#WomenInICT #FemTech #CyberWomen
Приближение второй половины года дает стратегам в области безопасности хорошую возможность переоценить состояние своих планов кибербезопасности , поскольку они сопоставляют их с реалиями ландшафта угроз.
В связи с последствиями уязвимостей, таких как Log4Shell и Spring4Shell, обнаруженных в компонентах с открытым исходным кодом, которые составляют основу современных корпоративных приложений, проблемы с цепочками поставок программного обеспечения будут в центре внимания в 2022 году.
Эксперты по безопасности приложений , специалисты по DevSecOps и множество чемпионов по разработке программного обеспечения и безопасности призваны нести ответственность за минимизацию риска сторонних уязвимостей, в то же время управляя всеми другими рисками безопасности приложений, которые долгое время скрывались в жизненном цикле разработки программного обеспечения.
С этой целью TechBeacon недавно встретился с некоторыми ключевыми женщинами в области кибербезопасности в честь недавнего Дня женщин в инженерии 23 июня, чтобы обсудить тенденции в области безопасности программного обеспечения. Эти эксперты — опытные технологи с опытом работы в области кибербезопасности, безопасности приложений и DevOps — предложили свои прогнозы относительно самых серьезных проблем безопасности приложений, с которыми мы столкнемся в ближайшие 12 месяцев, наиболее эффективных способов, с помощью которых организации могут справиться с.рисками цепочки поставок , и их мысли о том, как DevSecOps может развиваться в следующем году.
- SBOM становятся обязательными
- Автоматизируйте проверку цепочки поставок с открытым исходным кодом
- Риск цепочки поставок выходит далеко за рамки открытого исходного кода
- Более тесная связь безопасности и разработки
- Автоматизация остается латунным кольцом в сфере приложений
- Неправильные настройки и разрешительный доступ останутся проблематичными
- Объем работы — самая большая проблема DevSecOps
- Признание того, что контроль доступа не работает с DevSecOps
- Картирование рисков цепочки поставок программного обеспечения
- Расходы на безопасность приложений будут определяться командами разработчиков программного обеспечения.
SBOM становятся обязательными
Мелисса Бишопинг — исследователь безопасности и евангелист компании Tanium, где она выступает в качестве директора и специалиста по безопасности конечных точек. Она ежедневно анализирует возникающие угрозы и злонамеренные атаки. По ее словам, одна из наиболее эффективных мер, которые предприятия могут предпринять для обеспечения безопасности цепочки поставок, — это составить спецификацию программного обеспечения (SBOM).
«Хотя такие концепции, как инвентаризация программного обеспечения и SBOM, не новы, они никогда не были так важны для команд безопасности и разработчиков, как сегодня. Организации должны уделять приоритетное внимание осведомленности о программном обеспечении, общих библиотеках или открытом исходном коде в режиме реального времени. присутствуют в их среде, а не полагаются только на периодические проверки. Это немаловажный уровень усилий, но создание основы здесь быстро ускорит вашу способность реагировать на любую уязвимость цепочки поставок или атаку, которая произойдет дальше».
— Мелисса Бишопинг, специалист по исследованиям в области безопасности конечных точек, Tanium.
Автоматизируйте проверку цепочки поставок с открытым исходным кодом
Как директор по информационной безопасности в Aviatrix, Дженн Рид выполняет двойную работу. Она руководит внутренней программой безопасности для поставщика защищенной облачной платформы, а также консультирует всех, от специалистов по продуктам до юристов, чтобы убедиться, что политики и стандарты безопасности соблюдены во всех технологиях и услугах фирмы.
Рид сказал, что одной из самых больших проблем, с которыми столкнутся лидеры в области безопасности в наступающем году, является выяснение того, как .автоматизировать управление рисками цепочки поставок программного обеспечения с открытым исходным кодом .
«Не каждый проект OSS имеет одинаковое качество или надежность. Кроме того, не каждый общедоступный репозиторий является настоящим OSS, и ему не следует доверять. Без надлежащей проверки существует повышенный риск встроенного вредоносного кода. Текущие тесты статического и динамического анализа будут проверку на известные уязвимости, передовой опыт кодирования и использование учетных данных, но существует пробел в проверке цепочки поставок.Существует инициатива Фонда безопасности с открытым исходным кодом, чтобы помочь оценить и оценить наиболее распространенные уязвимости OSS, но интегрировать эти проверки в ваши цепочка поставок может быть проблемой, а также является лишь верхушкой айсберга».
— Дженн Рид, директор по информационной безопасности Aviatrix.
Риск цепочки поставок выходит далеко за рамки открытого исходного кода
Обладая десятилетним опытом защиты программного обеспечения и анализа рисков, Ксения Пегуэро держит руку на пульсе уязвимостей и неправильных конфигураций , которые подвергают веб-приложения и корпоративное программное обеспечение наибольшему риску. По ее словам, последние несколько лет привлекли внимание к рискам цепочки поставок библиотек с открытым исходным кодом.
И пока это продолжается, Пегуэро ожидает, что в бой вступит новый риск цепочки поставок: бессерверные функции , такие как предоставляемые AWS Lambda, Azure Functions и другие.
«Многие организации используют эти функции, но немногие тщательно их отслеживают, знают, какая команда развернула и поддерживает каждую функцию, имеют корпоративные стандарты для создания этих функций или проводят их постоянное тестирование безопасности. Я думаю, что это большой слон в пространство, которое становится все больше по мере того, как облачные сервисы и бессерверные архитектуры становятся все более доминирующими для многих предприятий».
— Ксения Пегуэро, старший менеджер отдела исследований, Synopsys Software Integrity Group
Более тесная связь безопасности и разработки
Пратима Айягари , опытный венчурный капиталист, занимающийся кибербезопасностью на ранних стадиях, DevOps и облачными компаниями, сказал, что за последние несколько лет набор инструментов для обеспечения безопасности приложений претерпел изменения. Инструменты теперь включают более интерактивное тестирование безопасности приложений и такие технологии, как самозащита приложений во время выполнения (RASP).
По ее словам, теперь вопрос заключается в том, как эти новые инструменты должны вписываться в структуру безопасности приложений, которая синхронизируется с жизненным циклом программного обеспечения. Это, в свою очередь, повлияет на то, как DevSecOps будет развиваться в следующем году и далее.
«Безопасность — это не отдельная функция в ИТ-организации; она должна быть тесно связана с организацией разработки. Сдвиг влево — это явление, о котором активно говорят в экосистеме безопасности, но оно действительно реализуется и имеет правильные инструменты. Я бы хотел начать разработку каждого технического продукта с точки зрения безопасности в 2023 году. С первого дня создания продукта архитектор продукта и команды разработчиков должны иметь эффективный подход к внедрению безопасности в продукт. »
— Пратима Айягари, венчурный партнер, Nauta Capital
Автоматизация остается латунным кольцом в сфере приложений
Сонали Шах , давний инсайдер в мире поставщиков приложений безопасности, работала исполнительным директором, директором и инвестором во многих охранных фирмах за последние 25 лет. Сегодня она директор по продуктам Invicti Security.
По ее словам, в безопасности приложений есть две истины. Во-первых, то, что безопасно сегодня, может оказаться небезопасным завтра. Во-вторых, методы атаки будут меняться.
Поскольку компании ежегодно создают тысячи новых приложений, эти истины «работают синхронно и способствуют постоянному риску», — сказала она, особенно когда речь идет о цепочке поставок и знании того, какие ингредиенты вошли в каждую часть программного обеспечения.
«Если организации не справляются со всем своим ландшафтом угроз и не внедряют непрерывные автоматизированные меры безопасности, эти сохраняющиеся риски представляют собой пресловутый буфет для злоумышленников. В преддверии 2023 года одной из серьезных проблем для многих организаций станет нужно найти баланс между скоростью и безопасностью, чтобы не отставать от этих развивающихся угроз. Это еще более важно, поскольку атаки программ-вымогателей и цепочки поставок набирают темп».
— Сонали Шах, директор по продукту, Invicti
Неправильные настройки и разрешительный доступ останутся проблематичными
Минди Шлютер , профессионал в области кибербезопасности с глубокими знаниями в области облачных вычислений, работает главным архитектором безопасности в Sonrai Security. По ее прогнозу, неправильная конфигурация приложений будет по-прежнему создавать большие проблемы для инженеров и специалистов по безопасности. У этого есть много аспектов, но большой элемент неправильной настройки заключается в том, как приложения предоставляют доступ и авторизацию.
«Недостаток знаний и плохой контроль доступа пользователей всегда были проблемой в безопасности приложений. Контроль доступа или то, как приложение предоставляет доступ к функциям для пользователей, уже недостаточно, поскольку нечеловеческие удостоверения — бессерверные функции, виртуальные машины, удостоверения машин — продолжают расти в средах. Без надлежащих прав и управления правами организации будут по-прежнему оставлять свою конфиденциальную информацию уязвимой для внутренних и внешних лиц, которые могут получить доступ к приложениям для кражи, манипулирования или удаления конфиденциальных данных».
— Минди Шлютер, главный архитектор безопасности, Sonrai Security.
Объем работы — самая большая проблема DevSecOps
Энн Сондерс — директор по партнерским отношениям в области кибербезопасности в консалтинговой компании Capgemini. Она обладает глубокими знаниями в области информационных технологий, уделяя особое внимание созданию решений в области кибербезопасности для сложных и регулируемых рыночных сред. Она сказала, что одной из самых больших проблем для команд разработчиков программного обеспечения и безопасности в наступающем году будет огромный объем работы , которую им придется выполнять. Это включает в себя обновление, рефакторинг, настройку изменений, проверку безопасности API и многое другое как для существующих, так и для новых приложений.
«Если эти усилия не увенчаются успехом, предприятие должно заботиться о целостности самих приложений. Я вижу, что DevSecOps становится все более и более фундаментальной областью, поддерживающей все остальные, а не рассматривается и управляется как отдельная практика. Это может стать началом перехода от DevSecOps к «безопасному DevOps», поскольку индустрия разработки приложений и программного обеспечения становится все более осведомленной о безопасности, а безопасность становится частью их основополагающих усилий».
— Энн Сондерс, директор по партнерским отношениям в области кибербезопасности, Capgemini.
Признание того, что контроль доступа не работает с DevSecOps
Кэролайн Вонг , долгое время являющаяся опорой спикеров DevOps и безопасности приложений, является главным стратегом по безопасности Cobalt.io и неутомимым евангелистом развития индустрии кибербезопасности. Она сказала, что «отрезвляющая» правда заключается в том, что самые большие проблемы безопасности приложений — это те же самые проблемы, с которыми мы сталкивались в течение последнего десятилетия.
Показательный пример: она сказала, что OWASP Top 10 был обновлен в 2021 году, но существенно не изменился с 2003 года. Многое из этого носит системный характер, и она считает, что отрасль может добиться больших успехов в следующем году, приняв дух DevSecOps с более совершенные методы совместной работы.
«Отделы безопасности меняют свой подход к совместной работе с разработчиками и операционными командами. Контроль над входом больше не работает. практики в то, как эти люди работают сегодня. Чем чаще выпускается программное обеспечение и разрабатываются новые функции и новые продукты, тем больше специалистов по безопасности должны идти в ногу с тестированием безопасности, которое хорошо интегрируется с гибкими процессами разработки».
— Кэролайн Вонг, главный специалист по безопасности Cobalt.io.
Картирование рисков цепочки поставок программного обеспечения
Хиллари Бенсон , менеджер по продуктам безопасности с техническими навыками, полученными в прошлом в качестве бывшего сотрудника Red Team, а также аналитика разведки и офицера по информационным войнам в Агентстве национальной безопасности и ВМС США, в настоящее время является директором по управлению продуктами пакета безопасности GitLab.
Она сказала, что отрасль столкнулась только с началом серьезных атак на цепочки поставок программного обеспечения, и она ожидает, что в следующем году будет использовано множество новых векторов. Она предупреждает руководителей службы безопасности и бизнеса, чтобы они начали решать проблему не только с разработки SBOM, но и с того, что нанесли на карту всю цепочку поставок программного обеспечения и попытались выявить слабые места по всем направлениям.
«Поймите, где и как вы подвергаетесь риску цепочки поставок, и составьте упреждающий план по его устранению», — сказала она. «Нарисуйте свою цепочку поставок программного обеспечения и оцените, где она представляет наибольший риск для вашего бизнеса».
«Многие организации часто предполагают, что зависимости с открытым исходным кодом представляют наибольший риск, и удивляются тому, сколько других серьезных пробелов они действительно должны устранить в первую очередь. Создайте процессы для закрытия этих пробелов. Инвестируйте в инструменты, которые позволяют эти процессы. Безопасность цепочки поставок программного обеспечения. строится и разрушается в связующем между этапами SDLC. Практически говоря, эти этапы определяются в инструментах, которые вы используете. Использование инструментов, которые конфликтуют с процессами, которые вам нужно установить, — это проигрышная битва».
— Хиллари Бенсон, директор по управлению продуктами, GitLab.
Расходы на безопасность приложений будут определяться командами разработчиков программного обеспечения.
Джони Клипперт , руководитель стартапа с опытом работы в DevOps и гибкой разработке, является генеральным директором StackHawk, стартапа в области безопасности, который создает инструменты для тестирования безопасности приложений и API, предназначенные для разработчиков. По ее прогнозу, по мере того, как безопасность будет все более тесно привязываться к инженерным группам и делегироваться разработчикам, закупки безопасности приложений будут все чаще производиться командами DevSecOps, а не организацией безопасности.
«DevSecOps приводит к неотъемлемым изменениям в решениях о покупке и использовании инструментов в командах разработчиков, при этом инженерные группы играют более важную роль в принятии решения о покупке программного обеспечения для обеспечения безопасности. Настоящий DevSecOps требует инструментов, которые вписываются в существующий рабочий процесс разработчиков и удобны для всех пользователей. В 2023 году ожидается, что бюджеты будут переданы организациям-разработчикам, а инженерные организации будут создавать критерии оценки, принимать решения о закупках и, в конечном итоге, подписывать заказы на поставку».
— Джони Клипперт, основатель и генеральный директор StackHawk.
Источник:
https://techbeacon.com/security/10-women-cybersecurity-predict-software-security-trends
