ในขณะที่นักพัฒนาได้รับแรงกดดันมากขึ้นในการส่งมอบโครงการอย่างรวดเร็ว ความขัดแย้งระหว่างทีมพัฒนาและทีมรักษาความปลอดภัยก็เพิ่มระดับขึ้น และผู้โจมตีกำลังใช้ประโยชน์จากความขัดแย้งนี้เพื่อกำหนดเป้าหมายไปยังห่วงโซ่อุปทานของซอฟต์แวร์
ดังนั้น องค์กรต่างๆ ต้องเผชิญภัยคุกคามประเภทใด และพวกเขาจะทำอย่างไรเพื่อป้องกันตัวเองได้ เราได้พูดคุยกับ Pete Morgan ผู้ร่วมก่อตั้งและ CSO ของบริษัทด้านความปลอดภัยในซัพพลายเชน Phylum เพื่อหาคำตอบ
BN: เหตุใดซัพพลายเชนของซอฟต์แวร์จึงเป็นเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตี
PM: มีเหตุผลหลักสามประการที่ผู้ไม่หวังดีมุ่งเป้าไปที่ห่วงโซ่อุปทานของซอฟต์แวร์:
นักพัฒนาคือกลุ่มใหม่ที่มีมูลค่าสูง เป้าหมาย: ผู้โจมตีทราบเป้าหมายของอุปทาน การประนีประนอมลูกโซ่คือนักพัฒนาซอฟต์แวร์หรือโครงสร้างพื้นฐานที่มีสิทธิพิเศษ การประนีประนอมของเป้าหมายทำให้ได้คีย์การเข้าถึงระบบคลาวด์, คีย์ SSH, คีย์การลงนาม และความลับอื่นๆ คีย์เหล่านี้มักจะอยู่เป็นระยะเวลานาน ซึ่งหมายความว่าการบุกรุกที่ตรวจไม่พบทำให้ผู้โจมตีสามารถเข้าถึงและมีเวลาเหลือเฟือในการวางแผนขั้นตอนต่อไปอย่างรอบคอบ มีจุดบอดอยู่หลายประการ: ห่วงโซ่อุปทานของซอฟต์แวร์เป็นแนวคิดที่เปลี่ยนแปลงตลอดเวลา แพ็คเกจโอเพ่นซอร์สถูกใช้ใน 85 เปอร์เซ็นต์–95 เปอร์เซ็นต์ของแอปพลิเคชัน และสร้างและดูแลโดยคนแปลกหน้าบนอินเทอร์เน็ต นักพัฒนาใช้แพ็คเกจเหล่านี้โดยไม่มีการกำกับดูแลหรือการควบคุมจากทีมรักษาความปลอดภัย การแมปพื้นผิวการโจมตีที่แท้จริงสำหรับห่วงโซ่อุปทานซอฟต์แวร์ขององค์กรนั้นซับซ้อนและแตกต่างกันไปตามแต่ละองค์กร ทำให้มีช่องว่างมากมาย การรักษาอย่างต่อเนื่องเมื่อเวลาผ่านไปนั้นยากยิ่งกว่า ทำให้มีโอกาสมากมายสำหรับผู้โจมตี การป้องกันต้องสมบูรณ์แบบ ผู้โจมตีต้องชนะเพียงครั้งเดียว ลงทุนต่ำเพื่อผลตอบแทนก้อนโต: ค่าใช้จ่ายในการโจมตีซอฟต์แวร์ซัพพลายเชนนั้นต่ำมากและมักจะฟรี การโจมตีบางอย่างจำเป็นต้องเรียกใช้สคริปต์และรอเท่านั้น จนกว่าองค์กรจะยกระดับซอฟต์แวร์โปรแกรมรักษาความปลอดภัยของห่วงโซ่อุปทาน ผู้โจมตีรู้ว่าพวกเขาไม่จำเป็นต้องทำงานหนักขนาดนั้นหรือใช้การโจมตีที่ซับซ้อนเพื่อให้ประสบความสำเร็จ
BN: ความขัดแย้งหลักระหว่างทีมพัฒนาและทีมรักษาความปลอดภัยคืออะไร
PM: ทีมความปลอดภัยต้องการการมองเห็นและการควบคุมกระบวนการพัฒนาที่มากขึ้น และนักพัฒนาต้องการน้อยที่สุด สิ่งกีดขวางบนถนนสู่นวัตกรรมให้ได้มากที่สุด เมื่อเป้าหมาย นโยบาย และกระบวนการไม่สอดคล้องกัน หรือในกรณีนี้มักจะขัดแย้งกัน ความไม่ลงรอยกันย่อมมีอยู่เป็นธรรมดา
BN: การรักษาความปลอดภัยจะปรับปรุงความสัมพันธ์กับทีมพัฒนาได้อย่างไร/p>
PM: ความเห็นอกเห็นใจเป็นปัจจัยสำคัญอย่างยิ่งในการหาจุดร่วมระหว่างสองทีมนี้ และจำเป็นอย่างยิ่งที่ทั้งสองทีมจะต้องทำงานร่วมกันเพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจที่สำคัญ ทีมรักษาความปลอดภัยควรรวมนักพัฒนาไว้ในขั้นตอนเริ่มต้นของการตัดสินใจด้านความปลอดภัย และทำให้ง่ายต่อการนำนโยบายไปใช้ และนักพัฒนาควรเปิดใจเมื่อถูกขอให้รวมแนวทางปฏิบัติด้านความปลอดภัยไว้ในกระบวนการของตน เปิดช่องทางการสื่อสาร แบ่งปันความคิดเห็นอย่างสม่ำเสมอว่าอะไรได้ผลและอะไรไม่ได้ผล และการนำเทคโนโลยีที่ทำให้การบังคับใช้นโยบายเป็นไปโดยอัตโนมัติและปรับบริบทของปัญหาโดยไม่รบกวนกระบวนการพัฒนาจะนำไปสู่ความร่วมมือที่มีประสิทธิภาพมากขึ้น
BN: ทำไม มัลแวร์ในแพ็คเกจโอเพ่นซอร์สอันตรายมากไหม
PM: โอ้ จะเริ่มจากตรงไหนดี! แพ็คเกจที่เป็นอันตรายนั้นแตกต่างจากมัลแวร์ทั่วไปตรงที่แพ็คเกจที่เป็นอันตรายส่วนใหญ่ไม่จำเป็นต้องใช้ประโยชน์จากช่องโหว่ใด ๆ หรือหลอกให้ผู้ใช้ดำเนินการ นักพัฒนาที่ติดตั้งแพ็คเกจผิดหรือติดตั้งแพ็คเกจที่มีการพึ่งพาที่ไม่ถูกต้องอาจถูกบุกรุก และ 99 เปอร์เซ็นต์ของเวลาที่พวกเขาไม่เคยรู้
นักพัฒนาส่วนใหญ่ไม่มีเวลาหรือเครื่องมือในการวิเคราะห์ ความเสี่ยงของแพ็คเกจที่ใช้ แพ็คเกจมีการอ้างอิงซึ่งมีการอ้างอิงและห่วงโซ่นั้นสามารถมีได้ 20-30 ระดับซึ่งครอบคลุมแพ็คเกจโอเพ่นซอร์สนับหมื่น องค์กรส่วนใหญ่ยังคงทำเพียงการสแกนหาช่องโหว่และการใช้ใบอนุญาตในทางที่ผิด ดังนั้นมัลแวร์จึงตรวจไม่พบอย่างง่ายดาย: เป็นเรื่องง่ายที่จะคว้ากุญแจและความลับเพื่อโจมตีเพิ่มเติม
BN: มีอะไรบ้าง ความเสี่ยงอื่น ๆ ที่เกี่ยวข้องกับรหัสโอเพ่นซอร์สที่มักถูกมองข้าม?
PM: มีมากมาย แต่สิ่งหนึ่งที่โดดเด่นคือการเปลี่ยนแปลงของผู้ดูแล ไม่ใช่ช่องโหว่ของซอฟต์แวร์หรือแพ็คเกจที่เป็นอันตราย เป็นหนึ่งในความเสี่ยงของผู้เขียนที่เกิดจากแนวทางปฏิบัติทั่วไปในระบบนิเวศโอเพ่นซอร์ส บางครั้ง นักพัฒนาไม่มีความสนใจหรือเวลาที่จะดูแลแพ็คเกจโอเพ่นซอร์สยอดนิยมอีกต่อไป พวกเขามักจะต้องการให้มันใช้งานได้สำหรับผู้ใช้ที่พึ่งพามัน ดังนั้นพวกเขาจึงส่งต่อการดูแลให้กับบุคคลหรือกลุ่มอื่น เป็นเรื่องยากมากที่จะตรวจสอบแรงจูงใจและสิ่งจูงใจของผู้ดูแลรายใหม่ ดังนั้นการควบคุมแพ็คเกจเหล่านี้จึงอยู่ในมือของคนแปลกหน้าจากอินเทอร์เน็ต หากผู้เขียนที่ประสงค์ร้ายเข้าควบคุมแพ็คเกจที่ใช้ในแอปพลิเคชัน จะทำให้เกิดความเสี่ยงใหม่ที่ไม่ได้นำมาพิจารณาในบิลด์เริ่มต้น
BN: สิ่งสำคัญที่ควรระวังคือ และจัดการการพึ่งพาหรือไม่
PM: เราควรให้ความสำคัญกับการพึ่งพาเนื่องจากการรวมระยะยาวของแต่ละแพ็คเกจจะขยายพื้นผิวการโจมตีอย่างมาก เราจำเป็นต้องเข้าใจถึงความเสี่ยงในการใช้รหัสซ้ำซึ่งเปลี่ยนแปลงตลอดเวลาเพื่อปกป้องซอฟต์แวร์อย่างมีประสิทธิภาพ มิฉะนั้น องค์กรต่างๆ จะยังคงนำโค้ดจากคนแปลกหน้าบนอินเทอร์เน็ตกลับมาใช้ใหม่ด้วยกลยุทธ์ที่หวังเพียงให้ได้สิ่งที่ดีที่สุด นี่คือเหตุผลที่ห่วงโซ่อุปทานของซอฟต์แวร์อยู่ในข่าวอย่างมากในขณะนี้
BN: SBOM สามารถช่วยในเรื่องการมองเห็นและความปลอดภัยได้อย่างไร
PM: SBOM เป็นขั้นตอนในทิศทางที่ถูกต้อง แต่ฉันกังวลว่าข้อบังคับและข้อบังคับในการนำกระบวนการ SBOM ขายส่งมาใช้จะส่งผลให้เกิดการเคลื่อนไหวมากมายโดยไม่มีการปรับปรุงความปลอดภัยของซอฟต์แวร์อย่างมีนัยสำคัญ แนวคิดในการมองเห็นส่วนประกอบต่างๆ ของโครงการซอฟต์แวร์นั้นเป็นเรื่องง่าย แต่กระบวนการ SBOM ที่ฉันเห็นว่าผ่านๆ มานั้นขาดหายไปอย่างมาก เนื่องจากมีเพียงสแน็ปช็อตที่ไม่สมบูรณ์ในเวลาเท่านั้น
ข้อมูลที่จัดทำโดย SBOM ไม่เพียงพอที่จะครอบคลุมพื้นผิวการโจมตีของห่วงโซ่อุปทานของซอฟต์แวร์ และความหมายสำหรับองค์กรผู้ขายและผู้บริโภคในการนำกระบวนการใช้ SBOM มาใช้นั้นถือว่าเป็นความจริงที่งบประมาณของ Application Security และ/หรือ Product Security นั้นไม่จำกัดอย่างมีประสิทธิภาพ รูปแบบและกระบวนการของ SBOM จำเป็นต้องพัฒนาอย่างมากก่อนที่จะนำไปใช้อย่างมีความหมาย
BN: มาตรฐาน บรรทัดฐาน หรือพฤติกรรมใดที่จำเป็นต้องเปลี่ยนแปลงเพื่อให้องค์กรปกป้องห่วงโซ่อุปทานซอฟต์แวร์ของตนได้ดีที่สุด
PM: จำเป็นต้องมีการเปลี่ยนแปลงความคิดขั้นพื้นฐาน บริษัทต่างๆ จำเป็นต้องเข้าใจว่าพวกเขากำลังเผชิญกับความเสี่ยงด้านห่วงโซ่อุปทานซอฟต์แวร์ที่สำคัญในขณะนี้ และมีแนวโน้มว่าจะเกิดขึ้นเป็นเวลานาน ความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์ยังอยู่ในช่วงเริ่มต้น ดังนั้นการโจมตีจึงพัฒนาไปทุกวัน และการป้องกันเพิ่งถูกสร้างขึ้นในช่วงไม่กี่ปีที่ผ่านมา สมมติว่านักพัฒนาซอฟต์แวร์ของคุณกำลังตกเป็นเป้าหมาย และคุณมีความเสี่ยงในห่วงโซ่อุปทานของซอฟต์แวร์ที่ยังไม่เกิดขึ้นจริง เมื่อคุณก้าวข้ามความรู้สึกผิดๆ ของการรักษาความปลอดภัย คุณสามารถเริ่มต้นจากสถานที่จริงเพื่อสร้างโปรแกรมที่มีประสิทธิภาพที่สามารถปรับขนาดได้ตามความต้องการเฉพาะของคุณ
เครดิตรูปภาพ: มันซูรอฟ/ชัตเตอร์สต็อก