كيفية التخفيف من التهديدات الأمنية وهجمات سلسلة التوريد في عام 2023 وما بعده
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
أدى انتشار لغات وأطر البرمجة الشائعة إلى تقليل الجهد المطلوب لإنشاء تطبيقات الويب ونشرها.
ومع ذلك ، تحتاج معظم الفرق إلى المزيد من الموارد والميزانية والمعرفة لإدارة العدد الهائل من التبعيات والديون الفنية المتراكمة خلال دورة حياة تطوير التطبيق. استخدمت هجمات سلسلة التوريد الأخيرة دورة حياة تطوير البرمجيات (SDLC) ، مما يؤكد الحاجة إلى عمليات أمان تطبيق شاملة في عام 2023 وما بعده.
مهاجمة سلسلة توريد البرمجيات
تحدث هجمات سلسلة التوريد عندما تقوم الجهات الخبيثة بخرق مؤسسة من خلال نقاط الضعف في سلسلة توريد البرامج الخاصة بها – كما أظهر اختراق SolarWinds جيدًا. تحدث هذه الهجمات بطرق متنوعة ، مثل استخدام التعليمات البرمجية الخبيثة المخفية في المكتبات الشعبية مفتوحة المصدر أو الاستفادة من البائعين الخارجيين الذين يعانون من أوضاع أمنية سيئة.
تتوقع شركة Gartner أن 45٪ من المؤسسات في جميع أنحاء العالم ستتعرض لهجمات على سلاسل التوريد الخاصة بالبرامج بحلول عام 2025. ومع وضع ذلك في الاعتبار ، يجب على قادة الأمن وإدارة المخاطر الدخول في شراكة مع الإدارات الأخرى لإعطاء الأولوية لمخاطر سلسلة التوريد الرقمية والضغط على الموردين لإثبات أنهم يتمتعون بالقوة . الممارسات الأمنية المعمول بها.
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
المصدر المفتوح وقانون المواد البرمجية (SBOMs)
تستخدم العديد من المؤسسات مكتبات وأطر عمل تم إنشاؤها مسبقًا لتسريع تطوير تطبيقات الويب. بمجرد وجود نموذج أولي يعمل ، يمكن للفرق التركيز على أتمتة الإنشاء والنشر لتقديم التطبيقات بشكل أكثر كفاءة. أدى الاندفاع لشحن التطبيقات إلى ممارسات عمليات التطوير (DevOps) (التي تجمع بين تطوير البرامج وعمليات تكنولوجيا المعلومات لتسريع SDLC) واستخدام خطوط أنابيب التكامل والتطوير المستمر (CI / CD) لتقديم البرامج.
لحل التحديات التي أدخلتها التعليمات البرمجية غير المعروفة في التطبيقات الهامة ، قامت وزارة التجارة ، بالتنسيق مع الإدارة الوطنية للاتصالات والمعلومات (NTIA) ، بنشر “الحد الأدنى من العناصر” لقائمة مواد البرمجيات (SBOM). تحتفظ وحدة SBOM بالتفاصيل وعلاقات سلسلة التوريد الخاصة بالعديد من المكونات المستخدمة في بناء البرامج ، وتعمل كمصدر من أجل:
- تحقق من المكونات الموجودة في المنتج.
- تحقق مما إذا كانت المكونات محدثة.
- استجب بسرعة عند اكتشاف ثغرات أمنية جديدة.
- تحقق من الامتثال لترخيص البرامج مفتوحة المصدر (OSS).
تعمل SBOM على تحسين الرؤية بشكل كبير في قاعدة التعليمات البرمجية ، وهو أمر بالغ الأهمية لأن تعقيد مكتبات البرامج مفتوحة المصدر والاعتمادات الخارجية الأخرى يمكن أن يجعل تحديد التعليمات البرمجية الضارة أو الضعيفة داخل مكونات التطبيق أمرًا صعبًا للغاية. Log4j هو مثال ممتاز على ثغرة مفتوحة المصدر يمكن أن تساعد SBOM المؤسسات في العثور عليها ومعالجتها.
ما هو مفقود في أمان التطبيق؟
تعمل معظم أدوات الأمان كطبقة أعلى دورة التطوير – وكلما كبرت المؤسسة ، زادت صعوبة فرض استخدام هذه الأدوات. في كثير من الأحيان ، لا تأخذ الشركات الأمان في الاعتبار إلا بعد نشر التطبيقات ، مما يؤدي إلى التركيز بدلاً من ذلك على الإبلاغ عن المشكلات التي تم إدخالها بالفعل في التطبيق.
يقوم العديد من البائعين بتسليع عمليات التحقق من الثغرات الأمنية في سلسلة توريد البرامج ، متجاهلين الأمان خلال مرحلة ما قبل التطوير ، مما يترك الارتفاع السريع للبرامج الضارة في حزم مفتوحة المصدر ومكتبات الطرف الثالث المستخدمة لتطوير التطبيقات غير المعالجة.
لسوء الحظ ، تخلق هذه الفجوة بين التنمية والأمن هدفًا مثاليًا للجهات الخبيثة. يمتلك المهاجمون ذوو التمويل الجيد والدوافع العالية الوقت والموارد لاستغلال الفجوة بين DevOps و DevSecOps. إن قدرتهم على تضمين أنفسهم في SDLC الحديثة وفهمها لها عواقب بعيدة المدى على أمان التطبيق.
7 طرق لتحسين وضعية AppSec لعام 2023 (وما بعده)
نظرًا لأن الجهات الفاعلة الخبيثة تجد طرقًا جديدة لاستغلال الثغرات الأمنية والاستفادة منها ، يجب على المؤسسات تقوية بيئاتها وتحسين أمان تطبيقات الويب الخاصة بها. يمكن أن يساعد اتباع أفضل الممارسات السبع هذه في تعزيز الأمان في عمليات DevOps والاستعداد للتهديدات القادمة في عام 2023:
- استخدم SBOM لضمان الرؤية في الكود لتمكين أمان أفضل للتطبيق.
- إضفاء الطابع الرسمي على عملية الموافقة على البرامج مفتوحة المصدر، بما في ذلك جميع المكتبات والحاويات وتوابعها. تأكد من أن DevSecOps لديها الأدوات والمعرفة اللازمة لتقييم هذه الحزم من حيث المخاطر.
- افترض أن جميع البرامج تم اختراقها. بناء عملية الموافقة على سلاسل التوريد وفرض الأمن في سلسلة التوريد.
- لا تستخدم أوراق اعتماد الإنتاج في بيئة التكامل المستمر (CI) وتحقق من نظافة المستودعات.
- قم بتمكين إعدادات أمان GitHubمثل التفويض متعدد العوامل (MFA) لمنع عمليات الاستيلاء على الحساب ، وتحذيرات التسرب السرية ، وروبوتات التبعية التي تُعلم المستخدمين متى يجب عليهم تحديث الحزم (ولكن تذكر أن هذه الأساليب ليست كافية بحد ذاتها).
- دمج أمن التطوير في دورة حياة تطوير التطبيق من خلال تنفيذ بروتوكولات المناوبة اليسرى لتطوير البرامج.
- ضمان الحماية الشاملة الشاملة للنظام البيئي الرقمي. قم بتطبيق طبقة من الأمان في كل جزء من سلسلة التوريد – من SDLC وخط أنابيب CI / CD والخدمات التي تدير البيانات أثناء نقلها وتخزينها في وضع الراحة.
إن اتباع أفضل الممارسات الأمنية واسعة النطاق ومراجعتها وتنفيذها باستمرار عبر المؤسسة يمكن أن يساعد فرق الأمان في تأمين التطبيقات بشكل أفضل والتخفيف من التهديدات بنجاح في السنوات القادمة.
جورج بريتشيسي يعمل نائبًا للرئيس للمنتجات في OPSWAT.
صانعي القرار
مرحبًا بك في مجتمع VentureBeat!
DataDecisionMakers هو المكان الذي يمكن للخبراء ، بما في ذلك الأشخاص التقنيين الذين يقومون بعمل البيانات ، مشاركة الأفكار والابتكارات المتعلقة بالبيانات.
إذا كنت تريد أن تقرأ عن الأفكار المتطورة والمعلومات المحدثة ، وأفضل الممارسات ، ومستقبل البيانات وتكنولوجيا البيانات ، انضم إلينا في DataDecisionMakers.
يمكنك حتى التفكير في المساهمة بمقال خاص بك!
قراءة المزيد من DataDecisionMakers