Tedarik zinciri güvenliği için Açık Yazılım Tedarik Zinciri Saldırı Referansı (OSC&R) çerçevesinin destekçileri, herkesin modele katkıda bulunmasını sağlayarak Github’da canlı yayına geçti.
MITRE ATT&CK benzeri çerçeve, güvenlik ekiplerinin yazılım tedarik zinciri tehditlerine ilişkin anlayışlarını geliştirmelerine, bunları değerlendirmelerine ve bunlarla başa çıkmalarına yardımcı olmak amacıyla Şubat ayında başlatıldı.
İsrail merkezli bir tedarik zinciri uzmanı olan Ox Security liderliğindeki projenin destekçileri arasında eski Microsoft ve Google bulut güvenliği yöneticisi David Cross; Ox Security’nin kurucu ortağı ve CEO’su Neatsun Ziv; Ox Security’nin kurucu ortağı ve CPO’su Lior Arzi; GitLab’da kıdemli güvenlik mühendisi Hiroki Suezawa; Ox Security’de araştırma başkanı Eyal Paz; Chenxi Wang, eski OWASP küresel yönetim kurulu üyesi; Shai Sivan, Kaltura’da CISO; FICO’da ürün güvenliği başkanı Naor Penso; ve Check Point’in eski bulut CTO’su Roy Feintuch.
Ox’u kurmadan önce Check Point’in siber güvenlikten sorumlu başkan yardımcısı olarak görev yapan Neatsun Ziv, “OSC&R’yi başlattıktan sonra, OSC&R içindeki unsurlar üzerinde çalışan ve katkıda bulunmak isteyen insanlardan gelen e-postalarla boğulduk” dedi.
“Github’a taşınarak ve projeyi katkılara açarak, bu ortak bilgi ve deneyimi tüm güvenlik topluluğunun yararına yakalamayı umuyoruz.”
Aynı zamanda Visa ürün güvenliği Dineshwar Sahni de konsorsiyuma katılırken, 2014’ten 2018’e kadar ABD istihbarat teşkilatını yöneten eski NSA direktörü Mike Rogers projeye destek verdi.
Rogers, “Siber güvenlik bir kedi fare oyunudur” dedi. “Üstün olmak, iyi bir tehdit modeli oluşturmayı gerektirir ve OSC&R, kuruluşların güvenlik gereksinimlerini belirlemesine, güvenlik tehditlerini ve olası güvenlik açıklarını belirlemesine, tehdit ve güvenlik açığı kritikliğini ölçmesine ve iyileştirme yöntemlerine öncelik vermesine olanak tanır.”
Sahni şunları ekledi: “Uzay Yolu’nun bir bölümünde, Tehdit aktörüyle ilgili olarak Atılgan’ın güvenlik açıkları üzerinde çalışırken Bay Spock, ‘Yetersiz gerçekler her zaman tehlikeyi davet eder, Kaptan!’ dedi. Aynı şey, bilgi eksikliğinin güvenlik açığını artırdığı siber güvenlik için de kesinlikle geçerlidir. Topluluğun bilgisini artırarak OSC&R, yazılım tedarik zincirine yönelik tehlikeleri azaltmak ve saldırı yüzeyini daha geniş bir şekilde azaltmak için muazzam bir potansiyele sahiptir.”
Çerçevenin destekçileri, projelerinin yazılım tedarik zinciri güvenlik programlarını geliştirmek isteyen şirketler için son derece değerli olacağına inanıyor. Diğer şeylerin yanı sıra, mevcut savunmaların değerlendirilmesine, tehdit önceliklendirme kriterlerinin tanımlanmasına ve saldırgan gruplarının davranışlarının izlenmesine yardımcı olabilir.
Kuruluşların yazılım tedarik zincirlerinin dayanıklılığına öncelik verme ihtiyacı, son birkaç yılda defalarca vurgulandı ve tartışmasız en etkili olay, Rus tehdit aktörlerinin firmanın Orion ağını ele geçirmesiyle başlayan 2020/1 SolarWinds olayı oldu. yönetim platformu ve daha sonra müşterilere “kirli” bir güncelleme olarak gönderilen enjekte edilen arka kapı kötü amaçlı yazılımı.
Birleşik iletişim firması 3CX’te, Kuzey Kore rejimiyle bağlantılı bir tehdit aktörü tarafından istismar edilen bir güvenlik sorunuyla birlikte bir ürün güncellemesinin gönderilmesiyle başlayan ve halen gelişmekte olan bir olayın kanıtladığı gibi, tarih bugün bile tekerrür ediyor.