20.1 C
Νέα Υόρκη

Το MITER δημιουργεί Πλαίσιο για την Ασφάλεια Εφοδιαστικής Αλυσίδας

Ημερομηνία:

Η ασφάλεια της εφοδιαστικής αλυσίδας ήταν όλος ο θόρυβος μετά από επιθέσεις υψηλού προφίλ, όπως το SolarWinds και το Log4j, αλλά μέχρι σήμερα δεν υπάρχει κανένας ενιαίος, συμφωνημένος τρόπος για τον καθορισμό ή τη μέτρησή της. Για το σκοπό αυτό, το MITER έχει δημιουργήσει ένα πρωτότυπο πλαίσιο για την τεχνολογία πληροφοριών και επικοινωνιών (ICT) που καθορίζει και ποσοτικοποιεί τους κινδύνους και τις ανησυχίες για την ασφάλεια σχετικά με προμηθευτές, προμήθειες και υπηρεσίες – συμπεριλαμβανομένου του λογισμικού.

Το λεγόμενο πρωτότυπο πλαίσιο του συστήματος εμπιστοσύνης (SoT) της MITRE είναι, στην ουσία, μια τυπική μεθοδολογία για την αξιολόγηση των προμηθευτών, των προμηθειών και των παρόχων υπηρεσιών. Μπορεί να χρησιμοποιηθεί όχι μόνο από ομάδες κυβερνοασφάλειας αλλά σε έναν οργανισμό για την αξιολόγηση ενός προμηθευτή ή ενός προϊόντος. 

«Ένας λογιστής, ένας δικηγόρος, ένας διευθυντής λειτουργιών θα μπορούσαν να κατανοήσουν αυτή τη δομή σε ανώτατο επίπεδο», λέει ο Robert Martin, ανώτερος μηχανικός διασφάλισης λογισμικού και εφοδιαστικής αλυσίδας στα εργαστήρια MITER Labs. «Το Σύστημα Εμπιστοσύνης έχει να κάνει με την οργάνωση και τη συγχώνευση υπαρχουσών δυνατοτήτων που απλώς δεν συνδέονται αυτή τη στιγμή» για να διασφαλιστεί η πλήρης αξιολόγηση του λογισμικού καθώς και των προσφορών παρόχων υπηρεσιών, για παράδειγμα.

Το SoT θα κάνει το επίσημο δημόσιο ντεμπούτο του τον επόμενο μήνα στο RSA Conference (RSAC) στο Σαν Φρανσίσκο, όπου Ο Μάρτιν θα παρουσιάσει το πλαίσιο ως πρώτο βήμα για τη συγκέντρωση υποστήριξης και γνώσης της κοινότητας ασφάλειας για το έργο. Μέχρι στιγμής, λέει, η αρχική ανατροφοδότηση ήταν «πολύ θετική».

Το MITER είναι περισσότερο γνωστό στον τομέα της κυβερνοασφάλειας ως επικεφαλής του συστήματος Common Vulnerabilities and Exposures (CVE) που εντοπίζει γνωστά τρωτά σημεία λογισμικού και, πιο πρόσφατα, για το πλαίσιο ATT&CK που χαρτογραφεί τα κοινά βήματα που χρησιμοποιούν οι ομάδες απειλών για να διεισδύσουν σε δίκτυα και συστήματα παραβίασης.

Ο Martin λέει ότι θα επιδείξει το πλαίσιο SoT και θα παράσχει περισσότερες λεπτομέρειες για το έργο κατά την παρουσίασή του στο RSAC. Το πλαίσιο περιλαμβάνει επί του παρόντος 12 τομείς κινδύνου ανώτατου επιπέδου – από τη χρηματοπιστωτική σταθερότητα έως τις πρακτικές ασφάλειας στον κυβερνοχώρο – που οι οργανισμοί θα πρέπει να αξιολογήσουν κατά τη διαδικασία απόκτησής τους. Περισσότερες από 400 συγκεκριμένες ερωτήσεις καλύπτουν λεπτομερώς ζητήματα, όπως εάν ο προμηθευτής παρακολουθεί σωστά και διεξοδικά τα στοιχεία λογισμικού και την ακεραιότητα και την ασφάλειά τους.

Κάθε κίνδυνος βαθμολογείται χρησιμοποιώντας μετρήσεις δεδομένων που εφαρμόζονται σε έναν αλγόριθμο βαθμολόγησης. Οι βαθμολογίες δεδομένων που προκύπτουν προσδιορίζουν τα δυνατά και τα αδύνατα σημεία ενός προμηθευτή, για παράδειγμα, σε σχέση με τις συγκεκριμένες κατηγορίες κινδύνου. Μια επιχείρηση θα μπορούσε στη συνέχεια να αναλύσει πιο ποσοτικά την «αξιοπιστία» ενός προμηθευτή λογισμικού.

Συμμετρία SBOM
Ο Martin λέει ότι με την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού, το SoT συμβαδίζει επίσης με τα προγράμματα λογαριασμού υλικού (SBOM). "Τα SBOM μπορούν να σας δώσουν βαθύτερο λόγο για να κατανοήσετε γιατί πρέπει να εμπιστεύεστε", για παράδειγμα, ένα στοιχείο λογισμικού. Μεταξύ πολλών παραγόντων κινδύνου στο SoT, τα SBOM μπορούν πραγματικά να μετριάσουν αυτούς τους κινδύνους ή, τουλάχιστον, να παρέχουν καλύτερη εικόνα για το λογισμικό και τυχόν κινδύνους. 

"Εάν το SBOM έχει γενεαλογικές πληροφορίες, αυτές οι πληροφορίες θα επέτρεπαν την αξιολόγηση των εργαλείων και των τεχνικών που χρησιμοποιούνται για την κατασκευή του λογισμικού - εάν χρησιμοποιήθηκαν αναπαραγώγιμες εκδόσεις για την κατασκευή του λογισμικού, μέθοδοι προστασίας μνήμης [χρησιμοποιήθηκαν] κατά τη διάρκεια της κατασκευής" και άλλες λεπτομέρειες, σημειώνει.

Πώς διαφέρει λοιπόν το πλαίσιο SoT από τα μοντέλα διαχείρισης κινδύνου; Η παραδοσιακή διαχείριση κινδύνου χρησιμοποιεί πιθανότητες, λέει ο Martin. Με το SoT, υπάρχει μια λίστα κινδύνων που μπορούν να αξιολογηθούν και να βαθμολογηθούν για να προσδιοριστεί εάν υπάρχει κίνδυνος σε συγκεκριμένους τομείς και, εάν ναι, πόσο κακός είναι πραγματικά.

«Θέλουμε να βοηθήσουμε να παρέχουμε έναν συνεπή τρόπο αξιολόγησης… και θα θέλαμε να ενθαρρύνουμε τις αποφάσεις που βασίζονται σε δεδομένα όπου μπορούμε» στις αξιολογήσεις της εφοδιαστικής αλυσίδας, λέει.

Τα επόμενα βήματα: εισαγωγή της έννοιας του SoT και προσφορά της ζωντανής ταξινόμησης για δημόσιο σχόλιο και έλεγχο. «Τότε μπορούμε να δούμε ποια εξαρτήματα μπορούν να αυτοματοποιηθούν και πού» και να διασφαλίσουμε ότι μπορεί να ενσωματωθεί στη διαδικασία απόκτησης. Οι πωλητές, επίσης, θα μπορούσαν να χρησιμοποιήσουν την ορολογία SoT στα υλικά των προϊόντων τους.

«Η «αλυσίδα εφοδιασμού» έχει πολλές διαφορετικές έννοιες», εξηγεί ο Μάρτιν. «Δεν μιλάμε για μικροηλεκτρονική στις ΗΠΑ έναντι στο εξωτερικό. Δεν προσπαθούμε να λύσουμε προβλήματα λιμένων. Προσπαθούμε να αποκτήσουμε μια κουλτούρα διαχείρισης οργανωτικού κινδύνου που να περιλαμβάνει τα προβλήματα της εφοδιαστικής αλυσίδας ως φυσιολογικό μέρος αυτού. Θέλουμε να φέρουμε ορισμένες συνέπειες, αυτοματισμούς και στοιχεία που βασίζονται σε δεδομένα, ώστε να υπάρχει μεγαλύτερη κατανόηση των κινδύνων της εφοδιαστικής αλυσίδας».

  • Coinsmart. Το καλύτερο ανταλλακτήριο Bitcoin και Crypto στην Ευρώπη.Click Here
  • Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
  • Source: https://www.darkreading.com/application-security/mitre-creates-framework-for-supply-chain-security

Αυτό το Θέση δημοσιεύθηκε αρχικά στις Σκοτεινή ανάγνωση

Σχετικά Άρθρα

spot_img

Πρόσφατα Άρθρα

spot_img