3 dicas para melhorar a segurança em toda a cadeia de suprimentos de software

Pode parecer intimidador, mas com alguns ajustes nas ferramentas e processos já em uso, não é difícil começar a melhorar a postura de segurança da cadeia de suprimentos de software.

Todos nós conhecemos o ditado de que uma cadeia é tão forte quanto seu elo mais fraco, mas é fácil esquecer que isso também se aplica à cadeia de suprimentos de software. Aqueles que trabalham com o governo ou outros setores altamente regulamentados, ou têm clientes que o fazem, provavelmente já foram questionados antes sobre suas práticas de cadeia de suprimentos de software. E se não o fizeram, eles devem estar preparados para responder quando surgirem perguntas, porque eles farão.

Fortalecer a segurança da cadeia de suprimentos de software pode parecer intimidante em cima de todas as outras responsabilidades de segurança e equipes de TI, mas com alguns ajustes nas ferramentas e processos já em uso, é bastante fácil obter uma vantagem melhorando a postura de segurança.

Aqui estão três maneiras de melhorar e oferecer suporte à segurança na cadeia de suprimentos de software.

Alinhar fluxos de trabalho de compra e gerenciamento
Existem duas grandes questões que devem ser respondidas primeiro: Quais ferramentas e bibliotecas estão em uso e de onde elas vêm? É quase impossível proteger adequadamente a cadeia de suprimentos de software sem esse conhecimento.

Muitos projetos de software utilizam ferramentas especializadas que podem ser licenciadas comercialmente ou administradas por meio de cartões de crédito ou relatórios de despesas. Embora os itens de menor volume ou valor sejam atendidos no último, essas compras menores podem se tornar problemas maiores posteriormente. Cada um valida suas ferramentas de forma diferente e, como tal, a integridade da cadeia de abastecimento pode ficar comprometida.

Embora possa ser um incômodo mudar os processos de pagamento, é melhor a longo prazo garantir que a aquisição de ferramentas e componentes essenciais para os desenvolvedores seja feita por meio dos mesmos processos de compra de outros ativos de TI. Isso torna mais fácil rastrear quem solicitou e aprovou as compras e adiciona a função de verificação de cada fornecedor com o mesmo escrutínio. Ter essa visibilidade inspira mais confiança de que as peças certas de software ou componentes são adquiridos.

O rastreamento não deve simplesmente parar em quem aprovou a compra de uma ferramenta. Se houver capacidade, as empresas devem rastrear sua ferramenta de desenvolvedor e o uso de componentes de terceiros em seu sistema de gerenciamento de ativos.

Monitore o desenvolvedor e construa máquinas
Igualmente importante é olhar para as máquinas dentro de uma organização onde o trabalho de desenvolvimento está acontecendo. Os desenvolvedores geralmente têm acesso de administrador completo à máquina, mesmo quando fazem parte do ambiente de computação gerenciado da organização. Máquinas de construção, no entanto, raramente são gerenciadas, tornando difícil obter uma visão completa do ambiente de desenvolvimento de software.

Para estreitar a cadeia de suprimentos, as equipes devem mudar a forma como gerenciam os desenvolvedores e as máquinas de construção. Aproveitando as ferramentas de gerenciamento do sistema, os dispositivos podem ser auditados regularmente para o software instalado e os processos em execução neles. Com essas informações, a TI pode confirmar se o trabalho de desenvolvimento e construção está sendo feito nas condições esperadas.

Outra fraqueza da cadeia de suprimentos relacionada à construção de máquinas é o uso de contas compartilhadas e conhecidas. É uma boa ideia interromper essa prática e usar o diretório de conta existente para autenticação nessas máquinas a fim de melhorar o registro e a segurança. As ferramentas de gerenciamento de privilégios são frequentemente úteis aqui para permitir que os indivíduos assumam a função de um usuário de compilação após efetuar login como eles próprios.

Fique por dentro das correções
Depois que o desenvolvedor e as máquinas de construção começam a ter alguns processos de gerenciamento em vigor, a próxima etapa é garantir que as máquinas estejam praticando a higiene de segurança básica, garantindo que:

O sistema operacional está totalmente corrigido.
O software antivírus ou antimalware está instalado e em execução.
As definições e os componentes de software estão todos atualizados.

Essas práticas ajudam a garantir a integridade do software que está sendo construído; no entanto, esses projetos não são únicos. Implementar isso corretamente pode exigir uma abordagem em fases. Primeiro, os dados de inventário podem ser usados para identificar problemas de conformidade no desenvolvedor e construir máquinas e notificar os proprietários. Então, a TI pode escolher gerenciar atualizações em um pequeno subconjunto de máquinas ou em um ambiente duplicado. Finalmente, a TI provavelmente descobrirá que construiu confiança suficiente com a equipe de desenvolvimento para gerenciar ativamente todas as máquinas. Em todo o processo, é importante ter clareza sobre o cronograma esperado para colocar as máquinas em conformidade com patches e outros padrões de segurança.

Ao avaliar a segurança da cadeia de suprimentos, a TI pode ser um parceiro valioso. Ao avaliar continuamente os processos e ferramentas usados e adaptá-los para garantir que atendam às necessidades das organizações de desenvolvimento, a cadeia de suprimentos de software pode ser reforçada e protegida de maneira adequada.

Essas etapas não são abrangentes para proteger a cadeia de suprimentos de software, mas são uma maneira de aproveitar as vantagens dos recursos existentes em uma organização e para que a TI inicie sua jornada para aumentar a segurança.

Conteúdo Relacionado:

Inscreva-se agora para o Black Hat USA deste ano totalmente virtual, programado para ocorrer de 1 a 6 de agosto, e obtenha mais informações sobre o evento no site da Black Hat. Clique para detalhes em informações da conferência e registrar.

Matthew Lewinski desenvolve soluções de gerenciamento de endpoint há mais de 14 anos. Atualmente, ele é um distinto engenheiro da Quest Software, onde lidera os programas de DevOps e Segurança para o negócio KACE Unified Endpoint Management. Matthew é mestre em software ... Ver biografia completa

Leitura recomendada:

Mais insights

Fonte: https://www.darkreading.com/attacks-breaches/3-tips-for-better-security-across-the-software-supply-chain/a/d-id/1338508?_mc=rss_x_drr_edt_aud_dr_x_x-rss- simples

Inteligência de dados generativa

3 dicas para melhorar a segurança em toda a cadeia de suprimentos de software

O que é uma tarifa feed-in solar e como funciona?

A liquidação de títulos T+1 se aproxima: por que a automação de processos cambiais se torna fundamental no gerenciamento de riscos

Inteligência mais recente

Bybit anuncia colaboração com foxbit para apoiar vítimas de enchentes no sul do Brasil

A tendência de alta persiste para os mercados de opções de Bitcoin (BTC): Kaiko

SEC Crypto Crackdown: todas as empresas que estão sendo investigadas – Descriptografar

SEC Crypto Crackdown: todas as empresas que estão sendo investigadas – Descriptografar

SEC Crypto Crackdown: todas as empresas que estão sendo investigadas – Descriptografar

A queda do Bitcoin em abril leva a US$ 2.92 bilhões em saídas à vista