Yazan: Dan K. Anderson vCISO ve On-Call Gezici Muhabir, Cyber Defense Magazine
Seyahatlerimde ve çalışmalarımda Güvenlik açısından en zorlayıcı zorluklardan biri Yazılım Geliştiricileri ile iyi ilişkiler ve işbirliği sağlamaktır. Bu mantıklı çünkü Geliştirme ekibi yazılımı kullanıma sunmakla ilgilenirken, Güvenlik ekibi yazılımın güvenli olduğundan emin olmak zorunda kalıyor. Taban tabana zıt olduklarını söylemiyorum ama bazen öyle hissettiriyor.
İhtiyacımız olan şey, hem Güvenliğin hem de Geliştiricilerin üzerinde anlaşabileceği ve bunları daha çok el ele tutuşarak birlikte çalışmak için kullanabileceği araç ve tekniklerdir.
Böyle bir araç buldum. Katip Güvenliği.
Scribe Security, ister yazılım üreticisi, ister tüketici, ister her ikisi de olun, yazılım tedarik zincirinizin güvenliğini bütünsel olarak ele almayı amaçlayan bir platformdur. Bu, yazılım malzeme listesinin (SBOM) tüm yönlerini içerir; geliştirme sürecinin saldırılara karşı güvence altına alınmasını, geliştirme sürecinin güvenliğinin kontrolünün sürdürülmesini, yazılım üreticisi ile tüketici arasında şeffaflığın kolaylaştırılmasını ve denetim için ürün sürümlerinin güvenliğinin doğrulanmasını içerir.
Bu amaçla, Scribe Security bir orkestratör görevi görür ve Yazılım Bileşimi Analizi (SCA), Geliştirme platformu telemetrisi, yapıt imzalama, kod olarak politika, K8’in giriş kontrolü ve İş Zekasından oluşan bir teknoloji yığınını tek bir yerde bütünleştirir.
Kaynak: Scribe’ın yazılım tedarik zinciri güvenliği sorunu
Scribe Security’nin değer teklifi:
AppSec ve DevSecOps çözüm pazarı, çeşitli Uygulama Güvenliği Testi (AST) tarayıcılarından oluşur; örneğin SCA, SAST, DAST, IAST ve sırlar. Buna ek olarak, nispeten yeni çözümler, bu tarayıcıları düzenleyen ve sonuçlarını tek bir yerde toplayan ASPM olarak da bilinen Uygulama Güvenliği Duruşunu yönetmeye çalışmaktadır.
Scribe Security, bu yeteneklerin gerekli olmasına rağmen, tedarik zincirinin daha derin, daha kapsamlı güvenliğinin, her yapıdan kanıt toplayıp imzalayarak her yazılım sürümünün güvenliğini ve bütünlüğünü sürekli olarak doğrulayacak bir yöntem gerektirdiğini ileri sürüyor. Bu kanıtlar kodu, yapıları ve geliştirme altyapısının duruşunu kapsar. Kanıtların kriptografik olarak imzalanması ve doğrulanmasıyla yüksek düzeyde bir bütünlük sağlanır.
Bu tür kanıtları kullanmak için veri noktalarını birbirine bağlayan bir bilgi katmanı ile esnek, ürün bileşimine duyarlı bir politika aracı sağlamak gerekir.
Scribe, motor kaputunun altında, çözümü biçimsel açıdan da sağlam kılan en güncel yazılım tedarik zinciri güvenlik kavramlarını ve özelliklerini kullanıyor. Bunlardan birkaçını saymak gerekirse SLSA, Sigstore, In-toto ve SBOM.
Sonuç, saldırıları önleyerek ve korkuluklar kurarak ürünü koruyarak yazılım geliştirme yaşam döngüsünü güvence altına alan bir platformdur.
Son olarak Scribe Security, uygulama güvenlik kontrollerinin benimsenmesini ölçmeye yardımcı olan güçlü raporlama ve analizler ekler.
Mimariye Genel Bakış:
Scribe Security’nin çözümü dört adımdan oluşur:
- Tümünü tanımlayın Güvenli Yazılım Geliştirme Yaşam Döngüsü (SSDLC) varlıkları: Kuruluşun kaynak kodu yöneticilerini, derleme sistemlerini, konteyner kayıtlarını ve üretim kümelerini tararlar ve keşfedilen varlıkları kod halinde üretim zincirlerine bağlarlar.
- Kanıt: Yapıtların tüm güvenlik kanıtlarını inşa edilirken toplarlar, bunu onay olarak imzalarlar ve güvenli bir depoya koyarlar. Bu kanıtlar, tedarik zincirinde bir bağlantıdan diğerine değişimi yansıtan yazılım malzeme listelerinden, AST tarayıcılarının çıktısından, geliştirme araçlarının güvenlik yapılandırmasından, kullanıcı kimliklerinden ve eylemlerinden ve geliştiriciden dağıtıma kadar farklı parçaları birbirine bağlayan bağlamdan oluşur. . Bu sonuç, kurcalamaya dayanıklı bir denetim izi ve doğrulanabilir bir yazılım bütünlüğü kaydıdır. Bu özellik, yazılım tedarik zincirindeki her bağlantının orijinallik ve uyumluluk açısından doğrulanabilmesini sağlayarak güven ve şeffaflık sağlar.
- Bilgi: Yazılım açıkları ve açık kaynaklı projelere ilişkin istihbaratla zenginleştirilmiş toplanan kanıtları, iş zekası (BI) arayüzü aracılığıyla erişilebilen bir bilgi katmanına dönüştürürler. Süreç, çok miktardaki kanıtları toplayıp analiz ederek bunları yazılım portföyünün tutarlı bir envanteri halinde düzenler. Bu, risk analizini, öngörüleri ve karar almayı kolaylaştırır.
- Aksiyon: Yazılım geliştirme ve dağıtım sürecini derleme sonunda, dağıtım sırasında veya bant dışı esnek politikalarla (kod olarak yönetilen) denetlerler ve ürün bileşiminin farkında olurlar. Politika değerlendirmesi, ürünün güvenliğini kanıtlar ve paydaşlar ve denetçiler nezdinde şeffaflık açısından faydalı olabilir. Son olarak, SLSA ve SSDF gibi farklı çerçevelerle uyumluluk için kullanıma hazır planları uygulayabilirsiniz.
Temel Yetenekler:
- Gelişmiş SSDLC aracısı:Bu araç, kaynak kodu ve konteyner görüntüsü SBOM’ları, AST tarayıcıları, geliştirme platformu yapılandırmaları ve dosya ve yapı karmaları gibi çok çeşitli kanıt türleri oluşturmak için birden fazla geliştirme platformu türüne yerel olarak bağlanır.
- Kurcalamaya Karşı Kod ve Yapay İmzalama ve Doğrulama:Kanıtlar PKI veya Sigstore gibi çeşitli yöntemlerden biriyle imzalanır. İmzalı kanıtlar ve ayrıntılı SBOM’lar bütünlüğün korunmasına ve yapı yapılarında ve yapılandırmada açıklanmayan sapmaların tespit edilmesine yardımcı olur. Bu yetenek, SolarWinds olayında gözlemlenenler gibi karmaşık saldırılarla ilgilenen savunma ve bankacılık sektörlerine çok iyi uyuyor. Scribe, sürekli bütünlük kontrolleri aracılığıyla kodun yaşam döngüsü boyunca orijinalliğini ve güvenliğini sağlar.
- Zeka zenginleştirme:Güvenlik açıkları, sömürülebilirlik, açık kaynak projelerin itibarı ve mevcut düzeltmeler hakkında birden fazla kaynaktan gelen istihbarat sürekli olarak toplanır ve risk puanlaması ve bulguların önceliklendirilmesi için kullanılır.
- Güçlü Raporlama:SLSA ve SSDF gibi standartlar için sürekli uyumluluk raporları sunarak kuruluşların CI/CD işlem hatları boyunca düzenleyici gereksinimleri zahmetsizce karşılamasına olanak tanır.
- Kod Olarak Politika:Kod olarak politika yaklaşımını kullanan Scribe, yazılım geliştirme yaşam döngüsü boyunca esnek ve sağlam yönetime olanak tanır ve veri toplayan aynı sensörler veya toplayıcılar aracılığıyla güvenlik politikalarının otomatik olarak uygulanmasına olanak tanır.
Siber suç istatistikleri:
Ürün neye benziyor?
Asansör Konuşması:
Scribe, Siber Güvenlik ve kriptografi alanında deneyimli deneyimli kişiler tarafından ortak bir misyonu paylaşan kişiler tarafından kurulmuştur: sizi gerçekten koruyabilecek uçtan uca bir yazılım tedarik zinciri güvenliği çözümü sunmak. Güvenlik ve operasyonel verimlilik arasındaki hassas dengenin bilincinde olarak, her güvenlik kararının pazara çıkış süresini ve sonuçta gelirinizi etkilediğini anlıyoruz.
CEO’dan Alıntı:
“Yazılım fabrikanızı ve ürünlerinizi koddan buluta ve kurulu IOT’ye kadar yaşam döngülerinin her aşamasında tasarım yoluyla ve varsayılan olarak korumak için modern çerçevelerden ve kavramlardan yararlanan bir SSC platformu oluşturduk” ~Rubi Arbel, Scribe Security LTD CEO’su.
Gartner, Scribe Security’yi henüz değerlendirmedi veya öne çıkarmadı.
Nasıl finanse ediliyorsunuz?
Bugüne kadar VC’lerden (Elron Ventures, Tal Ventures, YYM Ventures) ve bir grup CISO’dan (Cyberfuture) 10,3 milyon dolar topladık.
Müşteri Görüşleri:
Henüz yok, ancak bu vizyonu benimle paylaşan mükemmel müşteriyi arayan ilklerden biri olmayı planladığımı söyleyebilirim ~Dan K Anderson
ABD’nin en büyük finans sektörü şirketlerinden biri, SBOM ve boru hattı güvenliği yeteneklerimiz için Scribe’ı satın aldı. Dağıtım süreci sırasında, Scribe politikasının gücünü kod korkulukları ve politika yönetişim otomasyonu olarak keşfettiler. Scribe artık aynı zamanda kurumlar arası SSDLC yönetim girişimleri için de başvurulacak araç haline geldi.
Yol Haritası
Çok detaylı bir yol haritamız var. Olumsuz paylaşılabilir. Scribe’ı neredeyse her açıdan yapay zeka öncelikli bir platforma dönüştürmeyi, kullanıcı deneyimini, keşfedilebilirliği, görselleştirmeyi, yeni sensör türleri oluşturmayı ve çok daha fazlasını geliştirmeyi içerir.
Önemli geliştiricileri nasıl ortalıkta tutuyorsunuz?
Geliştiricilerimize, tanınmış uzmanlarla siber güvenlik alanındaki en zorlu sorunlar üzerinde çalışma fırsatı veriyoruz. Kalmalarını sağlayan da budur.
Dan K.Anderson
2023 Yılının En İyi Küresel CISO’su Kazananı
Dan şu anda CyberDefense Magazine’de vCISO ve On-Call Fitil muhabiri olarak görev yapıyor. BSEE, MS Bilgisayar Bilimi, MBA Girişimcilik odağı, CISA, CRISC, CBCLA, C|EH, PCIP ve ITIL v3.
Dan’in çalışmaları arasında Stanford Tıp Merkezi, Harvard Boston Çocuk Hastanesi, Utah Üniversitesi Hastanesi gibi önde gelen eğitim hastanelerine ve Sutter Health, Catholic Healthcare West, Kaiser Permanente, Veteran’s Health İdaresi, Intermountain Healthcare ve Banner Health gibi büyük Entegre Dağıtım Ağlarına danışmanlık yapmak yer alıyor.
Dan, Başkan, CEO, CIO, CISO, CTO ve Direktör pozisyonlarında görev yaptı; şu anda Mark V Security’nin CEO’su ve Kurucu Ortağı ve Graphite Health’in Siber Danışman Kurulu üyesidir.
Dan, ABD Hokeyi seviye 5 Usta Antrenörüdür. Üniversite Yönetim Kurulu çalışmaları, yerel bilgisayar korsanlığı sahnesi ve öğrencilere, iş arkadaşlarına ve CISO’lara danışmanlık yaparak Siber Güvenlik profesyonellerinin geleceğini inşa ederek mevcut gönüllülük.
Dan, Littleton, Colorado ve Salt Lake City, Utah’ta yaşıyor ve kendisine linkedin.com/in/dankanderson adresinden ulaşılabilir.