Software die prioriteit geeft aan beveiliging op het meest fundamentele niveau betekent dat het systeem moet worden ontworpen met klantbeveiliging als hoofddoel in plaats van een vastgeroeste functie. En dat concept – ‘secure by design’ – wordt steeds belangrijker naarmate aanvallers zich steeds vaker op toeleveringsketens richten.
“Ze begrijpen dat ze een grotere impact kunnen hebben door de supply chain succesvol te exploiteren”, zegt Thomas Pace, CEO van NetRise. Omdat traditionele beveiligingsoplossingen zoals EDR, firewalls en spamfilters goed zijn geworden in het voorkomen van frontale aanvallen, moeten aanvallers volgens hem op zoek gaan naar openingen verderop in de keten.
En aan elkaar geplakte systemen bieden precies dat soort opening. “Cyberaanvallen zijn gemakkelijker als bedrijven en leveranciers de beveiliging achteraf proberen aan te scherpen”, zegt David Brumley, CEO van ForAllSecure. "Het is alsof je een aftermarket-stereo in je auto plaatst: het werkt gewoon niet helemaal goed."
Om de softwarebeveiliging wereldwijd te verbeteren, heeft de Cybersecurity and Infrastructure Security Agency (CISA) een initiatief voorgesteld dat gericht is op het revolutioneren van ontwikkelingspraktijken door het omarmen van ‘secure by design’-principes in de levenscyclus van softwareontwikkeling. Het weerspiegelt een cruciale verschuiving naar proactieve beveiligingsmaatregelen.
De verzoek om informatie richt zich op het aanpakken van terugkerende softwarekwetsbaarheden, het versterken van de operationele technologie en het beoordelen van de impact van veilige praktijken op de kosten. De oproep tot commentaar, die openstaat tot 20 februari 2024, benadrukt ook de collectieve verantwoordelijkheid van technologiefabrikanten en consumenten bij het bevorderen van een toekomst waarin technologie inherent veilig is.
“Secure by design betekent dat beveiliging deel uitmaakt van de manier waarop je de software vanaf de basis opbouwt”, legt Brumley uit. “Dat betekent dat het veel robuuster is tegen aanvallen.”
Een fundamenteel beveiligingsniveau
Ken Dunham, cyberdreigingsdirecteur bij Qualys Threat Research Unit, legt uit dat secure by design begint met architectuur en risicobeheerprincipes in de bedrijfsvoering voordat een organisatie migreert naar de cloud of deze gaat gebruiken.
“Dit is een cruciaal onderdeel van de moderne, complexe hybride infrastructuur”, zegt hij. “In een wereld van gedeelde verantwoordelijkheid moeten organisaties beslissen welk risico aanvaardbaar is om te worden gedeeld, en mogelijk met een hoger risico, met derde partijen dan dat wat volledig in eigen beheer is en beheerd wordt.”
Hij wijst erop dat de levenscyclus van softwareproductie steeds complexer wordt, met veel belanghebbenden die allemaal veilig moeten zijn om de risico's te verminderen. Dunham vraagt zich af: “Zijn uw ontwikkelaars, die waarde hechten aan functionaliteit en gebruikerservaringen, bedreven in veilige codeerprincipes, moderne aanvallen, beveiligingsmaatregelen en SecOps?”
De beveiligingsverwachtingen van de organisatie zetten een onboardingteam onder druk om software binnen de bedrijfsarchitectuur op de juiste manier uit te rollen, te configureren en te monitoren. “Hoe volwassen zijn uw inlichtingendiensten op het gebied van incidentrespons en cyberdreigingen?” hij vraagt. “Vertrouwt u ze in een hybride cloudwereld waar u mogelijk met razendsnelle snelheid een complexe inbraakaanval krijgt?”
“Als je eenmaal de juiste mensen hebt, wordt het proces goed begrepen”, beaamt Brumley. “Je ontwerpt het product met diepgaande verdediging, zorgt ervoor dat je afhankelijkheden en software van derden up-to-date zijn en gebruikt een moderne techniek zoals fuzzing om onbekende kwetsbaarheden te vinden.”
Voor Brumley betekent 'standaard veilig' het ontwerpen van beveiliging die past bij de manier waarop mensen de software gebruiken. “Er zijn ontwerpprincipes die meerdere principes omvatten – net zoals bij het bouwen van een wolkenkrabber moet je aan alles denken, van structurele ondersteuning tot airconditioning”, legt hij uit.
Paradigmaverschuiving vereist in IT-beveiliging
Dunham merkt op dat dat in 2023 was vol voorbeelden WAAR race voorwaarden bestond nul dagen – kwetsbaarheden werden sneller teruggedraaid en bewapend door slechte actoren organisaties zouden ze kunnen patchen.
“Er zijn nog steeds organisaties die na al die tijd moeite hebben met het patchen van Log4J-kwetsbaarheden”, benadrukt hij.
Hij zegt dat organisaties hun aanvalsoppervlak, intern en extern, moeten identificeren en dienovereenkomstig prioriteit moeten geven aan activa en risicobeheer om voorop te kunnen lopen wanneer het exploitatie- en aanvalsrisico in verband met een kwetsbaarheid toeneemt.
Vanuit het perspectief van Pace moet de IT-beveiligingsindustrie een paradigmaverschuiving ondergaan in de manier waarop zij risico’s beschouwt en hoe deze het beste kan worden geprioriteerd – en dit kan alleen gebeuren met inzicht in de toeleveringsketen. Hij deelde een voorbeeld waarin een ‘zeer grote organisatie’ niet wist welke afhankelijkheden het beveiligingssysteem had toen het dat systeem plichtsgetrouw bijwerkte. “Na de update werd deze gescand door een kwetsbaarheidsscanner en werd vastgesteld dat de recente kritieke kwetsbaarheid voor Apache Struts aanwezig was”, zegt hij. “Nu heeft deze organisatie een ernstig risico voor hun organisatie geïntroduceerd.”
Veilig ontwerp in het IoT-tijdperk
John Gallagher, vice-president van Viakoo Labs bij Viakoo, zegt dat een belangrijke uitdaging het ontwerpen van beveiliging is in apparaten met een lange levensduur, zoals die deel uitmaken van het Internet of Things (IoT) die in eerste instantie misschien geen beveiliging als ontwerpoverweging hadden.
“Dit vereist uitgebreidere tests en vereist mogelijk nieuwe technische middelen”, zegt hij. “Op dezelfde manier is het inbouwen van nieuwe beveiligingsfuncties een manier om nieuwe beveiligingskwetsbaarheden te introduceren.”
Gallagher zegt dat softwarefabrikanten het gebruik van software stuklijsten (SBOM's) moeten omarmen om kwetsbaarheden sneller te vinden en te verhelpen. Hij merkt op dat bedrijven ‘secure by design’-praktijken in nieuwe producten integreren, wat uiteindelijk een concurrentiefactor op de markt zal zijn.
“Naast MFA en beperkte toegangsprivileges worden er ook andere maatregelen in producten ontworpen, zoals het elimineren van standaardwachtwoorden en het bieden van mechanismen om firmware gemakkelijker en sneller te updaten”, zegt hij.
Het vermijden van ‘security through obscurity’ is een ander principe van ‘security by design’, benadrukt Gallagher. SBOM's en open source software zorgen bijvoorbeeld voor veiligheid door transparantie te bieden rond de softwarecode.
Pace zegt dat een van de gebieden waar hij het meest enthousiast over is, als het gaat om 'secure by default' en 'secure by design', een aanzienlijk beter inzicht in de softwaretoeleveringsketen is. “Zodra deze zichtbaarheid kan worden bereikt, kunnen we echt beginnen te begrijpen waar onze problemen zich op een fundamenteel niveau bevinden en deze vervolgens op een zinvolle manier prioriteren”, zegt hij.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
