home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Manufacturing Technology >> Industriële technologie

Drie stappen naar het beveiligen van softwaretoeleveringsketens

Computercode is de basis voor elk stukje technologie, van smartphones tot robots en de netwerken die ze verbinden. In de digitale wereld van vandaag maakt dat code ook deel uit van de basis voor veel - zo niet de meeste - bedrijven en diensten.

Hackers herkennen dit feit en maken er gebruik van. Een recent, spraakmakend voorbeeld is de aanval op FireEye waarbij meerdere trojan-updates voor SolarWinds-software werden gebruikt. Door zich op softwareleveranciers te richten, konden de hackers achterdeuren in bedrijven installeren die hen op hun beurt in staat stelden hun beoogde doelen te bereiken:de overheidsinstanties die diensten van die bedrijven ontvingen.

Deze aanvalsmethode maakt ook gebruik van vertrouwen. Bedrijven, overheden en andere klanten gaan ervan uit dat als een software- of firmware-update van de leverancier komt, deze veilig kan worden geïnstalleerd. Sommigen zullen vertrouwen maar verifiëren; ze controleren de website van de leverancier op de hash-waarde van de update en vergelijken die vervolgens met de download. Als ze overeenkomen, gaan ze ervan uit dat het vrij is van kwetsbaarheden.

Dit vertrouwen schept kansen voor kwaadwillende actoren die tijdens het ontwikkelingsproces de broncode kunnen manipuleren. Als gevolg hiervan downloaden gebruikers onbewust een exploit, die vaak weken of maanden stil blijft liggen terwijl ze zich door een organisatie verspreidt om uiteindelijk een reeks partners, leveranciers of klanten aan te vallen. Hoe kunnen organisaties zichzelf beschermen?

Houd slechte acteurs buiten. Een programma voor supply chain risk management (SCRM) is van cruciaal belang voor het verminderen van bedreigingen en kwetsbaarheden die inherent zijn aan de acceptatie en integratie van producten en diensten van derden. Het omvat mensen, processen en technologie en omvat meerdere afdelingen, waaronder beveiliging, IT, human resources (HR), inkoop en juridische zaken. Het is vooral belangrijk om het SCRM-programma van een bedrijf uit te breiden naar de levenscyclus van softwareontwikkeling (SDLC). In het proces creëert het SCRM-programma een veiligheidscultuur waarin iedereen een deelnemer is en hetzelfde doel nastreeft.

Binnen de SDLC richt een SCRM-programma zich op de mensen die de code moeten aanraken en gerelateerde bronnen zoals toolsets. Het is begrijpelijk dat deze werknemers grondig moeten worden doorgelicht tijdens het wervingsproces, inclusief achtergrondcontroles om mogelijke banden met criminele activiteiten en/of natiestaten te identificeren.

Bedrijven die gebruik maken van uitzendbureaus, moeten ervoor zorgen dat het bedrijf hun unieke en specifieke vereisten begrijpt. Bedrijven moeten bijvoorbeeld weten wie hun uitzendbureaus zijn en of ze aanwezig zijn in landen met een geschiedenis van door de staat gesponsorde cybercriminaliteit. Wanneer bedrijven te maken hebben met bedrijfseigen en vertrouwelijke informatie, willen ze niet dat externe kantoren van uitzendbureaus hun cv's en kandidaten verstrekken die potentiële interne bedreigingsfabrieken zijn. Aanvallers van nationale staten zijn steeds meer gefocust om hun mensen in gerichte organisaties te krijgen. Ze hebben de financiële middelen om mensen op te leiden die felbegeerde codeervaardigheden en andere gewilde referenties demonstreren die hun cv's naar de top van de stapel tillen. Dit is iets waar personeelsteams en personeelsmanagers zich bewust van moeten zijn.

Het is mogelijk dat sommige slechte acteurs zelfs door de meest zorgvuldige screening- en wervingsprocessen glippen. Daarom is het belangrijk om de activiteit van werknemers te monitoren via een goed gedefinieerd programma voor insider-bedreigingen om ongebruikelijk en verdacht gedrag te identificeren, zoals ongeoorloofde escalatie van privileges en toegang tot systemen, programma's en applicaties.

Een SCRM-programma moet ook de mensen identificeren die de code en gerelateerde bronnen zoals toolsets moeten aanraken, en vervolgens veiligheidsmaatregelen implementeren om dat alles uit de buurt van alle anderen te houden. Als de code eenmaal is gelicentieerd, moet dit de enige bron zijn voor de geautoriseerde ontwikkelaars, wat betekent dat ze geen aanvullende code van externe bronnen kunnen binnenhalen. Als de code eenmaal is beoordeeld en gecontroleerd, willen bedrijven in wezen niet dat ontwikkelaars code gaan halen uit nieuwe bronnen die nog niet zijn beoordeeld op beveiligingsrisico's. Deze best practice verkleint kwetsbaarheden zoals achterdeuren die zijn begraven in ongeautoriseerde code die onbewust wordt gebruikt door geautoriseerde ontwikkelaars of ongedocumenteerde portals die worden verborgen door onbevoegde gebruikers.

Onderzoek en controle. Strak controlerende technologie zorgt voor een extra beschermingslaag. Zelfs wanneer werknemers binnen de organisatie overstappen, kunt u bijvoorbeeld overwegen om hen een nieuwe laptop te geven met een afbeelding die speciaal is gemaakt voor hun nieuwe rol en afdeling. Schakel ook eerder verkregen toegang uit die niet langer nodig is. Dit helpt ervoor te zorgen dat gegevens en toegang bevoorrecht blijven.

De IT-afdeling moet ook gloednieuwe computers reimagen voordat ze aan ontwikkelaars worden uitgegeven. Door gebruik te maken van de voorraad, kan een door de leverancier verstrekte afbeelding achterdeuren creëren als het besturingssysteem en eventuele vooraf geïnstalleerde bloatware gecompromitteerde code hebben. Maak in plaats daarvan een aangepaste, geharde afbeelding voor die apparaten.

Alle nieuwe soorten hardware en software moeten in eerste instantie voor een bepaalde periode in de sandbox worden geplaatst. Dit geeft de IT-afdeling de tijd om hun gedrag onder de loep te nemen, zoals het ongevraagd bellen naar internet om te proberen gegevens op te halen. Het creëert ook een basislijn om maanden of jaren later plotselinge gedragsveranderingen te detecteren die erop kunnen wijzen dat ze zijn gecompromitteerd.

Creëer een veiligheidscultuur. Dit is veel om over na te denken, wat duidelijk maakt waarom SCRM een organisatieoverschrijdende inspanning moet zijn. De juridische afdeling moet er bijvoorbeeld voor zorgen dat leveranciers- en partnercontracten taal bevatten met betrekking tot audits om ervoor te zorgen dat aan alle vereisten wordt voldaan. Ondertussen kan HR helpen bij het ontwikkelen en handhaven van regels voor het screenen van kandidaten.

Buy-in en leiderschap op C-niveau zijn essentieel om dit soort teaminspanningen te bereiken en ervoor te zorgen dat de middelen beschikbaar zijn om een ​​SCRM-programma te implementeren. Dit zorgt voor een beveiligingscultuur die de hele organisatie omspant en die beveiliging transformeert van een bijzaak in een fundamenteel onderdeel van het ontwikkelingsproces.

Michael Iwanoff is Chief Information Security Officer bij iconectiv.


Industriële technologie

  • Productieproces
  • 3d printen
  • Automatisering Besturingssysteem
  • Industriële technologie
    1. 5 manieren om veerkrachtige toeleveringsketens in de productie te creëren
    2. Softwarerisico's:Open source beveiligen in IoT
    3. Drie stadia van het overwinnen van verstoringen in de toeleveringsketen
    4. Vier stappen om de duurzaamheid van de supply chain aan te pakken
    5. Drie manieren waarop IoT seizoensgebonden toeleveringsketens kan stroomlijnen
    6. De Amazonificatie van toeleveringsketens
    7. AI kan helpen supply chains duurzaam te maken
    8. Drie stappen voor het beheren van leveranciersrisico's en overmacht
    9. Drie manieren om supply chains aan te passen in het tijdperk van COVID-19
    10. Het einde van single-source supply chains
    11. Het creëren van veerkrachtiger wereldwijde toeleveringsketens