0
0
OSC&R (Open Software Supply Chain Attack Reference) é uma estrutura aberta para entender e avaliar as ameaças à segurança da cadeia de suprimentos de software. Ele recebeu o endosso do ex-diretor da NSA, almirante Mike Rogers, e agora está disponível no GitHub .
Liderado pela OX Security, OSC&R é uma estrutura do tipo MITRE projetada para fornecer uma linguagem e estrutura comuns para entender e analisar as táticas, técnicas e procedimentos (TTPs) usados por adversários para comprometer a segurança das cadeias de suprimentos de software . O objetivo é fornecer à comunidade de segurança um único ponto de referência para avaliar proativamente suas estratégias para proteger suas cadeias de suprimentos de software e comparar soluções.
“Depois que lançamos o OSC&R, ficamos sobrecarregados com e-mails de pessoas trabalhando em elementos dentro do OSC&R e querendo contribuir”, disse Neatsun Ziv , CEO da OX Security. “Ao mudar para o GitHub e abrir o projeto para contribuições, esperamos capturar esse conhecimento e experiência coletivos para o benefício de toda a comunidade de segurança. O fato de agora Mike e Dineshwar também fazerem parte da comunidade agrega valor real ao projeto.”
“A segurança cibernética é um jogo de gato e rato”, disse Mike Rogers. “Ganhar vantagem requer a construção de um bom modelo de ameaça, e o OSC&R permite que as organizações identifiquem requisitos de segurança, identifiquem ameaças de segurança e possíveis vulnerabilidades, quantifiquem a criticidade de ameaças e vulnerabilidades e priorizem métodos de remediação.”
Para empresas que procuram desenvolver um programa de segurança da cadeia de suprimentos de software, a estrutura OSC&R pode ajudar a orientar o esforço. O OSC&R pode ser usado por equipes de segurança para avaliar as defesas existentes, definir quais ameaças precisam ser priorizadas e como a cobertura existente aborda essas ameaças, bem como para ajudar a rastrear os comportamentos dos grupos de invasores.
Os membros fundadores da OSC&R compartilham uma missão comum de ajudar as equipes de segurança a reduzir sua superfície de ataque e construir sua estratégia de segurança com confiança. “A velocidade, diversidade e natureza dinâmica do ecossistema de engenharia moderno remodelaram o domínio Software Supply Chain Security”, disse David Cross, ex-executivo de segurança em nuvem da Microsoft e do Google e membro fundador da OSC&R. “Ferramentas padronizadas em OSC&R fornecerão continuidade e coesão que geralmente faltam em muitas estratégias de segurança.”
FONTE: HELPNET SECURITY