Lakkakula指出,从2020年的SolarWinds开始,到2021年的Log4Shell,再到最近的攻击电信设备的3CX案,过去三年行业都出现了大型供应链事件。它们如此普遍,以至于 Gartner 估计到 2025 年,全球 45% 的组织的软件供应链将遭受攻击——比 2021 年增加了三倍。
在他的演讲中,Lakkakula 提出了以下五个步骤供安全团队考虑:
了解公司的软件流程。安全团队需要确定获取软件的企业入口点。无论是开源软件、供应商软件还是第三方开发的软件,安全团队都必须对所有软件进行编目并了解其来源。
监控摄取过程。验证提供者源代码的安全性以及开源和闭源组件的依赖性。首先扫描代码以查找已知漏洞。安全团队还确实需要考虑从更少的供应商处采购高质量有效版本的软件代码。当像 Log4Shell 这样的事件发生时,这将降低风险,并且公司陷入了数十个易受攻击的软件包的困境,他们很难删除。
构建全面的软件物料清单。在建立资产清单时,制定公司所有资产的综合地图。这包括所有应用程序、依赖项、软件部署位置、软件来源。
保护内部 CI/CD 管道。保护源代码库,保护公司账单系统。安全团队需要关注代码源的完整性、软件的开发方式以及部署方式。
自动化漏洞监控。持续监控新漏洞以修补已部署的软件。安全团队可以利用他们在创建 SBOM 时开发的资产地图。
拉卡库拉承认,所有公司都不一样,所有这些步骤可能会让一些人不知所措。他说安全团队不应该感到孤单——有很多组织可以帮助解决这些复杂的供应链问题。
