco

Avalia√ß√Ķes de risco oportunas tamb√©m s√£o uma √≥tima maneira de monitorar sua cadeia de suprimentos e reduzir o risco de incurs√Ķes maliciosas.

Isso ajuda de forma proativa e serve como um meio de educar sua equipe e fazer com que todos entendam as melhores pr√°ticas da cadeia de suprimentos.

Resolva possíveis problemas de terceiros

Os problemas da cadeia de abastecimento nem sempre têm a ver com dependências de terceiros. Seu fornecedor provavelmente usa seus próprios subfornecedores e subcontratados.

Mitigar esse tipo de risco é complicado. No entanto, certas ferramentas de segurança cibernética permitem verificar esse pipeline em busca de vulnerabilidades potenciais.

Monitore fornecedores terceirizados

Os desenvolvedores devem prestar mais atenção aos seus fornecedores de software, especialmente aqueles com acesso especial aos ativos de software da organização.

Esses fornecedores devem passar por uma avaliação completa para garantir que o SDLC do produto tenha a maior integridade possível.

Monitore os endpoints do desenvolvedor

Os endpoints do desenvolvedor tamb√©m exigem monitoramento. Ferramentas como m√°quinas virtuais, servidores e esta√ß√Ķes de trabalho devem ser constantemente avaliadas quanto a pontos fracos.

Você pode então configurar mecanismos de proteção de endpoint, tecnologia de resposta e detecção de endpoint para relatórios eficientes.

A import√Ęncia da visibilidade da cadeia de abastecimento

Os hackers est√£o come√ßando a adaptar seus padr√Ķes de ataque ao software. Na maioria das vezes, os ataques s√£o diretos. Suficientes est√≠mulos e sondagens revelam vulnerabilidades inerentes ao software implantado. Posteriormente, o malware √© introduzido para explorar a viola√ß√£o.

Com o tempo, o malware se espalha e se estende ao software componente e cliente.

N√≥s recomendamos:  O que s√£o pontos do Google Play? E como usar os Google Play Points?

Nesse caso, existem dois métodos para conter um ataque.

Primeiro, as empresas podem bloquear explora√ß√Ķes conhecidas e reduzir o tempo de perman√™ncia de poss√≠veis hackers.

Como tal, √© essencial que os desenvolvedores de software integrem o SCA e os testes de vulnerabilidade o mais cedo poss√≠vel no SDLC para sinalizar novas viola√ß√Ķes. Os scanners de vulnerabilidade procuram padr√Ķes de c√≥digo mal escritos e os sinalizam para sua aten√ß√£o.

Conclus√£o

Antes de compreender a abordagem de segurança cibernética a ser adotada, é essencial compreender a diferença entre localizar adulteração de software e detecção de vulnerabilidade.

No primeiro caso, os danos j√° est√£o em curso e o software foi significativamente alterado. Por outro lado, a detec√ß√£o de vulnerabilidades envolve localizar e isolar viola√ß√Ķes antes que elas se tornem pontos de entrada maliciosos.

Ambas as abordagens s√£o necess√°rias em v√°rios casos.

No entanto, √© essencial proteger o seu pipeline em todas as fases do SDLC. Na maioria das vezes, as vulnerabilidades s√£o introduzidas na fase inicial, avan√ßando no pipeline at√© que o projeto seja implantado. Neste ponto, geralmente √© tarde demais para fazer corre√ß√Ķes.

Embora os hackers continuem a ser engenhosos em seus esforços, ainda existem maneiras de impedir suas atividades e manter seu projeto de software seguro.

Table of Contents