NSA به توسعه دهندگان: ما نکات امنیتی زنجیره تامین نرم افزار را برای شما داریم


نرم افزار توسعه دهندگان-working-late-getty.jpg

تصویر: گتی

آژانس امنیت ملی ایالات متحده، آژانس امنیت ملی (NSA)، راهنمای زنجیره تامین نرم افزار جدیدی را برای کمک به توسعه دهندگان برای جلوگیری از حملات سایبری که نرم افزارهای اختصاصی و منبع باز را هدف قرار می دهد، منتشر کرده است.

این دستورالعمل جدید به منظور کمک به سازمان‌های بخش خصوصی و دولتی ایالات متحده در دفاع از خود در برابر حملات زنجیره تامین، از جمله هکرهای سرویس اطلاعات خارجی روسیه (SVR) علیه SolarWinds و مشتریان آن است.

اطلاعات بیشتر در مورد امنیت فناوری: چالش های بعدی

“حملات سایبری اخیر مانند حملاتی که علیه SolarWinds و مشتریان آن انجام شده است، و سوء استفاده هایی که از آسیب پذیری هایی مانند Log4j بهره می برند، نقاط ضعف در زنجیره تامین نرم افزار را برجسته می کند، موضوعی که هم نرم افزارهای تجاری و هم نرم افزار منبع باز را در بر می گیرد و بر شرکت های خصوصی و دولتی تاثیر می گذارد.” NSA در راهنمایی های خود می گوید.

ببینید: اینها تهدیدات امنیت سایبری فردا هستند که امروز باید به آنها فکر کنید

آژانس جاسوسی می‌گوید باید آگاهی بیشتری وجود داشته باشد که زنجیره تامین نرم‌افزار با استفاده از تاکتیک‌ها، تکنیک‌ها و رویه‌های مشابه توسط دشمنان دولت-ملت به سلاح تبدیل می‌شود.

چارچوب امنیتی پایدار (ESF) – یک گروه کاری بین‌صنعتی دولتی و خصوصی به رهبری NSA و آژانس امنیت سایبری و امنیت زیرساخت (CISA) – پس از بررسی رویدادهایی که منجر به حمله SolarWinds شد، دستورالعمل‌ها را تهیه کرد. ESF برای ارائه خدمات به توسعه دهندگان، فروشندگان و مشتریان در پاسخ به فرمان اجرایی امنیت سایبری رئیس جمهور جو بایدن با هدف آژانس های فدرال تاسیس شد.

این حادثه آگاهی هکرهای تحت حمایت دولت را نشان داد که زنجیره تامین نرم‌افزار به اندازه آسیب‌پذیری‌های نرم‌افزاری شناخته‌شده عمومی و قبلاً فاش نشده ارزشمند است.

NSA در یک بیانیه مطبوعاتی مشترک با CISA و CISA گفت: «همانطور که ESF وقایعی را که منجر به حمله SolarWinds شد، بررسی می‌کرد، واضح بود که سرمایه‌گذاری برای ایجاد مجموعه‌ای از بهترین شیوه‌ها که بر نیازهای توسعه‌دهنده نرم‌افزار متمرکز باشد، مورد نیاز است. دفتر رئیس اطلاعات ملی

در حالی که این راهنما نقش کلیدی توسعه دهندگان در زنجیره تامین نرم افزار را تایید می کند، آژانس ها نسخه هایی از بهترین راهنما را با هدف مستقیم فروشندگان نرم افزار و مشتریان نرم افزار منتشر خواهند کرد.

آژانس‌ها خاطرنشان می‌کنند که مسئولیت‌های فروشنده شامل تضمین یکپارچگی و امنیت نرم‌افزار از طریق توافق‌نامه‌های قراردادی، به‌روزرسانی‌های نرم‌افزار، اعلان‌ها و کاهش آسیب‌پذیری‌ها است.

این راهنما شیوه‌های توسعه امن، تهدیدات داخلی، منبع باز، تأیید مؤلفه‌های شخص ثالث، سخت‌سازی محیط‌های ساخت و تحویل کد را پوشش می‌دهد.

حمله به SolarWinds بالاترین مشخصات حمله زنجیره تامین اخیر بود، اما موارد دیگر قبل و بعد از آن رخ داده است، از جمله بدافزار مخرب NotPetya در سال 2017 که از طریق یک بسته حسابداری ویژه اوکراین راه اندازی شد، و حمله باج افزار به شرکت فناوری اطلاعات Kaseya در سال 2021، که بر آن تأثیر گذاشت. مشتریان ارائه دهنده خدمات مدیریت شده و مشتریان آنها.

مرکز ملی امنیت سایبری بریتانیا (NCSC) انتظار دارد که حملات زنجیره تامین به دلیل گستردگی زنجیره تامین، استفاده گسترده از اجزای نرم افزار شخص ثالث و عوامل انسانی که طیف وسیعی از مخرب را شامل می شود، در سال های آینده همچنان یک عامل حمله جذاب باشد. رفتار با جاسوسان خارجی که توسعه دهندگان را برای نفوذ به یک سیستم ساخت نرم افزار به خطر می اندازد.

بخش NSA و CISA در مورد “مهندسین به خطر افتاده” – تهدیدات داخلی – پیچیدگی تامین امنیت زنجیره تامین را نشان می دهد.

ببینید: اجازه ندهید انتخاب‌های امنیت سایبری ابری شما در را برای هکرها باز بگذارد

“مهندس به خطر افتاده یک تهدید دشوار برای شناسایی و ارزیابی است. یک کارمند در معرض خطر ممکن است تحت فشار تأثیرات خارجی باشد یا ممکن است کینه ای برای انتقام داشته باشد. بررسی عملکرد ضعیف، عدم ارتقاء یا اقدامات انضباطی تنها تعدادی از رویدادهایی هستند که ممکن است باعث شود یک توسعه‌دهنده علیه یک سازمان اقدامی انجام دهد و تلاش‌های توسعه آن را خراب کند. علاوه بر این، دولت‌های ملی یا رقبا می‌توانند از مبارزات یک خودی با مواد کنترل‌شده، روابط ناموفق یا بدهی‌ها، از جمله موارد دیگر، استفاده کنند.

فراتر از مهندسین به خطر افتاده، این راهنمایی همچنین درهای پشتی تعبیه شده را برجسته می کند که عیب یابی مشکلات را برای مهندسان آسان تر می کند، مهندسان ضعیف آموزش دیده، و همچنین حساب هایی که پس از فسخ قرارداد توسعه دهنده باز می مانند و سیستم های توسعه از راه دور به خطر افتاده است.

این راهنما به توسعه‌دهندگان توصیه می‌کند که تجزیه و تحلیل کد استاتیک و پویا را انجام دهند، ساخت‌های شبانه را با تست‌های امنیتی و رگرسیون انجام دهند، ویژگی‌ها را مطابق با نیازها ترسیم کنند، بررسی‌های کد را اولویت‌بندی کنند، و کدهای حیاتی را بررسی کنند.


منبع: https://www.zdnet.com/article/nsa-to-developers-weve-got-some-software-supply-chain-security-tips-for-you/#ftag=RSSbaffb68