آژانس امنیت ملی ایالات متحده، آژانس امنیت ملی (NSA)، راهنمای زنجیره تامین نرم افزار جدیدی را برای کمک به توسعه دهندگان برای جلوگیری از حملات سایبری که نرم افزارهای اختصاصی و منبع باز را هدف قرار می دهد، منتشر کرده است.
این دستورالعمل جدید به منظور کمک به سازمانهای بخش خصوصی و دولتی ایالات متحده در دفاع از خود در برابر حملات زنجیره تامین، از جمله هکرهای سرویس اطلاعات خارجی روسیه (SVR) علیه SolarWinds و مشتریان آن است.
اطلاعات بیشتر در مورد امنیت فناوری: چالش های بعدی
“حملات سایبری اخیر مانند حملاتی که علیه SolarWinds و مشتریان آن انجام شده است، و سوء استفاده هایی که از آسیب پذیری هایی مانند Log4j بهره می برند، نقاط ضعف در زنجیره تامین نرم افزار را برجسته می کند، موضوعی که هم نرم افزارهای تجاری و هم نرم افزار منبع باز را در بر می گیرد و بر شرکت های خصوصی و دولتی تاثیر می گذارد.” NSA در راهنمایی های خود می گوید.
ببینید: اینها تهدیدات امنیت سایبری فردا هستند که امروز باید به آنها فکر کنید
آژانس جاسوسی میگوید باید آگاهی بیشتری وجود داشته باشد که زنجیره تامین نرمافزار با استفاده از تاکتیکها، تکنیکها و رویههای مشابه توسط دشمنان دولت-ملت به سلاح تبدیل میشود.
چارچوب امنیتی پایدار (ESF) – یک گروه کاری بینصنعتی دولتی و خصوصی به رهبری NSA و آژانس امنیت سایبری و امنیت زیرساخت (CISA) – پس از بررسی رویدادهایی که منجر به حمله SolarWinds شد، دستورالعملها را تهیه کرد. ESF برای ارائه خدمات به توسعه دهندگان، فروشندگان و مشتریان در پاسخ به فرمان اجرایی امنیت سایبری رئیس جمهور جو بایدن با هدف آژانس های فدرال تاسیس شد.
این حادثه آگاهی هکرهای تحت حمایت دولت را نشان داد که زنجیره تامین نرمافزار به اندازه آسیبپذیریهای نرمافزاری شناختهشده عمومی و قبلاً فاش نشده ارزشمند است.
NSA در یک بیانیه مطبوعاتی مشترک با CISA و CISA گفت: «همانطور که ESF وقایعی را که منجر به حمله SolarWinds شد، بررسی میکرد، واضح بود که سرمایهگذاری برای ایجاد مجموعهای از بهترین شیوهها که بر نیازهای توسعهدهنده نرمافزار متمرکز باشد، مورد نیاز است. دفتر رئیس اطلاعات ملی
در حالی که این راهنما نقش کلیدی توسعه دهندگان در زنجیره تامین نرم افزار را تایید می کند، آژانس ها نسخه هایی از بهترین راهنما را با هدف مستقیم فروشندگان نرم افزار و مشتریان نرم افزار منتشر خواهند کرد.
آژانسها خاطرنشان میکنند که مسئولیتهای فروشنده شامل تضمین یکپارچگی و امنیت نرمافزار از طریق توافقنامههای قراردادی، بهروزرسانیهای نرمافزار، اعلانها و کاهش آسیبپذیریها است.
این راهنما شیوههای توسعه امن، تهدیدات داخلی، منبع باز، تأیید مؤلفههای شخص ثالث، سختسازی محیطهای ساخت و تحویل کد را پوشش میدهد.
حمله به SolarWinds بالاترین مشخصات حمله زنجیره تامین اخیر بود، اما موارد دیگر قبل و بعد از آن رخ داده است، از جمله بدافزار مخرب NotPetya در سال 2017 که از طریق یک بسته حسابداری ویژه اوکراین راه اندازی شد، و حمله باج افزار به شرکت فناوری اطلاعات Kaseya در سال 2021، که بر آن تأثیر گذاشت. مشتریان ارائه دهنده خدمات مدیریت شده و مشتریان آنها.
مرکز ملی امنیت سایبری بریتانیا (NCSC) انتظار دارد که حملات زنجیره تامین به دلیل گستردگی زنجیره تامین، استفاده گسترده از اجزای نرم افزار شخص ثالث و عوامل انسانی که طیف وسیعی از مخرب را شامل می شود، در سال های آینده همچنان یک عامل حمله جذاب باشد. رفتار با جاسوسان خارجی که توسعه دهندگان را برای نفوذ به یک سیستم ساخت نرم افزار به خطر می اندازد.
بخش NSA و CISA در مورد “مهندسین به خطر افتاده” – تهدیدات داخلی – پیچیدگی تامین امنیت زنجیره تامین را نشان می دهد.
ببینید: اجازه ندهید انتخابهای امنیت سایبری ابری شما در را برای هکرها باز بگذارد
“مهندس به خطر افتاده یک تهدید دشوار برای شناسایی و ارزیابی است. یک کارمند در معرض خطر ممکن است تحت فشار تأثیرات خارجی باشد یا ممکن است کینه ای برای انتقام داشته باشد. بررسی عملکرد ضعیف، عدم ارتقاء یا اقدامات انضباطی تنها تعدادی از رویدادهایی هستند که ممکن است باعث شود یک توسعهدهنده علیه یک سازمان اقدامی انجام دهد و تلاشهای توسعه آن را خراب کند. علاوه بر این، دولتهای ملی یا رقبا میتوانند از مبارزات یک خودی با مواد کنترلشده، روابط ناموفق یا بدهیها، از جمله موارد دیگر، استفاده کنند.
فراتر از مهندسین به خطر افتاده، این راهنمایی همچنین درهای پشتی تعبیه شده را برجسته می کند که عیب یابی مشکلات را برای مهندسان آسان تر می کند، مهندسان ضعیف آموزش دیده، و همچنین حساب هایی که پس از فسخ قرارداد توسعه دهنده باز می مانند و سیستم های توسعه از راه دور به خطر افتاده است.
این راهنما به توسعهدهندگان توصیه میکند که تجزیه و تحلیل کد استاتیک و پویا را انجام دهند، ساختهای شبانه را با تستهای امنیتی و رگرسیون انجام دهند، ویژگیها را مطابق با نیازها ترسیم کنند، بررسیهای کد را اولویتبندی کنند، و کدهای حیاتی را بررسی کنند.
منبع: https://www.zdnet.com/article/nsa-to-developers-weve-got-some-software-supply-chain-security-tips-for-you/#ftag=RSSbaffb68