Вы бы доверились автомобилю, если бы он не прошел тщательные краш-тесты? Конечно, нет. Безопасность и надежность автомобиля являются нашим главным приоритетом, и знание того, что он прошел строгие испытания, дает вам душевное спокойствие.
Вы бы приняли новый рецептурный препарат, который не прошел строгие испытания безопасности и эффективности FDA? Абсолютно никак! Мы полагаемся на эти меры безопасности для защиты нашего здоровья и благополучия.
Почему так много компаний приобретают программное и аппаратное обеспечение без тщательной оценки рисков кибербезопасности, связанных с этими продуктами? В современном мире, где киберугрозы становятся все более распространенными и изощренными, такое слепое доверие к безопасности программного обеспечения не только рискованно, но и неприемлемо.
Содержание
- 1 Почему анализ безопасности программного обеспечения должен быть частью процесса закупок и снабжения компании?
- 2 Почему сейчас?
- 3 Но разве безопасность уже не является частью процесса закупок компании?
- 4 Доверие — это хорошо, контроль — лучше: точная информация об уязвимостях и статусе риска приобретаемого вами программного обеспечения.
- 5 Шаги по включению анализа программного обеспечения в закупки
- 6 Диплом
Почему анализ безопасности программного обеспечения должен быть частью процесса закупок и снабжения компании?
В современных компаниях программное обеспечение является основой каждой компании. Он управляет бизнес-процессами, связывает компании с клиентами и партнерами, автоматизирует задачи бэк-офиса и даже укрепляет присутствие на рынке. Сегодняшний мир построен на программном обеспечении — стороннем программном обеспечении, программном обеспечении с открытым исходным кодом, собственном программном обеспечении, программном обеспечении операционной системы, приложениях, контейнерах и прошивках устройств, и это лишь некоторые из них.
Однако такая зависимость от программного обеспечения также таит в себе скрытые опасности. Многие компании полагают, что приобретаемое ими программное обеспечение изначально безопасно. К сожалению, недавние громкие нарушения безопасности в цепочке поставок программного обеспечения доказали обратное. Реальность такова, что любое программное обеспечение, независимо от того, насколько авторитетным является его источник, несет в себе риски.
Несмотря на это, текущие процессы закупок программного обеспечения редко включают в себя количественные методы оценки риска кибербезопасности рассматриваемых продуктов. Согласно анализу программного обеспечения, проведенному NetRise, разница в уровнях риска программного обеспечения между аналогичными классами программных активов от разных поставщиков может достигать 300%. Это означает, что некоторые продукты могут быть значительно безопаснее других, даже если внешне они кажутся похожими.
Признание того, что кибербезопасность должна быть центральным фактором при принятии решений о покупке, не ново. Самое позднее с 2018 года растет осознание того, что отделы закупок должны также оценивать кибербезопасность программного обеспечения поставщика в дополнение к традиционным факторам, таким как качество и производительность доставки. Вопрос больше не в том, следует ли включать кибербезопасность в процессы закупок, а в том, почему – сейчас больше, чем когда-либо.
Почему сейчас?
Кибератаки на безопасность цепочек поставок растут. Обратите внимание на эту тревожную статистику:
Согласно исследованию цепочки поставок программного обеспечения, проведенному Capterra в 2023 году, 61% компаний подверглись кибератакам в цепочке поставок программного обеспечения за 12 месяцев, предшествовавших опросу.
Атаки на цепочки поставок программного обеспечения стали глобальной проблемой, масштабы и частота которых резко возросли. Тем не менее, активные меры по снижению этих рисков по-прежнему редки: только 7% респондентов девятого ежегодного отчета Sonatype о состоянии цепочки поставок программного обеспечения предприняли усилия по анализу рисков безопасности в своих цепочках поставок.
Конечно, эти оценки должны начинаться с процесса закупок и закупок компании.
Но разве безопасность уже не является частью процесса закупок компании?
Можно предположить, что безопасность уже встроена в процесс закупок компаний. В определенной степени это правда. Многие компании включают меры безопасности цепочки поставок в свою практику закупок. Однако эти меры обычно не включают прямое тестирование или оценку рисков кибербезопасности рассматриваемых программных продуктов.
Так что же включает в себя типичный процесс закупок компании? По данным Агентства кибербезопасности и безопасности инфраструктуры (CISA), стандартные рабочие процедуры часто включают:
- Анкеты и оценки поставщиков
- Ознакомьтесь с политикой и практикой безопасности поставщика.
- Аудит сторонних сертификатов (например, ISO 27001)
- Контрактные требования безопасности
- Управление эффективностью поставщиков
Эти шаги важны, но они во многом зависят от самораскрытия поставщика услуг. Хотя мы поручаем независимое тестирование автомобилей и лекарств на безопасность независимым организациям, таким как Национальное управление безопасности дорожного движения (NHTSA) и Управление по контролю за продуктами и лекарствами (FDA), мы часто полагаемся на поставщиков программного обеспечения, которые самостоятельно сообщают о своем статусе кибербезопасности. Это критический пробел в процессе, и именно здесь должен вступить в силу принцип «доверие — хорошо, контроль — лучше».
Доверие — это хорошо, контроль — лучше: точная информация об уязвимостях и статусе риска приобретаемого вами программного обеспечения.
Компаниям следует проявлять инициативу и напрямую анализировать корпоративное программное обеспечение, которое они планируют приобрести в рамках процесса закупок.
Однако многие организации даже не подозревают, что это возможно. Но это возможно. И это можно сделать за считанные минуты! Некоторым может быть трудно поверить, когда они впервые столкнутся с этой идеей. Но это возможно и может быть сделано эффективно и действенно.
Именно здесь вступает в игру принцип «Доверие — это хорошо, контроль — лучше». Слепое доверие к программному обеспечению может иметь разрушительные последствия: от утечки данных до сбоев в работе. Полная прозрачность всех программных компонентов и зависимостей не только желательна, но и необходима. И эта прозрачность может быть легко интегрирована в каждый процесс закупок и закупок компании.
Шаги по включению анализа программного обеспечения в закупки
Чтобы преодолеть эти проблемы, компании должны уделить приоритетное внимание интеграции программного обеспечения в свои операции по закупкам. Результаты исследования NetRise подчеркивают исключительную важность детального понимания всех компонентов программного обеспечения и рисков. Вот некоторые основные шаги, которые следует учитывать предприятиям:
Создавайте комплексные SBOM: Создание подробных программных спецификаций материалов (SBOM) является основой эффективной безопасности цепочки поставок. SBOM обеспечивают четкий перечень всех компонентов программного обеспечения, включая сторонние библиотеки и зависимости. Такая инвентаризация необходима для эффективного выявления рисков и управления ими. В недавнем исследовании Netrise мы создали подробные SBOM для 100 протестированных сетевых устройств и обнаружили, что каждое устройство содержит в среднем 1267 программных компонентов.
Внедрить автоматизированный анализ рисков программного обеспечения: Используя подробные методологии анализа рисков программного обеспечения, организации могут создать полную картину рисков для каждого пакета программного обеспечения или встроенного ПО, обеспечивая тщательную оценку рисков. В исследовании NetRise мы обнаружили, что среднее сетевое устройство имеет 1120 известных уязвимостей в базовых программных компонентах.
Расставьте приоритеты и сравните риски программного обеспечения: Как только будет достигнута полная видимость, организациям следует расставить приоритеты уязвимостей на основе факторов, выходящих за рамки оценок CVSS, таких как: B. Возможности оружия и доступность сети. Такой подход гарантирует выявление наиболее критических угроз. Используя этот приоритетный список критических угроз, команды могут сравнивать и сопоставлять статус риска различных рассматриваемых программных продуктов. Например, в исследовании NetRise мы обнаружили, что в среднем на одно сетевое устройство приходится только 20 уязвимостей, связанных с оружием, а при более внимательном рассмотрении через сеть также доступны только 7 уязвимостей, связанных с оружием.
Ответственное раскрытие уязвимостей и рисков: После внедрения в процессы закупок и закупок компании должны разработать процессы ответственного раскрытия информации об уязвимостях и оценки рисков рассматриваемым поставщикам программного обеспечения. Эту информацию следует считать конфиденциальной и не следует разглашать за пределами компании.
Сосредоточив внимание на этих шагах, компании могут значительно улучшить кибербезопасность своих процессов безопасности цепочки поставок, а также закупок программного и/или аппаратного обеспечения.
Диплом
Сегодня, когда ситуация с киберугрозами быстро развивается, уже недостаточно полагаться на безопасность приобретаемого вами программного обеспечения. Риски слишком велики, а последствия нарушения слишком серьезны. Включив аналитику программного обеспечения в процесс закупок, компании могут быть уверены в том, что принимают обоснованные и уверенные решения при покупке нового программного и аппаратного обеспечения.
Комплексная прозрачность программного обеспечения, автоматизированный анализ рисков и ответственное раскрытие рисков — это не просто лучшие практики, это важные шаги для любой организации, которая хочет защитить свои цифровые активы. Пришло время выйти за рамки одного лишь доверия. Пришло время обзора. Приняв эти методы, компании могут заложить прочную основу для своих усилий по обеспечению кибербезопасности и защитить свою деятельность от растущей волны атак в цепочке поставок программного обеспечения.
Настало время действовать. Интегрируйте аналитику программного обеспечения в свой процесс закупок сегодня и возьмите под контроль безопасность своей цепочки поставок программного обеспечения.
Мы предлагаем лучшее программное обеспечение для управления исправлениями.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы демонстрируем лучшие и самые яркие умы в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
