MITRE cria estrutura para segurança da cadeia de suprimentos. O System of Trust inclui métricas orientadas por dados para avaliar a integridade de software, serviços e fornecedores.
A segurança da cadeia de suprimentos tem sido o alvoroço de ataques de alto perfil como SolarWinds e Log4j, mas até o momento não há uma maneira única e acordada de defini-la ou medi-la. Para esse fim, a MITRE construiu uma estrutura de protótipo para tecnologia da informação e comunicação (TIC) que define e quantifica riscos e preocupações de segurança na cadeia de suprimentos – incluindo software.
“Um contador, um advogado [ou] um gerente de operações pode entender essa estrutura no nível superior“, diz Robert Martin, engenheiro sênior de software e garantia da cadeia de suprimentos da MITRE Labs. “O System of Trust trata da organização e fusão de recursos existentes que simplesmente não são conectados no momento” para garantir a verificação completa de software, bem como ofertas de provedores de serviços, por exemplo.
O SoT fará sua estreia pública oficial no próximo mês na RSA Conference (RSAC) em San Francisco, onde Martin apresentará a estrutura como um primeiro passo para reunir o apoio e a percepção da comunidade de segurança para o projeto. Até agora, diz ele, o feedback inicial tem sido “muito positivo“.
Martin diz que demonstrará a estrutura SoT e fornecerá mais detalhes sobre o projeto durante sua apresentação do RSAC. Atualmente, a estrutura inclui 12 áreas de risco de alto nível – desde estabilidade financeira a práticas de segurança cibernética – que as organizações devem avaliar durante o processo de aquisição. Mais de 400 perguntas específicas cobrem questões em detalhes, como se o fornecedor está rastreando de forma adequada e completa os componentes de software e sua integridade e segurança.
Cada risco é pontuado usando medições de dados que são aplicadas a um algoritmo de pontuação. As pontuações de dados resultantes identificam os pontos fortes e fracos de um fornecedor, por exemplo, em relação às categorias de risco específicas. Uma empresa poderia então analisar mais quantitativamente a “confiabilidade” de um fornecedor de software.
A SBOM Symmetry
Martin diz que, com a segurança da cadeia de suprimentos de software, o SoT também anda de mãos dadas com os programas de lista de materiais de software (SBOM – software bill of materials). “SBOMs podem lhe dar uma razão mais profunda para entender por que você deve confiar“, por exemplo, um componente de software. Entre vários fatores de risco no SoT, os SBOMs podem realmente mitigar esses riscos ou, pelo menos, fornecer uma melhor visão do software e de quaisquer riscos.
“Se o SBOM tiver informações de pedigree, essas informações permitiriam a avaliação das ferramentas e técnicas usadas para construir o software – se compilações reproduzíveis foram usadas para construir o software, métodos de proteção de memória [foram] invocados durante a compilação” e outros detalhes, ele observa.
Então, como a estrutura SoT difere dos modelos de gerenciamento de risco? O gerenciamento de risco tradicional emprega probabilidades, diz Martin. Com o SoT, há uma lista de riscos que podem ser avaliados e pontuados para determinar se há risco em áreas específicas e, em caso afirmativo, quão ruim ele realmente é.
“Queremos ajudar a fornecer uma maneira consistente de fazer avaliações… e gostaríamos de incentivar decisões baseadas em dados sempre que pudermos” nas avaliações da cadeia de suprimentos, diz ele.
Os próximos passos: introduzir o conceito de SoT e oferecer a taxonomia ao vivo para comentários e escrutínio público. “Então podemos ver quais peças podem ser automatizadas e onde” e garantir que elas possam ser integradas ao processo de aquisição. Os fornecedores também podem usar a terminologia SoT em seus materiais de produtos.
“‘Cadeia de suprimentos’ tem muitos significados diferentes“, explica Martin. “Não estamos falando de microeletrônica nos EUA versus no exterior. Não estamos tentando resolver problemas portuários. Estamos tentando obter uma cultura de gerenciamento de risco organizacional que inclua preocupações com a cadeia de suprimentos como parte normal disso. Queremos trazer algumas consistências, automação e evidências baseadas em dados para que haja mais compreensão dos riscos da cadeia de suprimentos.“
Fonte: DarkReading por Kelly Jackson Higgins
Veja também:
- Webinar Warning: Avoid GDPR Sanctions on Your Business
- Pegasus programa de espionagem israelense que pode espionar seu celular
- Hacktivistas atingem sites governamentais em ataques DDoS ‘Slow HTTP’
- Consultas SQL bypassam WAFs de aplicações web
- O que é Port Scanning ?
- SIM Swap: saiba tudo sobre o golpe que cresce no mundo inteiro
- iPhones ainda que desligados podem executar Malwares
- Acrônimos de segurança cibernética – um glossário prático
- Air gapping (air gap attack)
- Fortinet lança novo conjunto de FortiGate Network Firewalls
- Ciberataque persistente a Costa Rica pode ser prenuncio de ataque global
- Como implementar Gestão de vulnerabilidades na empresa?
Deixe sua opinião!