سلاسل إمداد البرمجيات تتعرض للهجوم ، وتؤثر التداعيات على جميع أنواع المنظمات. إن الانتهاكات مثل Solarwinds و Moveit بمثابة دعوة للاستيقاظ ، مما يؤكد على الحاجة إلى رؤية أفضل وحماية.
يقول آدم إيناملي ، كبير مسؤولي المخاطر والأمن في الطبقات التي لا نفهمها تمامًا “واقع تطوير البرمجيات اليوم ، بنك جنرال كندا. “كل تطبيق تقريبًا في الوقت الحاضر هو خليط معقد من مكونات الطرف الثالث. إنه أمر لا مفر منه إذا كنت ترغب في الحفاظ على مقاييس تنافسية إلى السوق. المشكلة هي أنه على الرغم من أن هذا يسرع من دورة حياتك ، فإن ذلك يعني أيضًا أنك ترث ، وبالتالي تحمل مخاطر غير معروفة. ”
تتعرف بعض الفرق على مخاطر سلسلة توريد البرمجيات بالطريقة الصعبة عندما تصبح المكونات المفتوحة المفتوحة فجأة تعتمد عليها فجأة أو غير معرضة للخطر. عامل آخر هو أن بعض المشاريع مفتوحة المصدر تسمم عن قصد. وبالمثل ، تتم إضافة محتوى خاطئ ومضلل إلى الإنترنت مع LLMs التي تستخدم تلك البيانات كهدف.
يقول Ennamli: “لا يمكنك التعامل مع أمن سلسلة التوريد باعتباره مجرد مربع اختيار آخر في تقييم الأمان الخاص بك لأنه يمس نسيج موثوقية منتجك ، وبالتالي ثقة عملائك”. “أنت بحاجة إلى رؤية ما هو الكود الذي يتم تشغيله في بيئتك ، والذي يحافظ عليه ، وكيف يتم تحديثه. لم يعد هذا فقط يتعلق بالمسح الضوئي بعد الآن ؛ يتعلق الأمر بفهم النظام البيئي بأكمله تعتمد تطبيقاتك. ”
تميل الرؤية في تدفقات البيانات إلى أن تكون تحديًا كبيرًا من مديري المعلومات والموارد البشرية و CISO.
يقول جيريمي فينتورا ، ميدان CISO في Global Systems Integrator: “يمكن أن يكون فهم جميع موردي وموارد ومكونات البرمجيات من الطرف الثالث بمثابة عقبة رئيسية حيث تتغير وتوسيع بيئات المؤسسة على الإطلاق”. myriad360. مع هذا يأتي مشكلة بيانات. من لديه إمكانية الوصول إلى بياناتي؟ ما نوع البيانات التي أملكها؟ أين يتم إرسال بياناتاتي واستلامها؟ متى يتم الوصول إلى بياناتي؟ [These questions] هي جميع الأمثلة على ما يجب أن يسأله قادة التكنولوجيا أنفسهم كل يوم. ”
مخاطر سلسلة التوريد هي رياضة جماعية
لا يمكن للمطورين إدارة المخاطر بمفردهم ، ولا يمكنهم CISO.
“يجب أن تكون حماية أحداث سلسلة التوريد والدفاع عنها والاستجابة لها مزيجًا فعليًا بين العديد من الإدارات [including] يقول فينتورا: “الأمن ، تكنولوجيا المعلومات ، القانونية ، التنمية ، المنتج ، إلخ”. “لا ينبغي أن يمتلك قسم واحد برنامج سلسلة التوريد بالكامل لأنه يمس العديد من وحدات الأعمال داخل المؤسسة. يقود البرنامج عادةً ما يندرج البرنامج تحت CISO أو فريق الأمن حيث ينبغي اعتبار مخاطر الأمن السيبراني مخاطر تجارية. ”
أحد الأخطاء الأكثر شيوعًا هو وجود شعور زائف بالأمان.
“التفكير في عقلية ،” إذا لم أواجه مشكلة في سلسلة التوريد من قبل ، فلماذا إصلاحها الآن؟ ” يقول فينتورا: “يؤدي إلى الرضا عن النفس وعدم وجود الأمن السيبراني في جميع أنحاء العمل”. “خطأ شائع آخر هو المنظمات التي تعتمد بشكل كبير على تقييمات البائعين ، حيث يمكن للمنظمة أن تقول إنها آمنة ، لكنها لم تضع ضوابط قوية. يمكن أن يؤدي الثقة في التقييم تمامًا دون التحقق إلى قضايا رئيسية على الطريق. ”
من خلال الفشل في التركيز على مخاطر سلسلة التوريد ، تعرض المؤسسات نفسها خطرًا كبيرًا من خرق البيانات والخسارة المالية والغرامات التنظيمية والامتثال والأضرار التجارية والسمعة. وفقًا لـ Ventura ، عانت منظمة الرعاية الصحية مؤخرًا من خرق للبيانات مستحقة عندما تعرض أحد مورديها للهجوم ، مما تسبب في فقدان بيانات المريض ، مما أدى في النهاية إلى الامتثال والعقوبات التنظيمية.
يقول Ventura: “أفضل نصيحة لي هي التركيز على الرؤية في البيانات – بيانات مؤسستك وبيانات العميل والأطراف الثالثة التي قد تمكنت من الوصول إلى بياناتك”. “استثمر في الحلول التي توفر فاتورة شاملة للبرامج (SBOMS) لأغراض التدقيق وتشغيل تقييمات المخاطر بشكل مستمر ضد بائعي سلسلة التوريد البرمجيات. أخيرًا ، تأكد من أن الأمن يمثل مسؤولية مشتركة بين الإدارات المتعددة داخليًا. ”
يقول Ennamli من البنك العام الكندي إن إدارة سلسلة التوريد الفعالة تتطلب أربعة أشياء:
-
التواصل المتكرر بين فرق DEV التي تفهم التعقيدات الفنية ، وفرق الأمن التي يمكنها تقييم المخاطر وفهمها ، وقادة الأعمال الذين يمكنهم وزن المفاضلات بين السرعة والسلامة ،
-
أدوات آلية أو شبه آلية للرؤية ،
-
المزيد من التعليم والتجريب حول مفاهيم مثل SBOMS ، و
-
ثقافة يشعر فيها المطورون بالتمكين لزيادة المخاوف بشأن الحزم المشبوهة مع فهم ضغط العمل للتحرك بسرعة.
يقول إيناملي: “كل هذه المكونات تحتاج إلى التحرك معًا ، في التوازن والوئام ، أو سيفعل إما التحرك ببطء شديد وإحباط مطوريك أو تتحرك بسرعة كبيرة وتعرض نفسك لفقدان الثقة”.
جوزيف ليونج ، CTO وكبير مسؤولي المنتج في Javlin Invest يقول من الصعب بطبيعته أن نقاط الضعف في مكتبة برامج الطرف الثالث من الصعب تتبعها كمقياس للمنتجات وعمر في السوق.
“نحن نؤدي إلى أتمتة تتبع التبعية بأدوات مثل OWASP Dependency Coll ، ولكن لا يمكن الاعتماد عليها بنفسها. في تجربتي ، فإن أفضل عائد استثمار لإدارة التهديدات هو جعل الأمن جزءًا من دور الجميع “، كما يقول ليونج. “إن إنشاء سياسات لفحص المكتبات وإجراء مراجعات أمنية منتظمة في خط أنابيب DEV هما عمليتان سهلين يغرسان ثقافة تركز على الأمن في فرقتي. باختصار ، الأمر كله يتعلق بإنشاء أقصى قدر من الرؤية عبر جميع الأعضاء داخل فرق المنتج الخاصة بك. ”
السبب الجذري للمشكلة هو أن المؤسسات تفتقر إلى رؤى حول مكونات الطرف الثالث المستخدمة عبر تطبيقاتها.
يقول ليونج: “إن الوتيرة السريعة للإفصاح عن الضعف يمكن أن تطغى على الفرق”. “تخصيص الموارد ، والأنظمة القديمة ، ونقص المشاركة التنفيذية يمكن أن يزيد من تعقيد الجهود الأمنية.”
آدم مارتن ، مدير تكنولوجيا المعلومات والعمليات في شركة الهندسة المعمارية والهندسة كاملة الخدمات بنية أمريكية، يقول التعاون عبر الوظائف أمر بالغ الأهمية.
يقول مارتن: “يجب على فرق تكنولوجيا المعلومات والتطوير مسح الأنظمة وتحديثها بنشاط ، في حين يجب أن تفحص الممارسات الأمنية للقانون والمشتريات الممارسات الأمنية للبائعين”. “من المهم أن تتوافق القيادة التنفيذية مع الحاجة إلى إعطاء الأولوية لأمن سلسلة توريد البرمجيات.”
خلاصة القول
تحتاج المنظمات إلى القيام بعمل أفضل لفهم ما هو مدرج في تطبيقاتها. بدون هذا النوع من الرؤية ، قد تتبع جميع أنواع النتائج السيئة ، وليس أقلها المسؤولية المحتملة. SBOMS و Software Composition Solutions تساعد. وكذلك الحال بالنسبة للعمليات الداخلية وإنشاء ثقافة تعاونية تعطي الأولوية للبرمجيات ووضوح التبعية.
