TTT 2025 Events
IBM Flashsystem

4 แนวทางสำหรับการรักษาความมั่นคงปลอดภัยให้ Software Supply Chain

January 29, 2025 Application Security, Cybersecurity, IT Knowledge, IT Trends and Updates, Software Development & DevOps

การโจมตีในบริษัทหนึ่งอาจไม่ได้ยุติลงที่ธุรกิจน้้นๆ แต่ในกรณีที่ผลผลิตของธุรกิจถูกนำไปใช้ต่อ ผลกระทบจะยิ่งขยายวงกว้างออกไป อย่างธุรกิจในประเภท B2B ยกตัวอย่างที่เห็นได้ชัดอย่างกรณีของ SolarWinds, Equifax และ MOVEit ที่ธุรกิจที่ใช้บริการจากผู้ให้บริการเหล่านี้ต่างเดือดร้อนไปด้วย โดย IBM ได้แนะนำถึง 4 แนวทางเพื่อรักษาความมั่นคงปลอดภัยให้ซอฟต์แวร์

1.) ความมั่นคงปลอดภัยเริ่มต้นตั้งแต่การออกแบบ

การตามแก้ไขความล้มเหลวอาจจะมีต้นทุนมากกว่าการทำอะไรให้ดีตั้งแต่แรก โดยเทคนิคคือเรื่องของความมั่นคงปลอดภัยต้องเป็นความต้องการเชิงเทคนิค(requirement) มากกว่าการอ้างว่าเป็นมาตรฐานที่ควรทำ ซึ่งต้องเกิดขึ้นตั้งแต่การออกแบบ การมีลิสต์เป้าปฏิบัติที่ต้องทำให้ได้ เช่น ต้องมีการใช้ MFA, ลดการมี Default Password และรายงานเรื่องช่องโหว่อย่างตรงไปตรงมา

2.) Software bill of materials (SBOMs)

เป็นการดูแลคลังส่วนประกอบของซอฟต์แวร์ว่ามีส่วนใดเกี่ยวข้อง เช่น โอเพ่นเซอร์ส ซอฟต์แวร์ 3rd Party สถานะแพตช์ และ License โดยเป็นสิ่งที่ CISA แนะนำให้ทำแถมยังมีการสนับสนุนหลายอย่าง แน่นอนว่า SBOMs จะช่วยให้องค์กรรู้ถึงความเสี่ยงว่าเป็นอย่างไร พร้อมตัดสินใจได้ดีขึ้น

3.) Supply-chain levels for software artifacts (SLSA) frameworks

SLSA เป็นกรอบปฏิบัติด้านความมั่นคงปลอดภัยโดยการรักษาความถูกต้อง(Integrity) ของส่วนซอฟต์แวร์ต่างๆ ไม่ให้ถูกแก้ไขเปลี่ยนแปลง ซึ่งกรอบปฏิบัตินี้เยเป็นพื้นฐานของบริษัทซอฟต์แวร์แนวหน้าอย่าง Google ในการนำซอฟต์แวร์เข้าสู่การใช้จริง อีกทั้งยังส่งเสริมให้เกิดวิถีด้านความมั่นคงปลอดภัยที่ดีในห่วงโซ่อุปทาน

4.) Governance, risk and compliance (GRC) management

องค์กรควรมีการจัดการความเสี่ยงและทำให้มั่นใจว่าซอฟต์แวร์ของตนจะบรรจบกับข้อกำหนด ระเบียบข้อบังคับ และมาตรฐานด้านความมั่นคงปลอดภัย โดยกิจกรรมที่เป็นไฮไลต์สำคัญในหัวข้อนี้ก็คือ

  • ระบุความเสี่ยงทั้งหมดในห่วงโซ่อุปทานซอฟต์แวร์ให้ได้
  • จัดการความเสี่ยงของ Vendor และประเมินความมั่นคงปลอดภยของซอฟต์แวร์จากภายนอกก่อนนำเข้ามาใช้ในซอฟต์แวร์องค์กร
  • ทำให้รองรับตามระเบียบข้อบังคับของอุตสาหกรรมและมาตรฐานกำกับดูแล
  • บังคับใช้ Policy ให้ครอบคลุมกับวงจรการพัฒนาซอฟต์แวร์
  • วางแผนด้าน Incident Response หากเกิดเหตุทางไซเบอร์ในห่วงโซ่อุปทานซอฟต์แวร์ เช่น เกิดเหตุซอฟต์แวร์ที่เรานำมาใช้ถูกแทรกแซง เป็นต้น

ที่มา : https://securityintelligence.com/articles/4-trends-in-software-supply-chain-security/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

DevSecOps Workshop Series คอร์สจับมือทำ DevSecOps นำไปปรับใช้กับองค์กรได้จริง

ในยุคที่องค์กรต้องพัฒนาซอฟต์แวร์ให้รวดเร็วและปลอดภัยไปพร้อมกัน หลายครั้งที่การผสานระบบความปลอดภัยเข้ากับกระบวนการ DevOps หรือการเร่งพัฒนาให้มีประสิทธิภาพ มักเป็นเรื่องท้าทายที่ต้องใช้เวลาและทรัพยากรไปกับการ “งมเอง” ลองผิดลองถูก เพื่อให้สอดคล้องกับมาตรฐานความปลอดภัยที่เข้มงวดและลดความเสี่ยงจากการโจมตีไซเบอร์  DevSecOps Workshop นี้ถูกออกแบบมาเพื่อแก้ไขปัญหาเหล่านั้นโดยเฉพาะ ด้วยการนำทีมของคุณ ลงมือทำจริงทุกกระบวนการ พร้อมรับประสบการณ์และแนวทางปฏิบัติที่ดีที่สุด (Best …

ไทยประกาศแลนด์มาร์คด้าน AI ด้วย “Bangkok AI Week 2025”23-27 มิ.ย. นี้ ทั่วกรุงเทพฯ เต็มอิ่มกับกิจกรรมจุดประกายอนาคต AI อย่างมีจริยธรรม

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม โดยสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ ETDA (เอ็ตด้า) เตรียมจัดงาน Bangkok AI Week 2025 มหกรรมระดับชาติด้านปัญญาประดิษฐ์ (AI) ครั้งยิ่งใหญ่ของไทย ระหว่างวันที่ 23 – 27 มิถุนายน 2568 …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand