MITRE cria estrutura para segurança da cadeia de suprimentos

MITRE cria estrutura para segurança da cadeia de suprimentos. O System of Trust inclui métricas orientadas por dados para avaliar a integridade de software, serviços e fornecedores.

A segurança da cadeia de suprimentos tem sido o alvoroço de ataques de alto perfil como SolarWinds e Log4j, mas até o momento não há uma maneira única e acordada de defini-la ou medi-la. Para esse fim, a MITRE construiu uma estrutura de protótipo para tecnologia da informação e comunicação (TIC) que define e quantifica riscos e preocupações de segurança na cadeia de suprimentos – incluindo software.

A chamada estrutura de protótipo do Sistema de Confiança (SoT) do MITRE é, em essência, uma metodologia padrão para avaliar fornecedores, suprimentos e prestadores de serviços. Ele pode ser usado não apenas por equipes de segurança cibernética, mas em toda a organização para avaliar um fornecedor ou produto. 

Um contador, um advogado [ou] um gerente de operações pode entender essa estrutura no nível superior“, diz Robert Martin, engenheiro sênior de software e garantia da cadeia de suprimentos da MITRE Labs. “O System of Trust trata da organização e fusão de recursos existentes que simplesmente não são conectados no momento” para garantir a verificação completa de software, bem como ofertas de provedores de serviços, por exemplo.

O SoT fará sua estreia pública oficial no próximo mês na RSA Conference (RSAC) em San Francisco, onde Martin apresentará a estrutura como um primeiro passo para reunir o apoio e a percepção da comunidade de segurança para o projeto. Até agora, diz ele, o feedback inicial tem sido “muito positivo“.

A MITRE é mais conhecida no setor de segurança cibernética por liderar o sistema Common Vulnerabilities and Exposures (CVE) que identifica vulnerabilidades de software conhecidas e, mais recentemente, pela estrutura ATT&CK que mapeia as etapas comuns que os grupos de ameaças usam para se infiltrar em redes e violar sistemas.

Martin diz que demonstrará a estrutura SoT e fornecerá mais detalhes sobre o projeto durante sua apresentação do RSAC. Atualmente, a estrutura inclui 12 áreas de risco de alto nível – desde estabilidade financeira a práticas de segurança cibernética – que as organizações devem avaliar durante o processo de aquisição. Mais de 400 perguntas específicas cobrem questões em detalhes, como se o fornecedor está rastreando de forma adequada e completa os componentes de software e sua integridade e segurança.

Cada risco é pontuado usando medições de dados que são aplicadas a um algoritmo de pontuação. As pontuações de dados resultantes identificam os pontos fortes e fracos de um fornecedor, por exemplo, em relação às categorias de risco específicas. Uma empresa poderia então analisar mais quantitativamente a “confiabilidade” de um fornecedor de software.

A SBOM Symmetry

Martin diz que, com a segurança da cadeia de suprimentos de software, o SoT também anda de mãos dadas com os programas de lista de materiais de software (SBOM – software bill of materials). “SBOMs podem lhe dar uma razão mais profunda para entender por que você deve confiar“, por exemplo, um componente de software. Entre vários fatores de risco no SoT, os SBOMs podem realmente mitigar esses riscos ou, pelo menos, fornecer uma melhor visão do software e de quaisquer riscos. 

Se o SBOM tiver informações de pedigree, essas informações permitiriam a avaliação das ferramentas e técnicas usadas para construir o software – se compilações reproduzíveis foram usadas para construir o software, métodos de proteção de memória [foram] invocados durante a compilação” e outros detalhes, ele observa.

Então, como a estrutura SoT difere dos modelos de gerenciamento de risco? O gerenciamento de risco tradicional emprega probabilidades, diz Martin. Com o SoT, há uma lista de riscos que podem ser avaliados e pontuados para determinar se há risco em áreas específicas e, em caso afirmativo, quão ruim ele realmente é.

Queremos ajudar a fornecer uma maneira consistente de fazer avaliações… e gostaríamos de incentivar decisões baseadas em dados sempre que pudermos” nas avaliações da cadeia de suprimentos, diz ele.

Os próximos passos: introduzir o conceito de SoT e oferecer a taxonomia ao vivo para comentários e escrutínio público. “Então podemos ver quais peças podem ser automatizadas e onde” e garantir que elas possam ser integradas ao processo de aquisição. Os fornecedores também podem usar a terminologia SoT em seus materiais de produtos.

‘Cadeia de suprimentos’ tem muitos significados diferentes“, explica Martin. “Não estamos falando de microeletrônica nos EUA versus no exterior. Não estamos tentando resolver problemas portuários. Estamos tentando obter uma cultura de gerenciamento de risco organizacional que inclua preocupações com a cadeia de suprimentos como parte normal disso. Queremos trazer algumas consistências, automação e evidências baseadas em dados para que haja mais compreensão dos riscos da cadeia de suprimentos.

Fonte: DarkReading por Kelly Jackson Higgins

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!