ソフトウェアベンダーはあなたと同じくらいセキュリティを気にかけていますか?
この記事のバージョンが掲載されました セキュリティマガジン。ここで更新され、シンジケートされました。
セキュリティ専門家にとって、12月13日には特別なことがあります。ついにSQLインジェクションを永久に根絶した日なのでしょうか?もちろん違います。もしかしたら「国際警備員感謝デー」なんでしょうか?また、いいえ。FireEyeとMandiantが、これまで知られていなかったことについての衝撃的なレポートを発表した日です。 グローバル侵入キャンペーン それはソーラーウィンズとして知られるようになります。このレポートには、SolarWindの人気の高いOrion管理ソフトウェアのソフトウェアアップデートの奥深くに悪意のあるコードが隠されていた、現在進行中の、ほとんど信じられないような攻撃が詳述されていました。
18,000人を超えるSolarWindsのお客様が、破損したアップデートをすでにダウンロードしていました。彼らの多くは、組織やネットワーク内の他の何百ものソフトウェアアップデートと同様に、自動的にダウンロードしていました。攻撃者は、SolarWindsの侵害を通じてアクセスが許可されたら、攻撃対象を非常に厳選していました。多くの大企業や政府機関では、データが盗まれ、ネットワークが侵害されました。これは最大規模の企業の1つで、恐らくは 最もコストのかかる侵害 これまでずっと、特に政府機関の場合、被害の全容が公に公表されたことはありません。
そして、それはすべて、人々がソフトウェアサプライチェーン内のベンダーを信頼し、その活動を適切に検証したり精査したりしなかったために起こりました。
サプライチェーンセキュリティへの大規模なシフト
警報が発せられると、企業、組織、政府機関は迅速に対応しました。SolarWindsの侵害はもちろん阻止されましたが、この攻撃により、規制も監視もされていないソフトウェアサプライチェーンの危険性も露呈しました。SolarWindsのインシデントは発見されればすぐに解決しましたが、サプライチェーンが攻撃経路としてどのように利用されたかに関する影響は今も続いています。この攻撃で他に良い結果が得られなかったとしても、少なくとも、重要ではあるが見過ごされがちなサイバーセキュリティの一面にスポットライトが当てられたことになります。
SolarWinds攻撃に対する最も注目を集めた対応の1つは、バイデン大統領の 行政命令 国のサイバーセキュリティの改善について。この命令は、米国でこれまでに発行された中で最も包括的なサイバーセキュリティ指令の1つです。政府機関や政府と取引を行う人々のサイバーセキュリティの強化を求め、ゼロトラストネットワークのような高度な保護を提唱し、ソフトウェアサプライチェーンのセキュリティの必要性を強調しています。
EOは政府に固有のものですが、他のグループもSolarWindsスタイルの攻撃を防ぐためのサプライチェーンのセキュリティの重要性を強調し始めています。たとえば、パロアルトは最近その記事を発表しました ユニット42 クラウド脅威レポート 「クラウドを保護するためのソフトウェアサプライチェーンの保護」というタイトルです。このレポートには、ソフトウェアサプライチェーンのセキュリティがなければ、完全に安全なクラウド環境はないと記載されています。そして、クラウド・ネイティブ・コンピューティング財団もこれに同意し、以下をリリースしました ホワイトペーパー SolarWindsの影響で従わなければならない重要なソフトウェアサプライチェーンのベストプラクティスを詳述しています。
過去数年間はサイバーセキュリティ標準を変革したと言っても過言ではありません。必須ではありませんが、すべての組織がそれに追随し、ベンダーのセキュリティ慣行を自社の内部セキュリティプログラムの一部であるかのように精査することがすべての組織の目標となるはずです。CISAの新しい取り組みのような取り組み ストラテジック・プラン セキュリティを責任分担として捉えることが、すべてのソフトウェア開発者、特に重要なインフラストラクチャやソフトウェアサプライチェーンに関わる人々にとって新しい標準の一部となっているというさらなる証拠を示しています。
ソフトウェアサプライチェーンを改善するために組織ができることは何ですか?
このような状況では、多くのベンダーが、自社のサプライチェーンを保護するために何ができるかを正しく尋ねています。ベンダーが自分たちと同じくらいサイバーセキュリティに気を配るようにするために、組織は何ができるでしょうか?
EOは、ソフトウェア開発者が与える影響と、彼らが受ける必要性を具体的に概説しています 検証済みのセキュリティスキル そして、重要なセキュリティスキルによる人主導の防御に重点を置くよりも、ツールにこだわる業界では認識は忘れられがちです。
最近のサイバーセキュリティへの包括的なアプローチには、実施されている技術的なセキュリティ統制と、パートナーが自社のガバナンス、リスク、コンプライアンスをどのように見ているかの評価を含む、詳細な第三者リスク評価を絶対に含める必要があることが明らかになりました。
すべての第三者評価には、ソフトウェアサプライチェーンの関係者が検証済みの証明書署名付きの安全なプログラムアップデートをどのようにリリースする予定か、またその企業がすべてのソフトウェアとデバイスのID管理にどのように役立つかについての保証と詳細な計画を含める必要があります。また、自社製品の暗号化のアップグレードや更新に向けた明確な道筋を示す必要もあります。
そして、開発者がついにソフトウェアサプライチェーンのセキュリティの重要な要素と見なされるようになった今、どのような評価でも、開発コミュニティ内で安全なコーディングと継続的な改善をどのように奨励しているかを詳述したレポートを含める必要があります。理想的には、開発者のスキルと現在のトレーニングのベンチマークも必要です。開発者のスキルアップに重点が置かれるようになってきていることはわかっていますが、 開発者の 48% が、脆弱なコードを故意にリリースしたことを認めています。
時間的制約や、セキュリティが世界の最優先事項 (または成功の尺度) ではないという現実などの要因が、コードレベルの脆弱性に対処すべき早期に対処できない環境の一因となっています。これらがソフトウェアのサプライチェーンに侵入するのを防ぐには、 ごと 組織は、より開発者に優しいセキュリティプログラムに取り組む必要があります。
次のステップ?
セキュリティ上の問題を抱えているベンダーのソフトウェアを使用すると、それをエコシステムに受け継ぎ、その結果を負担することになるため、リスク評価は重要です。ただし、組織は、ベンダーの方が実際にはより安全であり、開発者コミュニティのサポートにおいてさらに優れている可能性があることも認識しておく必要があります。
自社のセキュリティを評価する二次的な方法として、サードパーティのリスク評価を使用できます。社内のセキュリティよりも、ベンダーの方がセキュリティの面での対応が優れていれば、その方法を採用して組織の改善を図ることができます。
最後に、ソフトウェアサプライチェーンを本当に改善するための次の大きなステップは、開発者向けの安全なコーディング認定を実施することです。良い計画を立てることが第一歩ですが、それが実際に実行され、安全なコードの作成に役立つことを確認することも必要です。
開発者がセキュアコーディングを支援することが当たり前になるまでは、脅威アクターが覗き込む前に機会の窓を閉じることに常に遅れをとっています。しかし、適切なサポートを受ければプラスの影響を与えるのに遅すぎることはありません。開発者がアジャイルラーニングの力を利用して、関連性が高く影響力の大きいセキュリティスキルを磨く方法をご覧ください。 今。
過去数年間はサイバーセキュリティ標準を変革したと言っても過言ではありません。必須ではありませんが、すべての組織がそれに追随し、ベンダーのセキュリティ慣行を自社の内部セキュリティプログラムの一部であるかのように精査することがすべての組織の目標となるはずです。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
この記事のバージョンが掲載されました セキュリティマガジン。ここで更新され、シンジケートされました。
セキュリティ専門家にとって、12月13日には特別なことがあります。ついにSQLインジェクションを永久に根絶した日なのでしょうか?もちろん違います。もしかしたら「国際警備員感謝デー」なんでしょうか?また、いいえ。FireEyeとMandiantが、これまで知られていなかったことについての衝撃的なレポートを発表した日です。 グローバル侵入キャンペーン それはソーラーウィンズとして知られるようになります。このレポートには、SolarWindの人気の高いOrion管理ソフトウェアのソフトウェアアップデートの奥深くに悪意のあるコードが隠されていた、現在進行中の、ほとんど信じられないような攻撃が詳述されていました。
18,000人を超えるSolarWindsのお客様が、破損したアップデートをすでにダウンロードしていました。彼らの多くは、組織やネットワーク内の他の何百ものソフトウェアアップデートと同様に、自動的にダウンロードしていました。攻撃者は、SolarWindsの侵害を通じてアクセスが許可されたら、攻撃対象を非常に厳選していました。多くの大企業や政府機関では、データが盗まれ、ネットワークが侵害されました。これは最大規模の企業の1つで、恐らくは 最もコストのかかる侵害 これまでずっと、特に政府機関の場合、被害の全容が公に公表されたことはありません。
そして、それはすべて、人々がソフトウェアサプライチェーン内のベンダーを信頼し、その活動を適切に検証したり精査したりしなかったために起こりました。
サプライチェーンセキュリティへの大規模なシフト
警報が発せられると、企業、組織、政府機関は迅速に対応しました。SolarWindsの侵害はもちろん阻止されましたが、この攻撃により、規制も監視もされていないソフトウェアサプライチェーンの危険性も露呈しました。SolarWindsのインシデントは発見されればすぐに解決しましたが、サプライチェーンが攻撃経路としてどのように利用されたかに関する影響は今も続いています。この攻撃で他に良い結果が得られなかったとしても、少なくとも、重要ではあるが見過ごされがちなサイバーセキュリティの一面にスポットライトが当てられたことになります。
SolarWinds攻撃に対する最も注目を集めた対応の1つは、バイデン大統領の 行政命令 国のサイバーセキュリティの改善について。この命令は、米国でこれまでに発行された中で最も包括的なサイバーセキュリティ指令の1つです。政府機関や政府と取引を行う人々のサイバーセキュリティの強化を求め、ゼロトラストネットワークのような高度な保護を提唱し、ソフトウェアサプライチェーンのセキュリティの必要性を強調しています。
EOは政府に固有のものですが、他のグループもSolarWindsスタイルの攻撃を防ぐためのサプライチェーンのセキュリティの重要性を強調し始めています。たとえば、パロアルトは最近その記事を発表しました ユニット42 クラウド脅威レポート 「クラウドを保護するためのソフトウェアサプライチェーンの保護」というタイトルです。このレポートには、ソフトウェアサプライチェーンのセキュリティがなければ、完全に安全なクラウド環境はないと記載されています。そして、クラウド・ネイティブ・コンピューティング財団もこれに同意し、以下をリリースしました ホワイトペーパー SolarWindsの影響で従わなければならない重要なソフトウェアサプライチェーンのベストプラクティスを詳述しています。
過去数年間はサイバーセキュリティ標準を変革したと言っても過言ではありません。必須ではありませんが、すべての組織がそれに追随し、ベンダーのセキュリティ慣行を自社の内部セキュリティプログラムの一部であるかのように精査することがすべての組織の目標となるはずです。CISAの新しい取り組みのような取り組み ストラテジック・プラン セキュリティを責任分担として捉えることが、すべてのソフトウェア開発者、特に重要なインフラストラクチャやソフトウェアサプライチェーンに関わる人々にとって新しい標準の一部となっているというさらなる証拠を示しています。
ソフトウェアサプライチェーンを改善するために組織ができることは何ですか?
このような状況では、多くのベンダーが、自社のサプライチェーンを保護するために何ができるかを正しく尋ねています。ベンダーが自分たちと同じくらいサイバーセキュリティに気を配るようにするために、組織は何ができるでしょうか?
EOは、ソフトウェア開発者が与える影響と、彼らが受ける必要性を具体的に概説しています 検証済みのセキュリティスキル そして、重要なセキュリティスキルによる人主導の防御に重点を置くよりも、ツールにこだわる業界では認識は忘れられがちです。
最近のサイバーセキュリティへの包括的なアプローチには、実施されている技術的なセキュリティ統制と、パートナーが自社のガバナンス、リスク、コンプライアンスをどのように見ているかの評価を含む、詳細な第三者リスク評価を絶対に含める必要があることが明らかになりました。
すべての第三者評価には、ソフトウェアサプライチェーンの関係者が検証済みの証明書署名付きの安全なプログラムアップデートをどのようにリリースする予定か、またその企業がすべてのソフトウェアとデバイスのID管理にどのように役立つかについての保証と詳細な計画を含める必要があります。また、自社製品の暗号化のアップグレードや更新に向けた明確な道筋を示す必要もあります。
そして、開発者がついにソフトウェアサプライチェーンのセキュリティの重要な要素と見なされるようになった今、どのような評価でも、開発コミュニティ内で安全なコーディングと継続的な改善をどのように奨励しているかを詳述したレポートを含める必要があります。理想的には、開発者のスキルと現在のトレーニングのベンチマークも必要です。開発者のスキルアップに重点が置かれるようになってきていることはわかっていますが、 開発者の 48% が、脆弱なコードを故意にリリースしたことを認めています。
時間的制約や、セキュリティが世界の最優先事項 (または成功の尺度) ではないという現実などの要因が、コードレベルの脆弱性に対処すべき早期に対処できない環境の一因となっています。これらがソフトウェアのサプライチェーンに侵入するのを防ぐには、 ごと 組織は、より開発者に優しいセキュリティプログラムに取り組む必要があります。
次のステップ?
セキュリティ上の問題を抱えているベンダーのソフトウェアを使用すると、それをエコシステムに受け継ぎ、その結果を負担することになるため、リスク評価は重要です。ただし、組織は、ベンダーの方が実際にはより安全であり、開発者コミュニティのサポートにおいてさらに優れている可能性があることも認識しておく必要があります。
自社のセキュリティを評価する二次的な方法として、サードパーティのリスク評価を使用できます。社内のセキュリティよりも、ベンダーの方がセキュリティの面での対応が優れていれば、その方法を採用して組織の改善を図ることができます。
最後に、ソフトウェアサプライチェーンを本当に改善するための次の大きなステップは、開発者向けの安全なコーディング認定を実施することです。良い計画を立てることが第一歩ですが、それが実際に実行され、安全なコードの作成に役立つことを確認することも必要です。
開発者がセキュアコーディングを支援することが当たり前になるまでは、脅威アクターが覗き込む前に機会の窓を閉じることに常に遅れをとっています。しかし、適切なサポートを受ければプラスの影響を与えるのに遅すぎることはありません。開発者がアジャイルラーニングの力を利用して、関連性が高く影響力の大きいセキュリティスキルを磨く方法をご覧ください。 今。
この記事のバージョンが掲載されました セキュリティマガジン。ここで更新され、シンジケートされました。
セキュリティ専門家にとって、12月13日には特別なことがあります。ついにSQLインジェクションを永久に根絶した日なのでしょうか?もちろん違います。もしかしたら「国際警備員感謝デー」なんでしょうか?また、いいえ。FireEyeとMandiantが、これまで知られていなかったことについての衝撃的なレポートを発表した日です。 グローバル侵入キャンペーン それはソーラーウィンズとして知られるようになります。このレポートには、SolarWindの人気の高いOrion管理ソフトウェアのソフトウェアアップデートの奥深くに悪意のあるコードが隠されていた、現在進行中の、ほとんど信じられないような攻撃が詳述されていました。
18,000人を超えるSolarWindsのお客様が、破損したアップデートをすでにダウンロードしていました。彼らの多くは、組織やネットワーク内の他の何百ものソフトウェアアップデートと同様に、自動的にダウンロードしていました。攻撃者は、SolarWindsの侵害を通じてアクセスが許可されたら、攻撃対象を非常に厳選していました。多くの大企業や政府機関では、データが盗まれ、ネットワークが侵害されました。これは最大規模の企業の1つで、恐らくは 最もコストのかかる侵害 これまでずっと、特に政府機関の場合、被害の全容が公に公表されたことはありません。
そして、それはすべて、人々がソフトウェアサプライチェーン内のベンダーを信頼し、その活動を適切に検証したり精査したりしなかったために起こりました。
サプライチェーンセキュリティへの大規模なシフト
警報が発せられると、企業、組織、政府機関は迅速に対応しました。SolarWindsの侵害はもちろん阻止されましたが、この攻撃により、規制も監視もされていないソフトウェアサプライチェーンの危険性も露呈しました。SolarWindsのインシデントは発見されればすぐに解決しましたが、サプライチェーンが攻撃経路としてどのように利用されたかに関する影響は今も続いています。この攻撃で他に良い結果が得られなかったとしても、少なくとも、重要ではあるが見過ごされがちなサイバーセキュリティの一面にスポットライトが当てられたことになります。
SolarWinds攻撃に対する最も注目を集めた対応の1つは、バイデン大統領の 行政命令 国のサイバーセキュリティの改善について。この命令は、米国でこれまでに発行された中で最も包括的なサイバーセキュリティ指令の1つです。政府機関や政府と取引を行う人々のサイバーセキュリティの強化を求め、ゼロトラストネットワークのような高度な保護を提唱し、ソフトウェアサプライチェーンのセキュリティの必要性を強調しています。
EOは政府に固有のものですが、他のグループもSolarWindsスタイルの攻撃を防ぐためのサプライチェーンのセキュリティの重要性を強調し始めています。たとえば、パロアルトは最近その記事を発表しました ユニット42 クラウド脅威レポート 「クラウドを保護するためのソフトウェアサプライチェーンの保護」というタイトルです。このレポートには、ソフトウェアサプライチェーンのセキュリティがなければ、完全に安全なクラウド環境はないと記載されています。そして、クラウド・ネイティブ・コンピューティング財団もこれに同意し、以下をリリースしました ホワイトペーパー SolarWindsの影響で従わなければならない重要なソフトウェアサプライチェーンのベストプラクティスを詳述しています。
過去数年間はサイバーセキュリティ標準を変革したと言っても過言ではありません。必須ではありませんが、すべての組織がそれに追随し、ベンダーのセキュリティ慣行を自社の内部セキュリティプログラムの一部であるかのように精査することがすべての組織の目標となるはずです。CISAの新しい取り組みのような取り組み ストラテジック・プラン セキュリティを責任分担として捉えることが、すべてのソフトウェア開発者、特に重要なインフラストラクチャやソフトウェアサプライチェーンに関わる人々にとって新しい標準の一部となっているというさらなる証拠を示しています。
ソフトウェアサプライチェーンを改善するために組織ができることは何ですか?
このような状況では、多くのベンダーが、自社のサプライチェーンを保護するために何ができるかを正しく尋ねています。ベンダーが自分たちと同じくらいサイバーセキュリティに気を配るようにするために、組織は何ができるでしょうか?
EOは、ソフトウェア開発者が与える影響と、彼らが受ける必要性を具体的に概説しています 検証済みのセキュリティスキル そして、重要なセキュリティスキルによる人主導の防御に重点を置くよりも、ツールにこだわる業界では認識は忘れられがちです。
最近のサイバーセキュリティへの包括的なアプローチには、実施されている技術的なセキュリティ統制と、パートナーが自社のガバナンス、リスク、コンプライアンスをどのように見ているかの評価を含む、詳細な第三者リスク評価を絶対に含める必要があることが明らかになりました。
すべての第三者評価には、ソフトウェアサプライチェーンの関係者が検証済みの証明書署名付きの安全なプログラムアップデートをどのようにリリースする予定か、またその企業がすべてのソフトウェアとデバイスのID管理にどのように役立つかについての保証と詳細な計画を含める必要があります。また、自社製品の暗号化のアップグレードや更新に向けた明確な道筋を示す必要もあります。
そして、開発者がついにソフトウェアサプライチェーンのセキュリティの重要な要素と見なされるようになった今、どのような評価でも、開発コミュニティ内で安全なコーディングと継続的な改善をどのように奨励しているかを詳述したレポートを含める必要があります。理想的には、開発者のスキルと現在のトレーニングのベンチマークも必要です。開発者のスキルアップに重点が置かれるようになってきていることはわかっていますが、 開発者の 48% が、脆弱なコードを故意にリリースしたことを認めています。
時間的制約や、セキュリティが世界の最優先事項 (または成功の尺度) ではないという現実などの要因が、コードレベルの脆弱性に対処すべき早期に対処できない環境の一因となっています。これらがソフトウェアのサプライチェーンに侵入するのを防ぐには、 ごと 組織は、より開発者に優しいセキュリティプログラムに取り組む必要があります。
次のステップ?
セキュリティ上の問題を抱えているベンダーのソフトウェアを使用すると、それをエコシステムに受け継ぎ、その結果を負担することになるため、リスク評価は重要です。ただし、組織は、ベンダーの方が実際にはより安全であり、開発者コミュニティのサポートにおいてさらに優れている可能性があることも認識しておく必要があります。
自社のセキュリティを評価する二次的な方法として、サードパーティのリスク評価を使用できます。社内のセキュリティよりも、ベンダーの方がセキュリティの面での対応が優れていれば、その方法を採用して組織の改善を図ることができます。
最後に、ソフトウェアサプライチェーンを本当に改善するための次の大きなステップは、開発者向けの安全なコーディング認定を実施することです。良い計画を立てることが第一歩ですが、それが実際に実行され、安全なコードの作成に役立つことを確認することも必要です。
開発者がセキュアコーディングを支援することが当たり前になるまでは、脅威アクターが覗き込む前に機会の窓を閉じることに常に遅れをとっています。しかし、適切なサポートを受ければプラスの影響を与えるのに遅すぎることはありません。開発者がアジャイルラーニングの力を利用して、関連性が高く影響力の大きいセキュリティスキルを磨く方法をご覧ください。 今。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
この記事のバージョンが掲載されました セキュリティマガジン。ここで更新され、シンジケートされました。
セキュリティ専門家にとって、12月13日には特別なことがあります。ついにSQLインジェクションを永久に根絶した日なのでしょうか?もちろん違います。もしかしたら「国際警備員感謝デー」なんでしょうか?また、いいえ。FireEyeとMandiantが、これまで知られていなかったことについての衝撃的なレポートを発表した日です。 グローバル侵入キャンペーン それはソーラーウィンズとして知られるようになります。このレポートには、SolarWindの人気の高いOrion管理ソフトウェアのソフトウェアアップデートの奥深くに悪意のあるコードが隠されていた、現在進行中の、ほとんど信じられないような攻撃が詳述されていました。
18,000人を超えるSolarWindsのお客様が、破損したアップデートをすでにダウンロードしていました。彼らの多くは、組織やネットワーク内の他の何百ものソフトウェアアップデートと同様に、自動的にダウンロードしていました。攻撃者は、SolarWindsの侵害を通じてアクセスが許可されたら、攻撃対象を非常に厳選していました。多くの大企業や政府機関では、データが盗まれ、ネットワークが侵害されました。これは最大規模の企業の1つで、恐らくは 最もコストのかかる侵害 これまでずっと、特に政府機関の場合、被害の全容が公に公表されたことはありません。
そして、それはすべて、人々がソフトウェアサプライチェーン内のベンダーを信頼し、その活動を適切に検証したり精査したりしなかったために起こりました。
サプライチェーンセキュリティへの大規模なシフト
警報が発せられると、企業、組織、政府機関は迅速に対応しました。SolarWindsの侵害はもちろん阻止されましたが、この攻撃により、規制も監視もされていないソフトウェアサプライチェーンの危険性も露呈しました。SolarWindsのインシデントは発見されればすぐに解決しましたが、サプライチェーンが攻撃経路としてどのように利用されたかに関する影響は今も続いています。この攻撃で他に良い結果が得られなかったとしても、少なくとも、重要ではあるが見過ごされがちなサイバーセキュリティの一面にスポットライトが当てられたことになります。
SolarWinds攻撃に対する最も注目を集めた対応の1つは、バイデン大統領の 行政命令 国のサイバーセキュリティの改善について。この命令は、米国でこれまでに発行された中で最も包括的なサイバーセキュリティ指令の1つです。政府機関や政府と取引を行う人々のサイバーセキュリティの強化を求め、ゼロトラストネットワークのような高度な保護を提唱し、ソフトウェアサプライチェーンのセキュリティの必要性を強調しています。
EOは政府に固有のものですが、他のグループもSolarWindsスタイルの攻撃を防ぐためのサプライチェーンのセキュリティの重要性を強調し始めています。たとえば、パロアルトは最近その記事を発表しました ユニット42 クラウド脅威レポート 「クラウドを保護するためのソフトウェアサプライチェーンの保護」というタイトルです。このレポートには、ソフトウェアサプライチェーンのセキュリティがなければ、完全に安全なクラウド環境はないと記載されています。そして、クラウド・ネイティブ・コンピューティング財団もこれに同意し、以下をリリースしました ホワイトペーパー SolarWindsの影響で従わなければならない重要なソフトウェアサプライチェーンのベストプラクティスを詳述しています。
過去数年間はサイバーセキュリティ標準を変革したと言っても過言ではありません。必須ではありませんが、すべての組織がそれに追随し、ベンダーのセキュリティ慣行を自社の内部セキュリティプログラムの一部であるかのように精査することがすべての組織の目標となるはずです。CISAの新しい取り組みのような取り組み ストラテジック・プラン セキュリティを責任分担として捉えることが、すべてのソフトウェア開発者、特に重要なインフラストラクチャやソフトウェアサプライチェーンに関わる人々にとって新しい標準の一部となっているというさらなる証拠を示しています。
ソフトウェアサプライチェーンを改善するために組織ができることは何ですか?
このような状況では、多くのベンダーが、自社のサプライチェーンを保護するために何ができるかを正しく尋ねています。ベンダーが自分たちと同じくらいサイバーセキュリティに気を配るようにするために、組織は何ができるでしょうか?
EOは、ソフトウェア開発者が与える影響と、彼らが受ける必要性を具体的に概説しています 検証済みのセキュリティスキル そして、重要なセキュリティスキルによる人主導の防御に重点を置くよりも、ツールにこだわる業界では認識は忘れられがちです。
最近のサイバーセキュリティへの包括的なアプローチには、実施されている技術的なセキュリティ統制と、パートナーが自社のガバナンス、リスク、コンプライアンスをどのように見ているかの評価を含む、詳細な第三者リスク評価を絶対に含める必要があることが明らかになりました。
すべての第三者評価には、ソフトウェアサプライチェーンの関係者が検証済みの証明書署名付きの安全なプログラムアップデートをどのようにリリースする予定か、またその企業がすべてのソフトウェアとデバイスのID管理にどのように役立つかについての保証と詳細な計画を含める必要があります。また、自社製品の暗号化のアップグレードや更新に向けた明確な道筋を示す必要もあります。
そして、開発者がついにソフトウェアサプライチェーンのセキュリティの重要な要素と見なされるようになった今、どのような評価でも、開発コミュニティ内で安全なコーディングと継続的な改善をどのように奨励しているかを詳述したレポートを含める必要があります。理想的には、開発者のスキルと現在のトレーニングのベンチマークも必要です。開発者のスキルアップに重点が置かれるようになってきていることはわかっていますが、 開発者の 48% が、脆弱なコードを故意にリリースしたことを認めています。
時間的制約や、セキュリティが世界の最優先事項 (または成功の尺度) ではないという現実などの要因が、コードレベルの脆弱性に対処すべき早期に対処できない環境の一因となっています。これらがソフトウェアのサプライチェーンに侵入するのを防ぐには、 ごと 組織は、より開発者に優しいセキュリティプログラムに取り組む必要があります。
次のステップ?
セキュリティ上の問題を抱えているベンダーのソフトウェアを使用すると、それをエコシステムに受け継ぎ、その結果を負担することになるため、リスク評価は重要です。ただし、組織は、ベンダーの方が実際にはより安全であり、開発者コミュニティのサポートにおいてさらに優れている可能性があることも認識しておく必要があります。
自社のセキュリティを評価する二次的な方法として、サードパーティのリスク評価を使用できます。社内のセキュリティよりも、ベンダーの方がセキュリティの面での対応が優れていれば、その方法を採用して組織の改善を図ることができます。
最後に、ソフトウェアサプライチェーンを本当に改善するための次の大きなステップは、開発者向けの安全なコーディング認定を実施することです。良い計画を立てることが第一歩ですが、それが実際に実行され、安全なコードの作成に役立つことを確認することも必要です。
開発者がセキュアコーディングを支援することが当たり前になるまでは、脅威アクターが覗き込む前に機会の窓を閉じることに常に遅れをとっています。しかし、適切なサポートを受ければプラスの影響を与えるのに遅すぎることはありません。開発者がアジャイルラーニングの力を利用して、関連性が高く影響力の大きいセキュリティスキルを磨く方法をご覧ください。 今。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
