การโจมตีในบริษัทหนึ่งอาจไม่ได้ยุติลงที่ธุรกิจน้้นๆ แต่ในกรณีที่ผลผลิตของธุรกิจถูกนำไปใช้ต่อ ผลกระทบจะยิ่งขยายวงกว้างออกไป อย่างธุรกิจในประเภท B2B ยกตัวอย่างที่เห็นได้ชัดอย่างกรณีของ SolarWinds, Equifax และ MOVEit ที่ธุรกิจที่ใช้บริการจากผู้ให้บริการเหล่านี้ต่างเดือดร้อนไปด้วย โดย IBM ได้แนะนำถึง 4 แนวทางเพื่อรักษาความมั่นคงปลอดภัยให้ซอฟต์แวร์

1.) ความมั่นคงปลอดภัยเริ่มต้นตั้งแต่การออกแบบ
การตามแก้ไขความล้มเหลวอาจจะมีต้นทุนมากกว่าการทำอะไรให้ดีตั้งแต่แรก โดยเทคนิคคือเรื่องของความมั่นคงปลอดภัยต้องเป็นความต้องการเชิงเทคนิค(requirement) มากกว่าการอ้างว่าเป็นมาตรฐานที่ควรทำ ซึ่งต้องเกิดขึ้นตั้งแต่การออกแบบ การมีลิสต์เป้าปฏิบัติที่ต้องทำให้ได้ เช่น ต้องมีการใช้ MFA, ลดการมี Default Password และรายงานเรื่องช่องโหว่อย่างตรงไปตรงมา
2.) Software bill of materials (SBOMs)
เป็นการดูแลคลังส่วนประกอบของซอฟต์แวร์ว่ามีส่วนใดเกี่ยวข้อง เช่น โอเพ่นเซอร์ส ซอฟต์แวร์ 3rd Party สถานะแพตช์ และ License โดยเป็นสิ่งที่ CISA แนะนำให้ทำแถมยังมีการสนับสนุนหลายอย่าง แน่นอนว่า SBOMs จะช่วยให้องค์กรรู้ถึงความเสี่ยงว่าเป็นอย่างไร พร้อมตัดสินใจได้ดีขึ้น
3.) Supply-chain levels for software artifacts (SLSA) frameworks
SLSA เป็นกรอบปฏิบัติด้านความมั่นคงปลอดภัยโดยการรักษาความถูกต้อง(Integrity) ของส่วนซอฟต์แวร์ต่างๆ ไม่ให้ถูกแก้ไขเปลี่ยนแปลง ซึ่งกรอบปฏิบัตินี้เยเป็นพื้นฐานของบริษัทซอฟต์แวร์แนวหน้าอย่าง Google ในการนำซอฟต์แวร์เข้าสู่การใช้จริง อีกทั้งยังส่งเสริมให้เกิดวิถีด้านความมั่นคงปลอดภัยที่ดีในห่วงโซ่อุปทาน
4.) Governance, risk and compliance (GRC) management
องค์กรควรมีการจัดการความเสี่ยงและทำให้มั่นใจว่าซอฟต์แวร์ของตนจะบรรจบกับข้อกำหนด ระเบียบข้อบังคับ และมาตรฐานด้านความมั่นคงปลอดภัย โดยกิจกรรมที่เป็นไฮไลต์สำคัญในหัวข้อนี้ก็คือ
- ระบุความเสี่ยงทั้งหมดในห่วงโซ่อุปทานซอฟต์แวร์ให้ได้
- จัดการความเสี่ยงของ Vendor และประเมินความมั่นคงปลอดภยของซอฟต์แวร์จากภายนอกก่อนนำเข้ามาใช้ในซอฟต์แวร์องค์กร
- ทำให้รองรับตามระเบียบข้อบังคับของอุตสาหกรรมและมาตรฐานกำกับดูแล
- บังคับใช้ Policy ให้ครอบคลุมกับวงจรการพัฒนาซอฟต์แวร์
- วางแผนด้าน Incident Response หากเกิดเหตุทางไซเบอร์ในห่วงโซ่อุปทานซอฟต์แวร์ เช่น เกิดเหตุซอฟต์แวร์ที่เรานำมาใช้ถูกแทรกแซง เป็นต้น
ที่มา : https://securityintelligence.com/articles/4-trends-in-software-supply-chain-security/