Siber güvenlik liderlerinden ve nüfuz sahibi kişilerden oluşan bir ekip, güvenlik ekiplerinin yazılım tedarik zincirlerine yönelik tehditlere ilişkin anlayışlarını geliştirmelerine ve bunları değerlendirip bunlarla başa çıkmalarına yardımcı olacak açık bir çerçeve oluşturmak için bir araya geldi.
Açık Yazılım Tedarik Zinciri Saldırı Referansı veya OSC&R, İsrail merkezli Ox Security liderliğindeki Check Point, Fortinet, GitLab, Google, Microsoft, OWASP ve diğerlerinden alınan girdilerle oluşturulan MITRE ATT&CK benzeri bir çerçevedir. tedarik zinciri güvenlik uzmanı.
İster kapalı ister açık kaynaklı olsun, yazılımlardaki güvenlik açıklarının kullanılmasıyla başlayan artan sayıdaki büyük siber olayların ışığında grup, uzmanların tedarik zinciri risklerini anlamasına ve ölçmesine olanak tanıyan sağlam bir çerçeveye yönelik somut bir ihtiyaç olduğuna inanıyor. Şimdiye kadar, diyorlar ki, gerçekten sezgi ve yaşanmış deneyimin bir kombinasyonu yoluyla yapılabilir.
Eylül 2022’de gizliden ortaya çıkan Ox Security’yi kuran eski Check Point başkan yardımcısı Neatsun Ziv, “Yazılım tedarik zincirini neyin oluşturduğuna dair ortak bir anlayış olmadan tedarik zinciri güvenliği hakkında konuşmaya çalışmak üretken değil” dedi. 34 milyon dolarlık finansmanla.
“Yazılım tedarik zincirinin üzerinde anlaşmaya varılmış bir tanımı olmadan, güvenlik stratejileri genellikle silolanır” dedi.
OSC&R’nin, güvenlik ekiplerinin tehdit aktörlerinin yazılım tedarik zincirleri aracılığıyla aşağı yönlü kurbanları tehlikeye atmak için kullandıkları taktikleri, teknikleri ve prosedürleri (TTP’ler) anlamalarına ve analiz etmelerine yardımcı olacak ortak bir dil ve yapı oluşturarak buna yardımcı olacağı varsayılmaktadır.
Burada daha ayrıntılı olarak açıklanan çerçeve, ekiplerin savunmalarını değerlendirmelerine, hangi tehditlere öncelik vermeleri gerektiğini tanımlamalarına, mevcut güvenlik duruşlarının söz konusu tehditleri nasıl ele alacağını anlamalarına ve izlemelerine yardımcı olmak için zaten mevcuttur ve kullanılmaya hazırdır. saldırgan davranışları
Destekçileri, yeni TTP’ler ortaya çıktıkça ve geliştikçe onu güncellemeyi umuyor ve sonunda çerçevenin, bu tür testler sırasında ve sonrasında bir tür puan kartı görevi görerek, alıştırmaların kapsamını belirlemeye yardımcı olarak kırmızı takım oluşturma faaliyetlerine yardımcı olmasını planlıyor. Ayrıca, isterlerse katkıda bulunabilecek diğer güvenlik uygulayıcılarına da açıktır.
Gitlab kıdemli güvenlik mühendisi Hiroki Suezawa, “OSC&R, güvenlik ekiplerinin güvenlik stratejilerini güvenle oluşturmalarına yardımcı oluyor” dedi. “Güvenlik topluluğuna, yazılım tedarik zincirlerini güvence altına almak için kendi stratejilerini proaktif olarak değerlendirmek ve çözümleri karşılaştırmak için tek bir referans noktası vermek istedik.”
Daha fazla iş gerekli mi?
Synopsys Software Integrity Group’ta yazılım tedarik zinciri risk stratejisi başkanı Tim Mackey, projenin çok fazla potansiyel taşıdığını, ancak daha fazla iş yapılması gerektiğini söyledi.
Geliştiriciler, altyapı sağlayıcıları, veri işlemcileri ve yazılım operatörleri arasındaki çoklu ilişkiler sayesinde yazılım tedarik zincirleri karmaşıklığa eğilimli olduğundan, içsel riskler derinlemesine iç içe geçmiştir ve belirlenmesi zordur.
“Boru Hattı Malzeme Listesi tarafından önerilen OSC&R modeli [PBOM] topluluk, zayıflıkları bir saldırı modeli biçiminde tanımlamanın bir yoludur. Ancak mevcut durumunda, potansiyel saldırı, azaltma ve tespit örneklerini açıklamak için önemli ayrıntılardan yoksundur” dedi.
“OSC&R’nin nasıl geliştiğini ve nihai olarak, OSC&R’nin tehlikeli yazılım tedarik zinciri için şu anda var olandan daha zengin bir ayrıntı düzeyini temsil etmesinin mümkün olduğu MITRE ATT&CK gibi kanıtlanmış modellerle nasıl uyumlu hale geldiğini görmek ilginç olacak.”