Экспоненциальный рост числа приложений и цифровой коммерции привел к беспрецедентным нарушениям безопасности в цепочках поставок программного обеспечения.
Этот блог посвящен безопасности цепочек поставок ПО и тем усилиям, которые предпринимает SolarWinds для поддержки безопасности цепочек поставок ПО и повышения уровня безопасности своих клиентов.
Понимание безопасности цепочки поставок программного обеспечения
Цепочка поставок ПО – это все, что связано с приложением или играет роль в его разработке на протяжении всего жизненного цикла разработки ПО (SDLC). Обеспечение безопасности компонентов, действий и методов, участвующих в создании и развертывании программного обеспечения, и есть безопасность цепочки поставок ПО. Обеспечение безопасности этих компонентов требует выявления, понимания и принятия мер по устранению уязвимостей и рисков безопасности во всей экосистеме. Одним из способов поддержки более безопасной цепочки поставок является построение надежной стратегии безопасности при разработке программного обеспечения при использовании программ сторонних производителей или решений с открытым исходным кодом. О том, что это означает для SolarWinds, мы поговорим чуть позже. Прежде всего, рассмотрим, почему понимание потенциальных проблем и рисков безопасности в среде разработки, программных компонентах и конфиденциальных данных является критически важным для обеспечения достаточного уровня безопасности цепочки поставок ПО как части системы безопасности.
Почему важна безопасность цепочки поставок программного обеспечения?
Цепочка поставок программного обеспечения сложна и многоуровнева – от кодовой базы до способов ее создания, функциональности и рабочих процессов. Например, пандемия, несомненно, ускорила рост цифровой трансформации и расширение использования компонентов с открытым исходным кодом, контейнеров и API. Однако с новым и более широким использованием подобных технологий возрастает и риск создания уязвимостей. Сегодня к числу основных векторов атак на цепочки поставок относятся:
- Инфраструктура как код (IaC).
- Утечка секретов или информации.
- Сложность конвейера непрерывной интеграции/непрерывной доставки (CI/CD).
- Избыточное резервирование.
- Программное обеспечение с открытым исходным кодом или компоненты сторонних производителей.
И одна из наиболее распространенных областей уязвимости может быть также одной из наиболее важных в среде – наши сети. Рассмотрим сеть и ее многочисленные элементы, как гранат с множеством зерен. Зерна в гранате – это сотни или тысячи приложений и платформ в сети. С точки зрения безопасности, семена в гранате помогают представить бесконечное число возможностей для потенциальных проблем безопасности в сети. В результате безопасность может быть обеспечена только наименее защищенным элементом. Любой пробел дает противнику возможность проникнуть в систему или импортировать вредоносный код или вредоносное ПО. Чтобы обеспечить максимальную безопасность, необходимо знать, где находятся уязвимости в каждом звене цепочки – в программном обеспечении и приложениях, инструментах разработчика, разрешениях, репозиториях, исходном коде, открытом ПО, конвейерах CD и т.д. Неизвестная уязвимость в любом из этих и других не перечисленных звеньев может стать причиной риска безопасности цепочки поставок ПО. Решения SolarWinds® Hybrid Cloud Observability и «облачные» SolarWinds Observability помогают снизить угрозы кибербезопасности благодаря расширенной видимости. Обеспечивая сквозной контроль за предоставлением услуг и зависимостями компонентов, наблюдаемость позволяет подразделениям организации, от ИТ-отдела до группы разработчиков, более четко видеть уязвимости. Кроме того, использование интегрированной автоматизации с помощью AIOps может оказать дополнительную поддержку усилиям по обеспечению безопасности, ограничив возможность человеческой ошибки. Подобно аналогии с гранатом, наблюдаемость позволяет нам видеть все зерна в любое время и отслеживать их, чтобы устранять слабые места и снижать риски кибербезопасности. Будущее безопасности цепочек поставок программного обеспечения представляется гораздо более перспективным благодаря решениям на основе наблюдаемости, обеспечивающим комплексный подход к выявлению и устранению рисков.
Безопасность цепочки поставок программного обеспечения SolarWinds
В этом SolarWinds помогает почти 25-летний опыт разработки ИТ-решений. В SolarWinds понимают проблемы, с которыми сталкиваются организации, в том числе и проблемы кибербезопасности, поскольку сами сталкиваются с ними и находят пути их решения. Специалисты SolarWinds провели много часов, размышляя о проблемах безопасности, с которыми сегодня сталкиваются организации, и о том, как обеспечить максимальную безопасность продуктов и решений. Чтобы ответить на эти вопросы, SolarWinds разработали свою инициативу в области безопасности: Secure by Design.
Secure by Design – главный принцип SolarWinds
Secure by Design – это главный принцип подхода к обеспечению безопасности и киберустойчивости в компании SolarWinds. Благодаря принципу Secure by Design SolarWinds создает более безопасную среду и систему, ориентированную на прозрачность и максимальную наглядность. В основе Secure by Design лежит работа по управлению рисками, передовым опытом в области безопасности, а также по снижению рисков и уязвимостей, чтобы стать максимально защищенными. Для достижения поставленной цели в рамках инициативы Secure by Design SolarWinds работали по следующим направлениям:
- Разработка отказоустойчивой среды сборки под названием Next-Generation Build System для дальнейшего снижения рисков, связанных с цепочкой поставок при сборке и разработке программного обеспечения.
- Разработка подхода на уровне сообщества для поддержки киберустойчивости.
- Повышение общей безопасности за счет прозрачности.
- Создание группы безопасности для проведения частых «красных» и «фиолетовых» проверок и аудита в процессе сборки.
- Активизация усилий по обеспечению большей прозрачности систем и процессов.
- Выход за пределы нулевого доверия с мышлением «предположим нарушение».
- Разработка среды, процессов сборки и управления жизненным циклом программного обеспечения с учетом многоуровневой системы безопасности.
Разработка системы сборки следующего поколения для повышения уровня безопасности
Продолжая разработку системы сборки нового поколения, SolarWinds сотрудничает и обменивается идеями с экспертами в области кибербезопасности, лидерами в области открытого ПО, заказчиками, инженерами и разработчиками, стремясь установить новый стандарт в области разработки безопасного ПО. Уже на ранних этапах разработки SolarWinds сформулировали «золотое правило» своей системы сборки нового поколения: «Разработчики должны иметь четкий контроль над тем, что они создают, но не иметь контроля над тем, как эти объекты проверяются и защищаются». Это очень важно для дальнейшей защиты среды от сбоев, вызванных внешними и внутренними угрозами и уязвимостями. SolarWinds необходимо было обеспечить адекватное управление безопасностью для защиты от этого наихудшего сценария и внешней атаки. Для достижения успеха система сборки нового поколения была построена на четырех ключевых принципах, которые поддерживают принципы разработки программного обеспечения Secure by Design и помогают обеспечить адекватные меры безопасности, повысить устойчивость к будущим атакам и обеспечить высокий уровень работы разработчиков. Эти принципы заключаются в следующем:
1. Основать систему на эфемерных операциях, не оставляя долгоживущих сред, доступных злоумышленникам для компрометации. Вместо этого SolarWinds спроектировали систему, в которой ресурсы задействуются по требованию и уничтожаются после выполнения поставленной перед ними дискретной задачи. Таким образом, злоумышленники лишаются возможности создать «домашнюю базу» в системах SolarWinds и тем самым лишаются возможности совершить атаку.
2. Обеспечить детерминированное производство продуктов сборки при заданном наборе входных данных, чтобы при создании артефакта более одного раза получались одинаковые результаты. Эти результаты будут сравниваться на следующем этапе.
3. Параллельная сборка, создающая несколько безопасных сборок продукта для создания основы для проверки целостности. Продукты такой системы в SolarWinds называют сборками, подтвержденными консенсусом.
4. Записывать каждый шаг сборки, создавая неизменяемую запись доказательства и обеспечивая полную прослеживаемость. Кроме того, у SolarWinds есть штатная «красная команда», которая проводит имитацию нарушений безопасности, чтобы гарантировать, что сборки SolarWinds смогут противостоять атакам на цепочки поставок ПО.
Поддержка безопасности цепочки поставок программного обеспечения
Как поставщики решений и услуг SolarWinds ориентируются на своих клиентов, задавая себе вопрос, как обеспечить наилучшие и наиболее безопасные решения. SolarWinds хотят быть примером для подражания, поэтому интегрируют принципы Secure by Design и систему сборки следующего поколения с целью установления нового стандарта в области безопасной разработки программного обеспечения. Таким образом, SolarWinds улучшили собственное управление рисками безопасности цепочки поставок и могут поддержать своих заказчиков в их работе по снижению рисков безопасности цепочки поставок программного обеспечения.
Смотрите запись вебинара «SolarWinds Secure by Design», чтобы узнать больше о современной и безопасной разработке программного обеспечения, а также о том, как принципы Secure by Design могут помочь организациям стать более безопасными в условиях постоянно меняющегося ландшафта угроз.
Источник: Building Better Software Supply Chain Security by Being Secure by Design
