0
0
A MITRE lançou silenciosamente uma plataforma de protótipo baseada em nuvem para sua nova estrutura de Sistema de Confiança (SoT) que define e quantifica riscos e preocupações de segurança cibernética para a cadeia de suprimentos.
A chamada plataforma Risk Model Manager (RMM) agora está disponível para as organizações avaliarem o risco e a segurança da cadeia de suprimentos, bem como visualizar, editar e personalizar o conteúdo da estrutura SoT ou exportá-lo para uso como uma estrutura de subconjunto. A MITRE estreou pela primeira vez o conceito de estrutura SoT na Conferência RSA de 2022 (RSAC) e anunciará oficialmente a plataforma de protótipo RMM no próximo mês na RSAC 2023 em San Francisco .
O risco e a segurança da cadeia de suprimentos de software receberam um alerta alto depois que ataques de alto nível, como SolarWinds e Log4j, pontuaram dolorosamente os perigos de agentes de ameaças que comprometem o software dos fornecedores e, por sua vez, comprometem as instalações de software dos clientes. Até o momento, não existe uma maneira comum e acordada de definir ou medir esses riscos. Entre no SoT do MITRE, uma estrutura para fornecer uma espécie de maneira padrão de avaliar fornecedores, provedores de serviços e suprimentos que podem ser usados por equipes de segurança cibernética e também em toda a empresa para avaliar um fornecedor ou produto de software.
A estrutura SoT, que é um aplicativo nativo de nuvem hospedado na AWS, está centrada em 14 áreas de risco de alto nível relacionadas a fornecedores, provedores de serviços e suprimentos, incluindo estabilidade financeira e práticas de segurança cibernética do fornecedor, bem como risco de falsificação e comprometimento de produtos. Essas categorias de risco são usadas para avaliar um fornecedor ou produto durante o processo de aquisição, aprofundando questões detalhadas sobre como um fornecedor rastreia e garante a segurança de componentes de software de terceiros usados em seu produto, por exemplo.
“O Sistema de Confiança é muito atraente porque fornece uma estrutura mais abrangente, bem definida e explica quais tipos de riscos” você tem em sua cadeia de suprimentos, em detalhes, explica Robert Martin, diretor sênior de software e garantia da cadeia de suprimentos engenheiro da MITRE Labs. Isso vai além das ferramentas tradicionais de medição e avaliação de riscos, observa ele.
Existem cerca de 40 organizações atualmente envolvidas na formação da plataforma SoT, que agora inclui cerca de 660 categorias específicas de cadeia de suprimentos e fatores de risco. A MITRE está coletando informações para aprimorar a ferramenta de empresas com cadeias de suprimentos, fornecedores de segurança da cadeia de suprimentos e grupos de padrões que tocam alguns elementos das operações da cadeia de suprimentos. Entre alguns dos grandes nomes da comunidade SoT estão Microsoft, BlackBerry, CISA, Cisco, Dell Technologies, Intel, Mastercard, NASA, Raytheon, Schneider Electric, Siemens e The Open Group.
O SoT é mais um projeto da MITRE que constrói uma estrutura de referência para o setor de segurança cibernética: sua estrutura ATT&CK extremamente popular , por exemplo, mapeia as etapas comuns que grupos de ameaças usam para se infiltrar em redes e violar sistemas, enquanto seu modelo D3FEND mais recente especifica uma maneira comum de definir capacidades e tecnologias defensivas. Mas o SoT fornece uma lente de risco mais ampla do que apenas a segurança cibernética – considerando também riscos financeiros, de qualidade e integridade, por exemplo.
“A grande coisa que eles têm aqui é que estão fazendo o que fizeram com ATT&CK e D3FEND: fornecer uma linguagem comum para todos usarem quando falamos não apenas sobre a posição na cadeia, mas também sobre vulnerabilidades específicas ou métodos de ataque e defesas, ” diz Curt Franklin, principal analista de gerenciamento de segurança corporativa da Omdia.
Franklin diz que o pedigree do MITRE com seus outros programas de segurança cibernética deve ajudar a impulsionar o SoT, mas a ampla adoção provavelmente levará tempo. “Posso imaginar alguns dos fornecedores terceirizados de avaliação de risco incorporando SoT em seus produtos da mesma forma que incorporam FAIR [Análise de Fator de Risco de Informação] ou ATT&CK em seus produtos”, diz Franklin. “Acho que as chances são boas de que [SoT] seja mais amplamente adotado. Acho que as chances são boas de que demore um pouco.”
Isso ocorre porque ainda existem várias maneiras de definir e medir o risco na segurança cibernética, e não há dois modelos que funcionem juntos, diz ele. “É muito difícil dizer como minha postura de risco se compara à de meus colegas do setor. O que algo assim faz é fornecer uma estrutura específica para alguma quantificação comum de risco.”
Como funciona o SoT
Cada item de risco no RMM é pontuado usando medições de dados que são então aplicadas a um algoritmo de pontuação. As pontuações resultantes identificam os pontos fortes e fracos de um fornecedor, por exemplo, em relação às categorias de risco específicas. Isso permitiria que uma empresa avaliasse quantitativamente o risco de segurança de um fornecedor de software ou de seu produto, por exemplo.
One of the organizations closely working the project is Schneider Electric, whose vice president of supply chain security Cassie Crossley will join Martin in an RSAC 2023 session on SoT called “Creating the Standard for Supply Chain Risk — MITRE’s System of Trust.” Crossley says Schneider has multiple, comprehensive supply chain risk assessment processes currently in place across different parts of the company, and Schneider plans to provide input and feedback to the SoT based on its own requirements and metrics.
“Gostaríamos de trabalhar com essas equipes [na Schneider] para identificar algumas áreas em que podemos fornecer sugestões e também ver como podemos alinhar melhor ou adotar mais da estrutura [SoT]”, diz Crossley. “Ainda não sei se teremos um completo ‘ei, somos 100% SoT’. Mas faríamos nossos próprios processos e identificaríamos áreas onde queremos incorporar mais uma estrutura” para avaliação de risco da cadeia de suprimentos, diz ela.
Para a Schneider, os riscos da cadeia de suprimentos e as questões de segurança se aplicam tanto aos seus próprios produtos quanto aos que ela compra para uso interno, incluindo “terceiros e quartos terceiros com quem trabalhamos”, diz ela. Ela vê o SoT possivelmente ajudando na visibilidade dos riscos associados a fornecedores “upstream” que normalmente não fazem parte de um processo de avaliação de fornecedores.
“Acho que, ao usar o SOT, se ele puder se tornar um modelo comum para muitos, podemos obter essas respostas mais rapidamente para os fornecedores upstream”, diz ela, se uma organização puder pedir aos fornecedores que o mapeiem para seus fornecedores upstream.
Plano de código aberto do MITRE
Martin diz que os principais desafios para o SoT se tornar o padrão para avaliações da cadeia de suprimentos são largura de banda suficiente para expandir o projeto à medida que ele se desenvolve, além de divulgar para evitar a duplicação de esforços. “Estou preocupado com as pessoas que não estão cientes disso e tentando resolver algo que se sobrepõe. Estamos garantindo que as pessoas estejam cientes” e podemos ajudar a contribuir com o SoT, diz ele.
O MITRE planeja oferecer o RMM como uma ferramenta de código aberto quando estiver totalmente pronto. Por enquanto, diz Martin, as organizações podem usá-lo para ajudar o MITRE a desenvolver a própria ferramenta ou para seu próprio uso interno. “Eles podem colocá-lo offline”, diz ele, “e fazer uma avaliação em relação” ao SoT.
FONTE: DARK READING