mardi, 16 juillet 2024

10 catégories d’outils de sécurité nécessaires pour renforcer la sécurité de la chaîne d’approvisionnement logicielle

Crédit : Blue World Studio/ Shutterstock

En tant que leaders de la sécurité dans leur développement de logiciels programmes de sécurité de la chaîne d’approvisionnement des applications, ils font face à une circonstance bonne nouvelle-mauvaise nouvelle avec les outils qui leur sont proposés – en fait : la technologie progresse rapidement pour le meilleur et pour le pire.

Heureusement des logiciels qui progressent rapidement technologie de sécurité de la chaîne d’approvisionnement est que le rythme rapide de développement offre des chances croissantes d’acquérir une plus grande exposition et transparence dans la vaste gamme de pièces et de code qui alimentent les portefeuilles d’applications logicielles.

La mauvaise nouvelle, néanmoins, est que l’expérimentation et le développement vont dans de nombreuses directions différentes en même temps et le paysage des outils est un mélange complexe d’acronymes de catégories flambant neufs et en développement et de produits de niche spécifiques.

Certains d’entre eux sont des outils de sécurité des applications plus traditionnels qui évoluent pour être plus conviviaux pour les développeurs. D’autres sont des outils de développement standard qui étendent les contrôles et les fonctionnalités axés sur la sécurité pour relever le défi des dangers de la chaîne d’approvisionnement. D’autres encore émergent du monde DevSecOps – spécialement conçus pour promouvoir la coopération mutuelle entre ces personnes.

 » L’une des raisons pour lesquelles il est si difficile d’obtenir une image claire de la sécurité de la chaîne d’approvisionnement des applications logicielles est qu’il existe sont autant d’éléments de la chaîne d’approvisionnement où quelque chose peut échouer », informe Tom Goings, expert produit chez Tanium.  » Vous pouvez avoir des vulnérabilités introduites directement dans le logiciel, comme l’exemple de SolarWinds d’il y a quelques années, des vulnérabilités dans des bibliothèques typiques comme Log4j, ou même quelque chose comme une autorité de certification (CA) compromise. « 

Pas d’étalon-or pour la sécurité de la chaîne d’approvisionnement des applications logicielles

Alors que plusieurs piles et plates-formes de produits de sécurité de la chaîne d’approvisionnement des applications logicielles, un certain nombre de piles et de plates-formes d’éléments de sécurité de la chaîne d’approvisionnement logicielle commencent à se consolider sur le marché, la combinaison de fonctionnalités de ces produits est partout sur la carte.

La principale classification des outils sur laquelle ces plates-formes ont tendance à se concentrer est l’analyse de la structure logicielle (SCA) et les outils créant les coûts logiciels des produits (SBOM), ces soi-disant « listes de composants » de logiciels contemporains. Alors que les SCA et les SBOM ont tendance à constituer la base d’un grand nombre d’outils de sécurité de la chaîne d’approvisionnement des applications logicielles, cela ne devrait être que la suggestion de l’iceberg pour les CISO qui tentent d’élaborer une feuille de route pour soutenir un vaste programme de gestion des menaces de la chaîne d’approvisionnement. .

« Lorsqu’ils s’intéressent à la sécurité de la chaîne d’approvisionnement, les individus se concentrent sur l’utilisation d’outils tels que SCA et ils examinent les SBOM », Dale Gardner, directeur principal et analyste pour la sécurité des applications chez Gartner , raconte CSO.  » Ce sont des éléments vraiment essentiels de la solution. Mais ce ne sont vraiment qu’un type de service vraiment partiel. « 

De nombreux autres éléments mobiles sont impliqués, y compris la gestion des astuces, la cartographie de la dépendance et la gestion, CI/ Sécurité du pipeline de CD, gestion efficace du référentiel, etc. La majorité des spécialistes s’accordent à dire que les équipes de sécurité auront du mal à découvrir ce dont elles ont besoin auprès d’un seul fournisseur.

 » Je dirais qu’il n’y a pas un seul fournisseur qui gère tous les défis liés à la fourniture d’applications logicielles chaîne de sécurité d’une manière qui répondrait aux exigences de toutes les organisations « , explique Michael Born, superviseur principal de la sécurité des applications à la recherche de conseils auprès de la société Coalfire.

Il dit aux CSO que ne pas avoir de consolidation de dettes n’est pas toujours une mauvaise chose.  » Cela pourrait exposer les organisations à des menaces liées au blocage des fournisseurs et pourrait suggérer que l’organisation mûrit ou change plus rapidement que ce que le fournisseur pourrait suivre. « 

Cette fragmentation n’est pas seulement le résultat de l’innovation organique provenant de nombreuses perspectives techniques différentes (outils axés sur le développement, outils axés sur les opérations, outils axés sur la sécurité), mais également de la réalité qu’il existe une variété de cas d’utilisation variés.

 » Nous devons être assez précis sur la menace ou le cas d’utilisation dont nous parlons pour pouvoir trouver les solutions d’application logicielle idéales ou le type total de pile de services pour pouvoir les résoudre », explique Sharon Chand, la cyber responsable de la chaîne d’approvisionnement sécurisée contre les menaces pour la pratique des fournisseurs de cybermenaces de Deloitte.

 » En raison du fait que le type de service dont j’ai réellement besoin dépendra de ma position dans cette circonstance de sécurité de la chaîne d’approvisionnement logicielle. Si je suis un fabricant de logiciels, cela aura un aspect différent que si je suis un consommateur d’applications logicielles. Et généralement, tout le monde sera à la fois à des moments particuliers du cycle de vie total de la chaîne d’approvisionnement. « 

La façon dont les organisations assemblent tout dépendra fortement de leurs cas d’utilisation, de leur infrastructure et de la composition des compétences et de la culture de leurs groupes. Malheureusement, il n’y a pas de bouton facile pour développer cette pile en ce moment.

Les 10 classifications

La liste suivante offre aux RSSI une bonne liste de contrôle de démarrage pour planifier la pile d’options de sécurité de la chaîne d’approvisionnement des applications logicielles cela fonctionnera pour eux. La liste n’est pas exhaustive à 100 % – et elle changera probablement rapidement. Il se compose des principales catégories d’outils et des fonctionnalités que les responsables de la sécurité voudront probablement prendre en compte pour leur feuille de route de sécurité de la chaîne d’approvisionnement logicielle.

Génération SCA et SBOM

Les outils SCA pourraient être mieux connus à ce stade point pour leur rôle dans la sécurité de la chaîne d’approvisionnement des applications logicielles, mais l’histoire d’origine de cette classification a commencé dans un territoire encore plus prosaïque.

Ces outils ont été initialement conçus pour aider les groupes de développement à suivre leur utilisation des éléments open source dans leurs versions pour obtenir un accord sur la conformité des licences.

Alors que la sécurité de la chaîne d’approvisionnement commençait à gagner du terrain, les outils SCA ont intégré une analyse et une gestion beaucoup plus approfondies des vulnérabilités et des menaces de sécurité liées aux composants suivis et sont devenus l’un des outils de marque techniques permettant aux organisations de produire des SBOM et de régir leur utilisation open source. Mend.io (anciennement WhiteSource), FOSSA et Synopsys Black Duck sont d’excellents exemples de cette voie évolutive.

SCA n’est pas le seul choix pour générer des SBOM. Certaines autres approches de génération de SBOM incluent l’utilisation d’outils d’interface utilisateur de ligne de commande (CLI) comme CycloneDX CLI et SPDX Tool, l’analyse d’exécution comme Rezilion ou l’analyse binaire comme ReversingLabs.

SCA a tendance à être des enjeux de table pour les fournisseurs qui construisent sur les piles d’options ou les communautés de la chaîne d’approvisionnement logicielle.

Certains d’entre eux sont des fournisseurs SCA qui se sont en fait diversifiés dans les autres classifications d’outils décrites ci-dessous, par le biais d’avancements ou d’acquisitions internes.

Autres aurait pu commencer avec une mentalité de plate-forme avec les développeurs à l’esprit dès le départ, y compris SCA dans un mélange d’outils de chaîne d’approvisionnement ; Snyk en est un bel exemple. Il y a également eu plus de collaborations comme celle révélée récemment entre Synopsys et ReversingLabs qui élargit les capacités de sécurité de la chaîne d’approvisionnement sans enfermer les clients dans une seule plate-forme.

Scan de code et tests de stylo

La protection de la chaîne d’approvisionnement logicielle est au cœur d’un problème d’appsec, il s’ensuit donc que les outils traditionnels d’analyse de code d’appsec vont jouer un rôle dans cette pile de services.

SAST (contrôle de sécurité des applications statiques), DAST ( tests de sécurité dynamiques des applications), les outils IAST (contrôle de sécurité des applications interactives) et RASP (protection de l’analyse des applications d’exécution), en plus d’une utilisation prudente du contrôle de pénétration, peuvent aider les organisations à tester leur propre code interne et à fournir un examen plus approfondi du code tiers pour agir comme un filet de sécurité pour les dangers qui « pourraient autrement passer à côté de l’utilisation d’outils et de méthodes de test SCA ou SBOM typiques », déclare Born of Coalfire.

Maintenir plusieurs couches grâce à une liste complète d’analyses de code est essentiel, déclare-t-il, tout comme ces vérifications ponctuelles des tests d’intrusion.

 » Les produits SCA et SBOM dépendent de vulnérabilités connues et préalablement déterminées, alors qu’une évaluation complète de la pénétration des applications pourrait identifier l’utilisation de code vulnérable lors de l’examen de bibliothèques et de frameworks tiers qui n’aurait peut-être pas été signalé ailleurs auparavant « , dit-il.

Enrichissement et agrégation de SBOM

Alors que les organisations créent leurs propres SBOM et ingèrent les SBOM de leurs fournisseurs, l’agrégation, l’enrichissement et la gestion de ces artefacts vont jouer un rôle de plus en plus fondamental dans leur opérationnalisation. L’inclusion d’informations sur l’échange d’exploitabilité de vulnérabilité (VEX) sera progressivement un élément essentiel de la contextualisation des SBOM.

les scores du système de notation prévisionnel (EPSS) de la base de données des vulnérabilités exploitées connues (KEV) de CISA.

De plus, le simple fait d’agréger les détails SBOM dans les portefeuilles de logiciels et les industries sera une préoccupation croissante pour les responsables de la sécurité. Il s’agit encore d’un domaine émergent qui n’a pas vraiment fusionné dans une catégorie identifiée par les analystes de l’industrie, de sorte que les RSSI doivent essayer de trouver ces fonctions dans les outils de type SCA, les outils open source et les nouvelles plates-formes qui flamboient ce qu’ils espèrent. être leurs propres chemins de définition de catégorie. Certains exemples en jeu comprennent Cybellum, Anchore et Rezilion, en plus de nouveaux outils open source comme Bomber.

Gestion des astuces

La numérisation et la gestion des secrets partagés évoluent rapidement d’un classification des outils autonomes à une fonction qui est intégrée à toutes les variantes d’outils de sécurité de la chaîne d’approvisionnement des applications logicielles. C’est parce que les astuces intégrées dans le code source, les fichiers de configuration et le code des installations sont toujours répandues dans les environnements d’avancement et en direct et il y a un besoin alarmant de maîtriser le problème.

 » Des astuces telles que les fichiers d’informations d’identification, les les secrets, les mots de passe et les jetons d’API n’ont pas besoin d’être validés dans un référentiel de contrôle de source « , conseille un rapport Gartner récemment mis à jour.  » Utilisez un outil de gestion des astuces pour conserver et sécuriser les astuces en toute sécurité, imposer des contrôles d’accès et gérer les astuces (c’est-à-dire développer, faire pivoter et révoquer). « 

Il s’agit d’un élément d’outillage de base, car les adversaires peuvent utilisent des astuces partagées pour saper complètement la stabilité de la chaîne d’approvisionnement logicielle d’une organisation.

Gestion et cartographie des dépendances

La gestion et l’analyse de la dépendance sont une autre catégorie quelque peu ambiguë avec un degré élevé de chevauchement avec d’autres catégories d’outils comme l’agrégation SCA et SBOM. Mais cela vaut la peine d’être appelé car il touche au cœur de certains des problèmes de sécurité de la chaîne d’approvisionnement des logiciels les plus épineux.

Certains des plus grands problèmes que les défenseurs de la sécurité ont à propos de l’état des SBOM aujourd’hui sont qu’ils ont encore difficile d’interagir avec les dépendances transitives liées aux logiciels énumérés.

Les RSSI et leurs groupes vont avoir besoin de meilleures méthodes pour élaborer et gérer le réseau surprise de dépendances qui s’étendent sur leurs applications, API, CI/ Composants de pipeline CD et installations en tant que code.

Certains outils proposés consistent en des outils de cartographie des dépendances sur lesquels les parties prenantes de la performance et de la résilience s’appuient également, comme ceux de Datadog et Atlassian. De plus, les outils de gestion SCA et SBOM intègrent souvent ces fonctions dans leur mélange.

Endor Labs, qui est sorti du mode furtif en octobre 2022, s’expliquant comme une solution de « gestion du cycle de vie des dépendances ». Le mois dernier, l’entreprise a été finaliste de l’Innovation Sandbox de la conférence RSA.

S’appuyait sur des référentiels et des registres informatiques

Bien que les référentiels d’artefacts et les registres de conteneurs ne soient pas des outils de sécurité en soi, les utiliser ensemble avec des politiques et des traitements disciplinés peuvent jouer un rôle énorme dans la gestion des menaces de la chaîne d’approvisionnement. L’établissement de référentiels d’artefacts et de registres de conteneurs fiables est un élément de base des installations permettant d’établir des « garde-corps protégés » pour les développeurs.

Fournir des sources centralisées de pièces approuvées est une méthode proactive pour éviter les problèmes et établir une gouvernance du bruit de ce qui va dans le logiciel d’une organisation.

« Les référentiels servent de source fiable pour les artefacts et les composants logiciels approuvés et vérifiés », ont écrit les experts de Gartner.  » Cela permet une gouvernance, une présence, une auditabilité et une traçabilité centralisées dans les ‘ingrédients’ du logiciel. « 

Finalisation du code protégé

La signature du code devient progressivement la meilleure pratique pour garantir l’intégrité de code et de conteneurs lorsque les développeurs dédient et déploient l’application logicielle tout au long de son cycle de vie. Il s’agit d’une procédure qui n’est pas seulement vitale pour établir des contrôles internes solides contre la falsification, mais aussi pour renforcer la confiance des clients pour les articles expédiés à des clients externes.

Naturellement, les certificats de finalisation de code sont une cible privilégiée pour la chaîne d’approvisionnement des applications logicielles. les attaquants et donc les RSSI et leurs équipes vont devoir s’assurer qu’ils choisissent les bons outils et établir des contrôles pour s’assurer que leur processus de finalisation du code est vraiment sûr et sécurisé. Parmi les poids lourds de cette classification figurent Garantir, Keyfactor, CircleCI, Cosign et Venafi.

Sécurité du pipeline CI/CD

Le pipeline d’intégration continue/d’expédition continue fait désormais partie de l’« usine » d’applications logicielles sur laquelle les concepteurs s’appuient pour produire leur code et qui, pour cette raison, fait partie intégrante de l’ensemble de la chaîne d’approvisionnement. En tant que tels, les outils de sécurité pour solidifier ces environnements font partie intégrante d’un programme de sécurité de la chaîne d’approvisionnement solide.

Nous avons en fait déjà pris en charge la gestion des secrets, qui est un élément essentiel de cette catégorie. D’autres consistent en une gestion de la politique et de la gouvernance CI/CD, comme ce que produisent des entreprises comme Apiiro et Cycode, ainsi qu’un contrôle d’accès fortuit bien mis en œuvre et une authentification forte.

Plateformes de gestion des risques tierces

La majorité des outils expliqués jusqu’à présent se concentrent principalement sur l’exploration approfondie des composants tiers utilisés dans les logiciels établis en interne.

Mais qu’en est-il de tous ces logiciels industriels tiers que les organisations vous n’avez pas autant de visibilité sur ? C’est là que les outils et procédures de gestion des risques tiers (TPRM) jouent un rôle. Même avec les exigences fédérales en matière de SBOM qui s’efforcent d’obtenir une plus grande transparence de la part des fournisseurs d’applications logicielles dans les années à venir, la plupart des organisations volent actuellement à l’aveuglette.

Alors que les outils de notation des menaces TPRM comme SecurityScorecard ou RiskRecon ne vont pas résoudre cela complètement, ils peuvent au moins fonctionner comme un proxy pour le danger qui pourrait éventuellement amener les organisations à reconnaître où elles doivent traiter avec certains fournisseurs et fournisseurs de services d’applications logicielles pour approfondir leur code.

 » Là où je pense que l’offre TPRM peut être disponible, c’est s’il y a un risque et que je suis capable de reconnaître le danger, c’est peut-être là que je veux vraiment concentrer mes efforts autour de SCA et comprendre la composition du logiciel », déclare Chand de Deloitte.  » Cela devient une méthode d’atténuation des risques au lieu d’un service de beurre de cacahuète que je répartis sur l’ensemble de l’application logicielle que je produis ou que j’acquiers. « 

Elle déclare que le monde de la sécurité de la chaîne d’approvisionnement logicielle manque toujours d’un solide lien d’outillage entre les menaces appsec et les dangers de l’entreprise et pense que la prochaine grande opportunité d’innovation résidera probablement dans la manière dont les fournisseurs et les spécialistes peuvent connecter les plates-formes TPRM et les processus plus larges de gestion des risques de la chaîne d’approvisionnement (SCRM) avec les informations des SBOM et du pipeline CI / CD. /p>

Sécurité IaC et CNAPP

L’infrastructure sous-jacente utilisée pour évaluer et déployer le code est également le code lui-même et un élément fondamental de la chaîne d’approvisionnement. Par conséquent, les CISO doivent au minimum envisager d’inclure des outils d’analyse et de sécurité de l’infrastructure en tant que code (IaC) dans le cadre de leur initiative plus complète de sécurité de la chaîne d’approvisionnement. Ces outils ont tendance à chevaucher la frontière entre les outils de sécurité de la chaîne d’approvisionnement logicielle et les plates-formes de sécurité des applications natives du cloud (CNAPP), qui commencent peut-être à pénétrer le territoire de la sécurité du cloud et des opérations de sécurité de base. Cependant, le CNAPP fournit de nombreuses autres aides à la sécurité de la chaîne d’approvisionnement, notamment en ce qui concerne la présence des conteneurs et la sécurité d’exécution. Les conteneurs sont une cible d’attaque croissante dans la chaîne d’approvisionnement des applications logicielles et les procédures de sécurité d’exécution peuvent fournir un filet de sécurité pour les charges de travail une fois qu’elles entrent en production.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline