Рост атак на цепочки поставок программного обеспечения порождает потребность в руководителях инженерных служб, отвечающих за технологические продукты.
В связи с крупными кибер-атаками на критически важные объекты инфраструктуры, такими как атака SolarWinds, взлом водоочистных сооружений во Флориде и кризис Colonial Pipeline на восточном побережье США к безопасности продуктов, а не только информационных систем необходимо относиться более серьезно, считает Крис Высопал, основатель и технический директор компании Veracode, занимающейся сканированием кода.
Крис Высопал на этой неделе, на конференции RSA 2021 утверждает, что пока CISO защищает информацию на предприятии, продукты нуждаются в таком же внимании, как и корпоративные информационные системы. Его призыв уделять больше внимания безопасности продуктов прозвучал в связи с ростом числа атак на цепочки поставок и попытками правительств по всему миру решить проблему несанкционированного проникновения продуктов в организации.
«Продукты отличаются друг от друга. Продукты покидают предприятия. Подумайте о безопасности продукции Tesla. Это автомобиль. Вы можете подумать о компании по производству медицинского оборудования, но даже в более информационно-ориентированных компаниях это приложение, это веб-сайт, и они начинают выходить за пределы предприятия. Они живут своей собственной жизнью» - заявляет Высопал в интервью изданию ZDNet.
Крис Высопал - заметная фигура в сфере кибербезопасности, он был одним из первых исследователей уязвимостей и одним из семи членов «хакерского мозгового центра» L0pht, который в 1998 году заявил в Сенате США, что группа может вывести из строя интернет за 30 минут.
По мнению Высопала, для продуктов нужен руководитель топового уровня обладающий лучшими инженерными навыками, чем CISO - роль, в большей степени ориентированная на мониторинг сетей и систем, чтобы не допустить проникновения хакеров.
«Исторически сложилось так, что CISO не обязан встраивать защиту в программное обеспечение или устройства», - говорит он. «Традиционный CISO не имеет такого опыта в разработке систем безопасности и продуктов. Они традиционно выросли в сфере обеспечения соответствия или сетевой безопасности, и у них нет понимания уязвимостей на уровне программного обеспечения или кода. Поэтому часто бывает так, что служба безопасности продукта подчиняется не CISO, а вице-президенту по инженерным вопросам».
В компании Veracode CISO подчиняется ему как техническому директору, а руководитель отдела продуктов, который занимает должность директора, также подчиняется ему.
«Безопасность продукта - это отдельная функция, даже в Veracode. И мы являемся компанией, предоставляющей программное обеспечение как услугу. Мы не поставляем никаких продуктов или IoT, что, на мой взгляд, действительно требует наличия высокопоставленного специалиста по безопасности продукции».
«Это важнее, чем безопасность остального бизнеса» - утверждает Высопал, добавляя, что в какой-то момент приложения становятся продуктом, а не просто продолжением внутренних систем. Это актуально для банковского, страхового, розничного, государственного и других секторов, которые сейчас создают приложения, выделяющие бизнес среди конкурентов.
«Риски программного обеспечения начинают приобретать все большее значение, а злоумышленники становятся все умнее, как показала атака SolarWinds. Когда кто-то устанавливает сложный бэкдор, вы не сможете обнаружить его, просто взглянув на код - вот почему целостность и безопасность конвейера разработки программного обеспечения стали настолько важными. Ведь именно так вы защититесь от атак подобных SolarWinds вместо того, чтобы надеяться на то, что вредоносные бинарные артефакты будут обнаружены в конце - это не лучшее решение для такого типа атак».
По его словам, решение заключается в обеспечении хорошей безопасности на всех участках конвейера. Это включает в себя обеспечение того, чтобы разработчики, имеющие разрешение на изменение кода, использовали двухфакторную аутентификацию при доступе к хранилищу кода для его обновления. Они также должны криптографически подписывать все различные артефакты, которые становятся частью окончательной сборки программного продукта.
Высопал с оптимизмом смотрит на то, что указ президента США Джо Байдена, ориентированный на кибербезопасность, окажет положительное влияние на то, как кибер-безопасность обеспечивается в частном секторе США.
«Мы видим, что требования к ведению бизнеса с федеральным правительством будут приняты в частном секторе. Предприятия самых разных отраслей будут продвигать эти требования среди своих поставщиков. Компании по киберстрахованию посмотрят на это и скажут: «Эй, это снижает риск федерального правительства, и если вы будете применять такие же методы, ваши страховые взносы будут меньше».
«Федеральное правительство подает хороший пример. Параллельно с этим мы видим, что Конгресс, который может принимать законы, влияющие на всех, кто ведет бизнес в США, также извлечет из этого уроки и внедряет некоторые из них в законы».
Другими словами, указ Байдена, хотя и распространяется только на федеральные агентства, может иметь серьезные последствия для классической критической инфраструктуры, а также банковского дела, здравоохранения и других секторов, которые США считают жизненно важными.
«Это может быть продиктовано законом. Это может произойти не только из-за рынка», - заявляет Высопал.
Перевод сделан со статьи: https://www.zdnet.com
