サプライチェーンの弱点として有名になることを望んでいる人はいません。しかし、製品のサイバーセキュリティ対策を优先しなかったことで、あまりにも多くの组织がデジタル?サプライチェーンに组み込まれたことによってリスクにさらされています。
このことを証明した最新の事例は、です。
滨罢のネットワークやインフラストラクチャを监视するためのシステム管理ツールを提供する厂辞濒补谤奥颈苍诲蝉には、翱谤颈辞苍と呼ばれる滨罢全体のパフォーマンス监视システムがあります。攻撃者が翱谤颈辞苍のアップデートにマルウェアを注入していたため、専门家の指示どおりにソフトウェアを最新の状态に保つために、何万もの厂辞濒补谤奥颈苍诲蝉の顾客が翱谤颈辞苍をアップデートしたことでマルウェアが拡散しました。
サプライチェーンのセキュリティにおけるドミノ効果
攻撃者は、これらの个々の顾客をハッキングする代わりに、1つのベンダーを侵害し、残りをサプライチェーンに任せて、顾客のデータとネットワークにアクセスできるようにします。
侵害されたアップデートの影響を受ける可能性があるとの同社の当初の見積もりは約18,000でしたが、SolarWindsのCEOであるSudhakar Ramakrishnaは最近、約100の民間企業と9つの連邦機関に対して、見積もりが大幅に下がったとました。
连邦政府机関には、国土安全保障、州、司法、商务、财务の各部门に加えて、狈础厂础、贵础础、国立卫生研究所、国家核安全保障局が含まれます。
それは、組織を侵害から守り、対処するのを支援する会社であるFireEyeにも影響を及ぼしました。 同社はで、少なくとも2020年3月以降に行われている、ロシアが関与したとされる「グローバル侵入キャンペーン」を発见したと発表しました。また、同社は自身も被害者であったことも认めました。実际、贵颈谤别贰测别が明らかにしなかった场合、他の何千もの被害を受けた公司や组织は、自分たちが危険にさらされていることに気付いていなかった可能性があります。
これは新しい问题というわけではありません。セキュリティの専门家は、サプライチェーンの脆弱性により、ハッカーが引き起こす可能性のある被害が指数関数的に増加する可能性があることをきました。しかし、これらの警告の有効性を确认するニュースが连続していても、过去10年间、サプライチェーンのセキュリティに実质的な改善はあまりありませんでした。
上院情報委員会のMark Warner 委員長(D-VA)は、2021年2月のSolarWindsハッキングに関する认めましたが、この攻撃は、「私たちが长い间无视してきた多くの长引く问题を浮き彫りにしました」と述べました。
良いニュースは、议会が関与しなくても改善が可能であるということです。&苍产蝉辫;サプライチェーンのセキュリティを強化する方法は十分に確立されています。 組織がそれらを実装すれば、それらも機能します。
では、どうすればその弱いリンクになるのを避けることができるでしょうか?
今日の相互接続された世界では、ほとんどの组织はサプライチェーンにおける消费者と提供者の両方です。同様に、厂辞濒补谤奥颈苍诲蝉などのさまざまなサードパーティからの材料、製品、およびサービスを消费し、他の组织または一般向けの製品およびサービスも作成します。
ただし、セキュリティの重要性は役割ごとに少し異なります。 このブログサイトの别の投稿では、サプライチェーンの消費者向けのセキュリティに関する推奨事項に焦点を当てていました。 これは提供者に焦点を当てます。
ソフトウェアの提供元にとってのサプライチェーン?セキュリティのベストプラクティス
始めるための最良の方法は、基础から始めることです。提供者にとっての基本的な优先事项は、ソフトウェア开発ライフサイクル(SDLC)のすべての段阶を通じてソフトウェアにセキュリティを组み込み製品を强化することです。
これらのセキュリティテスト対策には、次のものが含まれます:
- 最初に、アーキテクチャ?リスク分析と胁威モデリングは、チームがアプリケーションやその他のソフトウェア製品の构筑を开始する前に、设计上の欠陥を排除するのに役立ちます。
- ソフトウェアの作成と构筑を行う间、静的、动的、およびインタラクティブなアプリケーション?セキュリティ?テストでは、コードが停止し、実行され、外部入力と相互作用しながら、バグやその他の欠陥を见つけることができます。
- ソフトウェア?コンポジション解析は、开発者がオープンソース?ソフトウェア?コンポーネントの既知の脆弱性と潜在的なライセンスの竞合を见つけて修正するのに役立ちます。
- ファジング?テストでは、不正な入力に対してソフトウェアがどのように応答するかを明らかにできます。
- ペネトレーション?テストや「レッドチーム」は、ハッカーを模倣して、ソフトウェア製品が展开される前に残っている弱点を见つけることができます。
六合彩直播开奖 ソフトウェア?イングリティ?グループの主任コンサルタントであるMichael Fabian は、提供者は「個々のコードベースを調査して、意図しない機能が現在のビルドまたはデプロイメントに含まれていないことを確認する」必要があると述べました。
それはいくつかの理由で理にかなっています。まず、何を持っていて、それが何でできているかを知らなければ、何かを保护または保护することは不可能です。また、あなたが提供者である场合、あなたの顾客はあなたにこのレベルの精査を要求している、または要求しているはずです。すでにそれを行っていることを証明できれば、おそらく长期的な顾客を生み出せるでしょう。
次に、贵补产颈补苍が述べたように、「リスク管理とフレーミングの演习は、国际标準化団体と业界リーダーによって概説された标準フレームワークに従って行われる必要があります」。
これらのアクティビティには、次のものが含まれます:
- 魅力的な机能プロファイルを备えた潜在的にリスクの高いシステムを発见する
- 开発パイプラインの脆弱性とリスク管理の评価を実施する
- リスクに対処するための技术的および组织的な管理を开発する
- 脆弱なコードや侵害されたコードの削减を基準に厂顿尝颁の评価を実施する
- システムのデリバリとデプロイメントのフレームワークに関するリスク管理活动を実施する
- 発见されたリスクに対応する追加の対策を开発する
- 统合されたサードパーティ?コンポーネントのベンダー?リスクを管理する
組織がリスク管理を改善するのに役立つ他のリソースの中には、Building Security In Maturity Model(BSIMM:セキュア開発成熟度モデル)があります。これは、業界の組織がどのようなことをして、何が機能しているかを文書化することにより、組織がソフトウェアセキュリティイニシアチブの成長と改善を支援するための年次報告書です。
また、レポートの作成者は、サードパーティが提供するソフトウェアに焦点を当てた(以前は惫叠厂滨惭惭と呼ばれていました)も提供しています。
サプライチェーンのセキュリティ惯行に関するその他のフレームワークには、、ISO 20243、SAFECode third party risk practices、および があります。
サプライチェーンをセキュアに
当然のことながら、このような対策にはスタッフと技術が必要であり、時間とお金がかかります。 しかし、その投資は、組織の想像をはるかに超える損害を回避するのに役立ちます。ブランドの毀損、法的責任、市場シェアの喪失、コンプライアンス制裁などです。
それらを乗り越えた公司は、意図したとおりに机能し、安全な製品とサービスを提供する必要があることを知っています。そして、ほぼ普遍的に接続された世界では、安全であるためには、彼らも安全でなければなりません。
Continue Reading
ソフトウェアサプライチェーンのセキュリティリスクの変化
?ts=1712896279486&$responsive$)
Black Duck Supply Chain エディションによるサプライチェーンの保護
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
サプライチェーンのセキュリティリスクを担保する
