A múlt héten több, egymástól eltérő kezdeményezést is bejelentettek a szoftveres ellátási láncok biztonságának megerősítésére, ami ismét azt jelzi, hogy ezek a kockázatok mennyire előtérbe kerültek a SolarWinds elleni, két évvel ezelőtti támadás óta. A The Register riportja ezzel kapcsolatban a Gartner előrejelzését idézi, amely szerint 2025-re a különféle szervezetek 45 százaléka fog átélni hasonló incidenseket világszerte, ami háromszoros növekedésnek felelne meg a 2021-ben jelentett esetek számához képest. A dolog lényege, hogy a rosszindulatú szereplők valamilyen rosszindulatú kódot fecskendeznek be az adott szállítók által az ügyfeleiknek küldött proramokba és frissítésekbe, ezeken keresztül pedig feltörhetik az érintett rendszereket.
A támadók újabban a kódtárolókat (repository) és platformszolgáltatókat is célba vették, ami a cikk alapján kibővítette az ellátási lánc elleni támadások definícióját. Erre válaszul indult útjára az Open Software Supply Chain Attack Reference (OSC&R), ami közös keretet biztosítsana a vállalatoknak az ellátási láncaikat érintő kockázatok értékeléséhez és méréséhez, szemben a hagyományosan intuitív és tapasztalatra épülő eljárásokhoz. Az OSC&R-t a Check Point korábbi kiberbiztonsági alelnöke olyan biztonsági szakemberekkel együtt alapította, akik a Google, a Microsoft, a GitLab vagy a Fortinet hátterével rendelkeznek, a keretrendszer pedig kilenc kulcsfontosságú területen járulna hozzá a fenyegetéscsoportok megértéséhez és viselkedésének nyomon követéséhez.
Meglehetősen összetett probléma
Egy kifejezetten az ellátási láncokra fókuszáló biztonsági szállító, a Chainguard eközben a HPE-t, a VMware-t, a The Linux Foundationt és amerikai korámányzati ügynökségeket is magában foglaló csoport élén próbálja beindítani a Visibility Exploitability eXchange (VEX), egy szintén a vállalati szoftverek sebezhetőségeinek kezelésére szolgáló eszköz adaptációját. Az OpenVEX segítségével a beszállítók pontosabban leírhatják a termékek sebezhetőségeit, hozzájárulva a hamis pozitívok kiszűréséhez és a VEX által meghatározott iparági minimum követelmények gyakorlati átültetéséhez. Egy másik szállító, a Checkmarx ugyancsak kijött egy fenyegetésfelderítő eszközzel a rosszindulatú csomagok típus szerinti azonosítására, működésük és a mögöttük lévő historikus adatok elemzésére.
Az amerikai belbiztonsági minisztérium a kiber- és infrastruktúra-biztonsági ügynöksége (CISA) a maga részéről külön egységet hoz létre a szoftveres ellátási lánc biztonságának kezelésére, együttműködésre törekedve a köz- és magánszektorral is a szövetségi szintű eljárások bevezetésre. Az új iroda által kezelt problémák a hamisított szoftverkomponensektől a nyílt forráskódú szoftverek sebezhetőségéig terjednek. A The Register által idézett szakérő szerint mérföldkőnek számít egy ilyen magas szintű új képesség létrehozása, de így is rendkívül összetett problémáról van szó: a vállalatok és ügynökségek több tízezer nyílt forrású szoftvercsomagot használnak, amelyek mindegyike több tucat újabb függőséget hozhat létre. Az ilyen sebezhetőségek 95 százaléka ennek értelmében a tranzitív függőségekből fakad, amelyek nagy mértékben és szabályozatlan módon növelik az ellátási lánc támadási felületét.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak