تحدث هجمات على سلاسل إمداد البرمجيات لاختطاف البيانات الحساسة ورمز المصدر يوميًا تقريبًا. وفقا لمركز موارد سرقة الهوية (ITRC) ، تأثر أكثر من 10 ملايين فرد بهجمات سلسلة التوريد في عام 2022. استهدفت تلك الهجمات أكثر من 1700 مؤسسة ومرحة كميات هائلة من البيانات.
نمت سلاسل إمداد البرمجيات معقدة بشكل متزايد ، وأصبحت التهديدات أكثر تطوراً. وفي الوقت نفسه ، تعمل الذكاء الاصطناعى لصالح المتسللين ، ودعم محاولات ضارة أكثر من تعزيز الدفاعات. كلما كانت المنظمة أكبر ، يتعين على CTO أصعب العمل على تعزيز أمان سلسلة التوريد دون التضحية سرعة التنمية والوقت للقيمة.
المزيد من التبعيات ، المزيد من نقاط الضعف
تعتمد التطبيقات الحديثة على الأطر والمكتبات التي تم بناؤها مسبقًا أكثر مما كانت عليه قبل بضع سنوات فقط ، حيث يأتي كل منها بنظامه البيئي الخاص. الممارسات الأمنية مثل DevSecops وتكامل الطرف الثالث أيضا ضرب التبعيات. في حين أنها توفر السرعة ، وقابلية التوسع ، وكفاءة التكلفة ، فإن التبعيات تخلق المزيد من المواقع الضعيفة للمتسللين لاستهدافها.
تهدف مثل هذه الممارسات إلى تعزيز الأمن ، ومع ذلك فقد تؤدي إلى إشراف مجزأ مما يعقد تتبع الضعف. يمكن للمهاجمين الانزلاق عبر مسارات المكونات المستخدمة على نطاق واسع واستغلال العيوب المعروفة. قد تكون الحزمة المربوطة التي تم تموجها من خلال تطبيقات متعددة كافية لتحقيق أضرار جسيمة.
تتسبب انتهاكات سلسلة التوريد في عواقب مالية وتشغيلية وسمعة. بالنسبة لأصحاب الأعمال ، من الأهمية بمكان اختيار شركاء الهندسة الرقمية الذين يضعون أهمية قصوى على تدابير أمنية قوية. يجب أن يفهم بائعي الخدمة أيضًا أن ضمانات الأمن السيبراني القوي أصبحت عاملاً حاسماً في تكوين شراكات جديدة.
الثقة في غير محله في مكونات الطرف الثالث
تنشأ معظم هجمات سلسلة التوريد على جانب البائع ، وهو مصدر قلق خطير للبائعين. كما ذكرنا سابقًا ، تعد النظم الإيكولوجية المعقدة والمكونات المفتوحة المصدر أهدافًا سهلة. لا ينبغي أن تضع CTOs وفرق الأمن ثقة أعمى في البائعين. بدلاً من ذلك ، يحتاجون إلى رؤية واضحة في عملية التطوير.
يمكن أن يساعد إنشاء وصيانة فاتورة للمواد البرمجية (SBOM) لحلك في تخفيف المخاطر من خلال الكشف عن قائمة مكونات البرامج. ومع ذلك ، لا توفر SBOMs أي نظرة ثاقبة حول كيفية عمل هذه المكونات والمخاطر الخفية التي تحملها.
بالنسبة لأنظمة المؤسسات على نطاق واسع ، يمكن أن تكون مراجعة SBOMs ساحقة ولا تضمن تمامًا أمان سلسلة التوريد الكافية. المراقبة المستمرة وعقلية أمنية استباقية – تلك التي تفترض وجودها موجودة وتخفيفها بنشاط – تجعل الموقف يمكن التحكم فيه بشكل أفضل ، لكنها ليست رصاصة فضية.
تتكون سلاسل إمداد البرمجيات من العديد من الطبقات ، بما في ذلك المكتبات مفتوحة المصدر وواجهة برمجة تطبيقات الجهات الخارجية والخدمات السحابية وغيرها. لأنها تضيف المزيد من التعقيد إلى السلاسل ، تصبح إدارة هذه الطبقات بشكل فعال محوريًا.
بدون أدوات الرؤية الصحيحة في مكانها ، تقدم كل طبقة مخاطر محتملة ، خاصةً عندما يكون للمطورين سيطرة ضئيلة على أصول كل مكون مدمج في حل. تساعد أدوات مثل Snyk و Black Duck و Whitesource (الآن mend.io) في تحليل تكوين البرامج ، من خلال مسح مكونات نقاط الضعف وتحديد تلك التي عفا عليها الزمن أو غير آمنة.
مخاطر التحديثات التلقائية
التحديثات التلقائية هي سيف ذو حدين. أنها تقلل بشكل كبير من الوقت اللازم لطرح البقع والإصلاحات مع تعريض البقع الضعيفة أيضًا. عندما يدفع البائعون الموثوقون بالتحديثات التلقائية المنظمة جيدًا ، يمكنهم أيضًا نشر تصحيحات بسرعة بمجرد اكتشاف العيوب وقبل أن يستغلها المهاجمون.
ومع ذلك ، يمكن أن تصبح التحديثات التلقائية آلية تسليم للهجمات. في حادث Solarwinds، تم إدراج رمز ضار في تحديث تلقائي ، مما جعل سرقة بيانات ضخمة ممكنة قبل اكتشافه. الثقة العمياء في البائعين والتحديثات التي يقدمونها تزيد من المخاطر. بدلاً من ذلك ، يجب أن يتحول التركيز إلى دمج أدوات فعالة لبناء استراتيجيات أمان سلسلة التوريد المستدامة.
بناء دفاعات أفضل
يجب أن تتخذ CTOs موقفًا استباقيًا لتعزيز الدفاعات ضد هجمات سلسلة التوريد. ومن هنا ضرورة تحليل تكوين البرمجيات SBOM وبرامج (SCA) ، وتتبع التبعية الآلية ، وتقليم منتظم للمكونات غير المستخدمة. العديد من الأساليب والأدوات الأخرى يمكن أن تساعد في زيادة تعزيز الأمن:
-
يساعد نمذجة التهديدات وتقييم المخاطر في تحديد نقاط الضعف المحتملة وتحديد أولويات المخاطر داخل سلسلة التوريد.
-
تضمن جودة الرمز أن يكون الرمز آمنًا وصيانته جيدًا ويقلل من مخاطر نقاط الضعف.
-
SAST (اختبار أمان التطبيق الثابت) يقوم بمسح رمز لعيوب الأمن أثناء التطوير ، مما يسمح للفرق باكتشاف القضايا ومعالجتها في وقت سابق.
-
يتحقق اختبار الأمان من أن كل مكونات نظام يعمل على النحو المقصود ومحمي.
الاعتماد على البائعين وحدهم غير كافٍ – يجب على CTO أن يعطي الأولوية لضوابط أمنية أقوى وأكثر ذكاءً. يجب عليهم دمج أدوات قوية لتتبع SBOM و SCA ويجب أن تتضمن نمذجة SAST والتهديد في دورة حياة تطوير البرمجيات. بنفس القدر من الأهمية ، الحفاظ على المعايير الهندسية الأساسية ومقاييس الأداء مثل DORA لضمان جودة التسليم عالية وسرعة. من خلال أخذ هذا المسار ، يمكن لـ CTOs بناء وشراء البرامج بثقة ، والبقاء على خطوة واحدة على المتسللين وحماية علاماتهم التجارية وثقة العملاء.
