چارچوب امنیتی زنجیره تامین OSC&R در Github فعال می شود

حامیان مرجع حمله زنجیره تامین نرم افزار را باز کنید چارچوب (OSC&R) برای امنیت زنجیره تامین در Github فعال شده است و هر کسی را قادر می‌سازد تا در این مدل مشارکت کند.

چارچوب مشابه MITER ATT&CK در ماه فوریه با هدف کمک به تیم های امنیتی راه اندازی شد تا درک خود را از تهدیدات زنجیره تامین نرم افزار بهبود بخشند، آنها را ارزیابی کنند و با آنها مقابله کنند.

به رهبری امنیت گاویک متخصص زنجیره تامین مستقر در اسرائیل، حامیان پروژه شامل دیوید کراس، مدیر سابق امنیت ابری مایکروسافت و گوگل است. Neatsun Ziv، یکی از بنیانگذاران و مدیر عامل Ox Security. لیور ارضی، یکی از بنیانگذاران و CPO در Ox Security. هیروکی سوئزاوا، مهندس ارشد امنیت در GitLab؛ ایال پاز، رئیس تحقیقات Ox Security. چنشی وانگ، عضو سابق هیئت مدیره جهانی OWASP؛ شای سیوان، CISO در Kaltura; ناور پنسو، رئیس امنیت محصول در FICO؛ و روی فینتاچ، CTO سابق ابر در Check Point.

Neatsun Ziv که قبل از تأسیس Ox به عنوان معاون امنیت سایبری Check Point فعالیت می کرد، گفت: «پس از راه اندازی OSC&R، ما با ایمیل های افرادی که روی عناصر OSC&R کار می کردند و می خواستند مشارکت کنند، غرق شدیم.

“با انتقال به Github و باز کردن پروژه برای مشارکت، امیدواریم بتوانیم این دانش و تجربه جمعی را به نفع کل جامعه امنیتی به دست آوریم.”

در عین حال، امنیت محصولات ویزا، دینشوار صحنی نیز به کنسرسیوم پیوسته است مایک راجرز مدیر سابق آژانس امنیت ملی آمریکااو که از سال 2014 تا 2018 آژانس اطلاعاتی ایالات متحده را اداره می کرد، از این پروژه حمایت کرده است.

راجرز گفت: «امنیت سایبری بازی موش و گربه است. “به دست آوردن دست بالا مستلزم ساخت یک مدل تهدید خوب است و OSC&R سازمان ها را قادر می سازد الزامات امنیتی را شناسایی کنند، تهدیدات امنیتی و آسیب پذیری های احتمالی را مشخص کنند، تهدیدات و آسیب پذیری های حیاتی را کمی کنند و روش های اصلاح را اولویت بندی کنند.”

صحنی افزود: «در یکی از قسمت‌های Star Trek، آقای اسپاک در حین کار روی آسیب‌پذیری‌های اینترپرایز در رابطه با عامل تهدید، گفت: «حقایق ناکافی همیشه خطر را تهدید می‌کنند، کاپیتان!». همین امر در امنیت سایبری نیز صدق می کند، جایی که کمبود اطلاعات آسیب پذیری را افزایش می دهد. با افزایش دانش جامعه، OSC&R دارای پتانسیل فوق العاده ای برای کاهش خطرات زنجیره تامین نرم افزار و کاهش سطح حمله به طور گسترده تر است.

حامیان این چارچوب بر این باورند که پروژه آنها برای شرکت هایی که به دنبال ایجاد برنامه های امنیتی زنجیره تامین نرم افزار خود هستند بسیار ارزشمند خواهد بود. از جمله، می‌تواند به ارزیابی دفاع‌های موجود، تعریف معیارهای اولویت‌بندی تهدید و ردیابی رفتارهای گروه‌های مهاجم کمک کند.

نیاز سازمان‌ها به اولویت‌بندی انعطاف‌پذیری زنجیره‌های تامین نرم‌افزار خود در چند سال گذشته بارها و بارها مورد توجه قرار گرفته است، که مسلماً تاثیرگذارترین حادثه بوده است. حادثه SolarWinds در سال 2020/1، که از زمانی آغاز شد که عوامل تهدید روسی پلتفرم مدیریت شبکه Orion شرکت را به خطر انداختند و بدافزار backdoor را تزریق کردند که سپس به عنوان یک به روز رسانی “آلوده” به مشتریان ارسال شد.

همانطور که ثابت شده است، تاریخ حتی امروز نیز در حال تکرار است یک حادثه هنوز در حال توسعه در شرکت ارتباطات یکپارچه 3CX، که زمانی آغاز شد که یک به‌روزرسانی محصول با یک مشکل امنیتی ارسال شد که توسط یک عامل تهدید با ارتباط با رژیم کره شمالی مورد سوء استفاده قرار می‌گیرد.