సాంకేతిక భాగాలను గుర్తించడంలో మరియు సరఫరా గొలుసును నిర్వహించడంలో CISO పాత్ర

ఈ హెల్ప్ నెట్ సెక్యూరిటీ ఇంటర్వ్యూలో, నేట్ వార్‌ఫీల్డ్, ఎక్లిప్సియమ్‌లో థ్రెట్ రీసెర్చ్ అండ్ ఇంటెలిజెన్స్ డైరెక్టర్, సరఫరా గొలుసును భద్రపరచడంలో మరియు సమగ్ర దృశ్యమానతను సాధించడంలో CISOల యొక్క క్లిష్టమైన పనులను వివరిస్తారు.

వార్‌ఫీల్డ్ సెక్యూరిటీ మరియు డెవలప్‌మెంట్ టీమ్‌ల మధ్య కీలక సహకారం, గ్లోబల్ రెగ్యులేషన్స్‌కు సప్లై చైన్ సెక్యూరిటీ స్ట్రాటజీలను స్వీకరించడం మరియు భద్రత రాజీ పడకుండా విస్తరణ వేగాన్ని నిరోధించడానికి చురుకైన చర్యల ఆవశ్యకత గురించి కూడా చర్చిస్తుంది. నేను వివరిస్తాను.

సంస్థ యొక్క సరఫరా గొలుసును రక్షించడానికి మరియు మొత్తం దృశ్యమానతను మెరుగుపరచడానికి CISO తప్పనిసరిగా దారితీసే కీలక పనులు ఏమిటి?

అన్నింటిలో మొదటిది, మీరు మీ వాతావరణంలో డేటా సెంటర్ల నుండి రిసెప్షన్ ఫోన్‌లు, భద్రతా వ్యవస్థలు, యాక్సెస్ నియంత్రణలు మరియు మరిన్నింటి వరకు అన్ని సాంకేతిక భాగాలను గుర్తించాలి. పెద్ద కంపెనీ, పాత సాంకేతికత ఇప్పటికీ వాడుకలో ఉన్నందున ఇది మరింత కష్టమవుతుంది. , సముపార్జనలో భాగంగా ప్రవేశపెట్టబడిన ఏదైనా సాంకేతికత (ముఖ్యంగా సర్వర్లు మరియు అవస్థాపన), మరియు ఉద్యోగులు ఉపయోగించే అనేక BYOD.

ఈ జాబితాలోని ప్రతి వస్తువుకు సరఫరా గొలుసు ఉంటుంది, ఇది విక్రేత మరియు పరికర నమూనాను బట్టి మారుతుంది. రెండు వేర్వేరు సరఫరా గొలుసులు (కనీసం) ఉన్నాయి: హార్డ్‌వేర్ మరియు సాఫ్ట్‌వేర్. SBOM కాన్సెప్ట్ చాలా సంవత్సరాలుగా ఉంది, కాబట్టి సాఫ్ట్‌వేర్ సరఫరా గొలుసు రెండింటిలో మరింత పరిణతి చెందినది, ప్రత్యేకించి ఓపెన్ సోర్స్ కోసం సులభంగా గుర్తించవచ్చు. క్లోజ్డ్-సోర్స్ సొల్యూషన్‌లు ప్రత్యేకమైన సవాళ్లను కలిగిస్తాయి ఎందుకంటే చాలా ఓపెన్ సోర్స్ భాగాలు (Log4J వంటివి) కలిగి ఉంటాయి, ఇవి ఆడిట్‌లో స్పష్టంగా ఉండకపోవచ్చు.

గుర్తింపు ధృవీకరణ ప్రక్రియ ఎప్పుడూ “ముగిసిపోదు.” ప్రత్యేకించి M&A సమయంలో, అధిక మొత్తంలో సాంకేతికత మరియు సాంకేతిక రుణాలు దాదాపు రాత్రిపూట వారసత్వంగా పొందబడుతున్నాయి, సంస్థలో ప్రవేశపెట్టిన కొత్త సాంకేతికతలకు ఇది తప్పనిసరిగా చేయాలి.

మీ సంస్థ యొక్క సాంకేతికత స్టాక్ ఎండ్-టు-ఎండ్ గురించి తెలుసుకోవడం వలన గణనీయమైన దృశ్యమానతను ఏర్పాటు చేయవచ్చు. దుర్బలత్వం సంభవించినప్పుడు, సంస్థలు కొన్ని గంటల్లోనే అది తమపై ప్రభావం చూపుతుందో లేదో గుర్తించగలగాలి. డిటెక్షన్ టైమ్‌లైన్‌లను రోజులు/వారాల్లో కొలుస్తారు, ప్రత్యేకించి దాడి చేసేవారు ప్రచురించిన 1-3 రోజులలోపు దుర్బలత్వాలను స్కేల్‌లో ఉపయోగించుకోవచ్చు, ప్యాచ్‌ని అమలు చేయడానికి కొన్ని రోజులు పట్టినా సంస్థలను ప్రమాదంలో పడేస్తుంది. అంగీకరించబడదు.

హార్డ్‌వేర్ సప్లై చైన్ ఆడిట్‌లు విక్రేతలు అంతర్లీన ఆపరేటింగ్ సిస్టమ్, వారు ఉపయోగించే ఓపెన్ సోర్స్ సాఫ్ట్‌వేర్, పరికరం యొక్క హార్డ్‌వేర్ కాంపోనెంట్‌లను ఎక్కడ పొందుతాయో మరియు పరికరాన్ని స్వయంగా నడుపుతున్న ఫర్మ్‌వేర్‌ను బహిర్గతం చేయాలా వద్దా అని ఎంచుకోవడానికి అనుమతిస్తాయి. t, ఇది చాలా కష్టతరం చేస్తుంది. మరియు దాని ఉపభాగాలు – ఉదాహరణకు, రౌటర్ ఒక ఓపెన్ సోర్స్ రూటింగ్ డెమోన్‌తో Linux డిస్ట్రిబ్యూషన్‌ను, సూపర్‌మైక్రో నుండి మదర్‌బోర్డ్, మెల్లనాక్స్ నుండి హై-స్పీడ్ NIC మరియు మరొక వెర్షన్ AMI నుండి BMC కోడ్‌తో ASPEED నుండి బేస్‌బోర్డ్ మేనేజ్‌మెంట్ కంట్రోలర్‌ను నడుపుతుంది. అమలు చేయాలి. Linux దాని స్వంత SBOMతో.

సాఫ్ట్‌వేర్ సప్లై చైన్ సెక్యూరిటీలో సెక్యూరిటీ మరియు డెవలప్‌మెంట్ టీమ్‌ల మధ్య స్పష్టంగా డిస్‌కనెక్ట్ అయినందున, సహకారాన్ని పెంచుకోవడానికి మీరు ఏ వ్యూహాలను సిఫార్సు చేస్తారు?

పరిణతి చెందిన సాఫ్ట్‌వేర్ జీవితచక్రానికి భద్రతా బృందాలు ముందుగానే మరియు తరచుగా పాల్గొనడం అవసరం. రెండు బృందాలు తమ పాత్రలు పరిపూరకరమైనవని మరియు సంస్థ మరియు దాని కస్టమర్‌లు విజయవంతం కావడానికి సహాయపడతాయని అర్థం చేసుకోవాలి.

ఈ రోజు పెద్ద సమస్య ఏమిటంటే, అనేక సంస్థలలో, భద్రతా బృందాలు “ఫైనల్ సైన్-ఆఫ్”లో భాగంగా ప్రాజెక్ట్ ముగింపులో మాత్రమే పాల్గొంటాయి. ఇది డెవలపర్లు మరియు సెక్యూరిటీ ఇంజనీర్ల మధ్య ఘర్షణను సృష్టిస్తుంది. రెండు పార్టీలు సమస్యకు మూలంగా మరొకరిని చూడవచ్చు. “ఈ డెవలపర్‌లు సురక్షిత కోడ్‌ను మాత్రమే వ్రాసినట్లయితే, ప్రతి ఒక్కరి జీవితం చాలా సులభం అవుతుంది.” “ఓహ్, గ్రేట్, భద్రతా బృందం టన్ను బగ్‌లను కనుగొంది మరియు మా విడుదలను ఆలస్యం చేయబోతోంది. మళ్లీ.”

డిజైన్ మరియు స్కోపింగ్ దశల ప్రారంభంలో భద్రతా బృందం అభివృద్ధిలో పాలుపంచుకున్న సంస్థలు మరియు డెవలప్‌మెంట్ ప్రక్రియలో అనేక భద్రతా సమీక్షలు జరిగే చోట, సైకిల్ ప్రారంభంలో బగ్‌లను పరిష్కరించగలవు మరియు భద్రతా బృందానికి మీకు అవగాహన కల్పించే అవకాశం ఉందని నిర్ధారించుకోవచ్చు. అసురక్షిత కోడింగ్ పద్ధతుల గురించి మీ డెవలపర్‌లు. .

ఎటువంటి పరిష్కారం సరైనది కానప్పటికీ, మైక్రోసాఫ్ట్ వంటి కంపెనీలు HyperV అభివృద్ధికి తీసుకుంటున్న ఈ విధానం చివరి నిమిషంలో ఆలస్యం మరియు జట్ల మధ్య శత్రుత్వాన్ని నివారించడంలో సహాయపడుతుంది.

CISOలు తమ సరఫరా గొలుసు భద్రతా వ్యూహాలను కొత్త ప్రపంచ సైబర్‌ సెక్యూరిటీ నిబంధనలు మరియు ప్రమాణాలకు ఎలా అనుగుణంగా మార్చుకోవాలి?

ఇది కష్టమైన ప్రశ్న. నిరంతర దుర్బలత్వ దాడులు, జీరో-డే ఎక్స్‌ప్లోయిట్ క్యాంపెయిన్‌లు, ransomware మరియు COVID-19 మరియు పోస్ట్-COVID ప్రపంచంలో పనిచేసే సవాళ్ల కారణంగా సరఫరా గొలుసు భద్రత అనేది సాపేక్షంగా కొత్త భావన. , సంస్థ వెనుకంజలో ఉండవచ్చు.

సరఫరా గొలుసు వ్యూహం యొక్క అవసరాన్ని అర్థం చేసుకోవడం మరియు ప్రాధాన్యత ఇవ్వడం అతిపెద్ద సవాలు, మరియు సమస్య సంక్లిష్టమైనది. దీనికి నిర్వహణ, అభివృద్ధి, భద్రత మరియు చట్టపరమైన బృందాల మధ్య సహకారం అవసరం మరియు సంస్థ మరియు దాని వ్యాపార నమూనాపై ఆధారపడి వ్యూహాలు మారుతూ ఉంటాయి.

సంస్థలు డిజిటల్ సేవలను వేగంగా స్వీకరిస్తున్నందున, విస్తరణ వేగం సరఫరా గొలుసు భద్రతతో రాజీ పడకుండా ఉండేలా మీరు ఏ చర్యలను సిఫార్సు చేస్తున్నారు?

డెవలప్‌మెంట్ లైఫ్‌సైకిల్ ప్రారంభంలో సరఫరా గొలుసు భద్రత తప్పనిసరిగా మొదటి ప్రాధాన్యతగా ఉండాలి. కనిష్టంగా, ఓపెన్ సోర్స్ లైబ్రరీలు మరియు భాగాలు తెలిసిన దుర్బలత్వాల కోసం ఆడిట్ చేయబడాలి మరియు కాంపోనెంట్ యొక్క దుర్బలత్వ చరిత్రను పరిశీలించడం విలువైనది.

థర్డ్-పార్టీ కాంపోనెంట్‌ల (హార్డ్‌వేర్ లేదా సాఫ్ట్‌వేర్) కోసం మానిఫెస్ట్‌లు ప్రతి ఉత్పత్తికి నిర్వహించబడాలి, తద్వారా సంభావ్య వ్యాపార ప్రభావం కోసం కొత్త దుర్బలత్వాలకు త్వరగా ప్రాధాన్యత ఇవ్వబడుతుంది. మీరు దుర్బలత్వాలను కనుగొంటారు. ఇది అనివార్యం, అయితే అన్ని డిపెండెన్సీల గురించి మంచి అవగాహన ఉన్న సంస్థలు కొత్త దుర్బలత్వాలు ప్రచురించబడినా లేదా దోపిడీ చేయబడినా ప్రతిస్పందించడానికి బాగా సిద్ధంగా ఉంటాయి.

సైబర్‌ సెక్యూరిటీలో AI మరియు మెషిన్ లెర్నింగ్ మరింత ప్రబలంగా మారడంతో, ఇది సరఫరా గొలుసు భద్రతపై ఎలాంటి ప్రభావం చూపుతుంది మరియు CISOలు ఈ సాంకేతికతలను ఎలా సమర్థవంతంగా ఉపయోగించుకోవచ్చు?

AI/ML చివరికి తెలుపు టోపీ మరియు నలుపు టోపీ దుర్బలత్వ పరిశోధన రెండింటికీ ఉపయోగించబడుతుంది. బలహీనతలు మరియు పట్టించుకోని లైబ్రరీల కోసం దాడి చేసేవారు కంప్యూటింగ్ స్టాక్‌ను మరింత క్రిందికి నెట్టడం కొనసాగిస్తున్నందున ఇది పర్యావరణ వ్యవస్థపై భారీ ప్రభావాన్ని చూపుతుంది. ఉదాహరణకు, NPM లెక్కలేనన్ని మాడ్యూల్‌లకు హానికరమైన కోడ్ వాటా కంటే ఎక్కువ జోడించింది.

ఇది ఎంత వరకు ఉపయోగించబడుతుంది మరియు AI/ML అనేది రివర్స్ ఇంజనీరింగ్, ఫజ్ చేయడం మరియు కోడ్ రివ్యూ యొక్క ప్రస్తుత పద్ధతుల కంటే వేగంగా లేదా మరింత ప్రభావవంతంగా హానిని కనుగొనగలదా అనేది ఖచ్చితంగా తెలుసుకోవడం చాలా తొందరగా ఉంది. ఆకస్మిక ప్రణాళికను ప్రారంభించడం మరియు AI/MLని వారి డెవలప్‌మెంట్ లైఫ్‌సైకిల్‌లో ఏకీకృతం చేయడం కోసం ఒక రోడ్‌మ్యాప్‌ను రూపొందించడం సంస్థలు చేయగలిగే ఉత్తమమైన పని.