0
0
A segurança da cadeia de suprimentos tem sido o grande destaque na esteira de ataques de alto perfil como SolarWinds e Log4j, mas até o momento não há uma maneira única e acordada de defini-lo ou medi-lo. Para isso, a MITRE construiu uma estrutura protótipo de tecnologia de informação e comunicação (TIC) que define e quantifica riscos e preocupações de segurança sobre a cadeia de suprimentos – incluindo software.
A estrutura do protótipo do chamado Sistema de Confiança (SoT) da MITRE é, em essência, uma metodologia padrão para avaliar fornecedores, suprimentos e prestadores de serviços. Ele pode ser usado não apenas por equipes de cibersegurança, mas em uma organização para avaliar um fornecedor ou produto.
“Um contador, um advogado, [ou] um gerente de operações poderia entender essa estrutura no nível superior”, diz Robert Martin, engenheiro principal sênior de software e segurança da cadeia de suprimentos da MITRE Labs. “O Sistema de Confiança é sobre organizar e amalgamar os recursos existentes que simplesmente não estão conectados agora” para garantir a verificação completa do software, bem como ofertas de provedores de serviços, por exemplo.
O SoT fará sua estreia pública oficial no próximo mês na RSA Conference (RSAC) em São Francisco, onde Martin apresentará o quadro como um primeiro passo para reunir apoio da comunidade de segurança e insights para o projeto. Até agora, diz ele, o feedback inicial foi “muito positivo”.
O MITRE é mais conhecido no setor de cibersegurança por chefiar o sistema Common Vulnerabilities and Exposures (CVE) que identifica vulnerabilidades de software conhecidas e, mais recentemente, para a estrutura ATT&CK que mapeia as etapas comuns que os grupos de ameaças usam para se infiltrar em redes e sistemas de violação.
Martin diz que vai demonstrar a estrutura do SoT e fornecer mais detalhes sobre o projeto durante sua apresentação no RSAC. Atualmente, o quadro inclui 12 áreas de risco de alto nível – desde estabilidade financeira até práticas de segurança cibernética – que as organizações devem avaliar durante seu processo de aquisição. Mais de 400 perguntas específicas abordam questões detalhadamente, como se o fornecedor está rastreando corretamente e completamente os componentes do software e sua integridade e segurança.
Cada risco é pontuado usando medições de dados que são aplicadas a um algoritmo de pontuação. Os escores de dados resultantes identificam os pontos fortes e fracos de um fornecedor, por exemplo, em relação às categorias de risco específicas. Uma empresa poderia então analisar mais quantitativamente a “confiabilidade” de um fornecedor de software.
Simetria SBOM
Martin diz que, com a segurança da cadeia de suprimentos de software, o SoT também anda de mãos dadas com programas de projeto de lei de materiais de software (SBOM). “Os SBOMs podem lhe dar uma razão mais profunda para entender por que você deve confiar”, por exemplo, um componente de software. Entre vários fatores de risco no SoT, os SBOMs podem realmente mitigar esses riscos ou, no mínimo, fornecer uma melhor visão do software e quaisquer riscos.
“Se o SBOM tiver informações de pedigree, essas informações permitiriam a avaliação das ferramentas e técnicas usadas para construir o software – se construções reprodutíveis foram usadas para construir o software, métodos de proteção de memória [foram] invocados durante a compilação” e outros detalhes, observa.
Então, como o quadro SoT difere dos modelos de gerenciamento de riscos? A gestão tradicional de riscos emprega probabilidades, diz Martin. Com o SoT, há uma lista de riscos que podem ser avaliados e pontuados para determinar se há risco em áreas específicas e, se sim, o quão ruim realmente é.
“Queremos ajudar a fornecer uma maneira consistente de fazer avaliações … e gostaríamos de encorajar decisões baseadas em dados onde pudermos” nas avaliações da cadeia de suprimentos, diz ele.
Os próximos passos: introduzir o conceito do SoT e oferecer a taxonomia ao vivo para comentários e escrutínio público. “Então podemos ver quais peças podem ser automatizadas e onde”, e garantir que elas possam ser integradas ao processo de aquisição. Os fornecedores também poderiam usar terminologia SoT em seus materiais de produtos.
“A cadeia de suprimentos tem muitos significados diferentes”, explica Martin. “Não estamos falando de microeletrônica nos EUA contra no exterior. Não estamos tentando resolver problemas portuários. Estamos tentando obter uma cultura de gestão de riscos organizacionais que inclui preocupações da cadeia de suprimentos como uma parte normal disso. Queremos trazer algumas consistências, automação e evidências baseadas em dados para que haja mais compreensão dos riscos da cadeia de suprimentos.”
FONTE: DARK READING