4 แนวทางสำหรับการรักษาความมั่นคงปลอดภัยให้ Software Supply Chain

January 29, 2025 Application Security, Cybersecurity, IT Knowledge, IT Trends and Updates, Software Development & DevOps

การโจมตีในบริษัทหนึ่งอาจไม่ได้ยุติลงที่ธุรกิจน้้นๆ แต่ในกรณีที่ผลผลิตของธุรกิจถูกนำไปใช้ต่อ ผลกระทบจะยิ่งขยายวงกว้างออกไป อย่างธุรกิจในประเภท B2B ยกตัวอย่างที่เห็นได้ชัดอย่างกรณีของ SolarWinds, Equifax และ MOVEit ที่ธุรกิจที่ใช้บริการจากผู้ให้บริการเหล่านี้ต่างเดือดร้อนไปด้วย โดย IBM ได้แนะนำถึง 4 แนวทางเพื่อรักษาความมั่นคงปลอดภัยให้ซอฟต์แวร์

1.) ความมั่นคงปลอดภัยเริ่มต้นตั้งแต่การออกแบบ

การตามแก้ไขความล้มเหลวอาจจะมีต้นทุนมากกว่าการทำอะไรให้ดีตั้งแต่แรก โดยเทคนิคคือเรื่องของความมั่นคงปลอดภัยต้องเป็นความต้องการเชิงเทคนิค(requirement) มากกว่าการอ้างว่าเป็นมาตรฐานที่ควรทำ ซึ่งต้องเกิดขึ้นตั้งแต่การออกแบบ การมีลิสต์เป้าปฏิบัติที่ต้องทำให้ได้ เช่น ต้องมีการใช้ MFA, ลดการมี Default Password และรายงานเรื่องช่องโหว่อย่างตรงไปตรงมา

2.) Software bill of materials (SBOMs)

เป็นการดูแลคลังส่วนประกอบของซอฟต์แวร์ว่ามีส่วนใดเกี่ยวข้อง เช่น โอเพ่นเซอร์ส ซอฟต์แวร์ 3rd Party สถานะแพตช์ และ License โดยเป็นสิ่งที่ CISA แนะนำให้ทำแถมยังมีการสนับสนุนหลายอย่าง แน่นอนว่า SBOMs จะช่วยให้องค์กรรู้ถึงความเสี่ยงว่าเป็นอย่างไร พร้อมตัดสินใจได้ดีขึ้น

3.) Supply-chain levels for software artifacts (SLSA) frameworks

SLSA เป็นกรอบปฏิบัติด้านความมั่นคงปลอดภัยโดยการรักษาความถูกต้อง(Integrity) ของส่วนซอฟต์แวร์ต่างๆ ไม่ให้ถูกแก้ไขเปลี่ยนแปลง ซึ่งกรอบปฏิบัตินี้เยเป็นพื้นฐานของบริษัทซอฟต์แวร์แนวหน้าอย่าง Google ในการนำซอฟต์แวร์เข้าสู่การใช้จริง อีกทั้งยังส่งเสริมให้เกิดวิถีด้านความมั่นคงปลอดภัยที่ดีในห่วงโซ่อุปทาน

4.) Governance, risk and compliance (GRC) management

องค์กรควรมีการจัดการความเสี่ยงและทำให้มั่นใจว่าซอฟต์แวร์ของตนจะบรรจบกับข้อกำหนด ระเบียบข้อบังคับ และมาตรฐานด้านความมั่นคงปลอดภัย โดยกิจกรรมที่เป็นไฮไลต์สำคัญในหัวข้อนี้ก็คือ

  • ระบุความเสี่ยงทั้งหมดในห่วงโซ่อุปทานซอฟต์แวร์ให้ได้
  • จัดการความเสี่ยงของ Vendor และประเมินความมั่นคงปลอดภยของซอฟต์แวร์จากภายนอกก่อนนำเข้ามาใช้ในซอฟต์แวร์องค์กร
  • ทำให้รองรับตามระเบียบข้อบังคับของอุตสาหกรรมและมาตรฐานกำกับดูแล
  • บังคับใช้ Policy ให้ครอบคลุมกับวงจรการพัฒนาซอฟต์แวร์
  • วางแผนด้าน Incident Response หากเกิดเหตุทางไซเบอร์ในห่วงโซ่อุปทานซอฟต์แวร์ เช่น เกิดเหตุซอฟต์แวร์ที่เรานำมาใช้ถูกแทรกแซง เป็นต้น

ที่มา : https://securityintelligence.com/articles/4-trends-in-software-supply-chain-security/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ข้อมูลลับองค์กรธุรกิจตกอยู่ในความเสี่ยง: แคสเปอร์สกี้รายงานการโจมตีด้วยสปายแวร์เพิ่มขึ้น 18% ในเอเชียตะวันออกเฉียงใต้ [PR]

การโจมตีด้วยสปายแวร์ที่เพิ่มขึ้นทำให้องค์กรธุรกิจในภูมิภาคเอเชียตะวันออกเฉียงใต้ตกอยู่ในความเสี่ยงมากขึ้น ตามรายงานของแคสเปอร์สกี้ บริษัทด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวทางดิจิทัลระดับโลก

Blitzy ระดมทุน 200 ล้านดอลลาร์ที่มูลค่า 1.4 พันล้านดอลลาร์ ช่วยองค์กรดีพลอยเอเจนต์เขียนโค้ดหลายพันตัวพร้อมกัน

Blitzy สตาร์ทอัพพัฒนาซอฟต์แวร์อัตโนมัติกล่าวว่า บริษัทได้ระดมทุนรอบใหม่มูลค่า 200 ล้านดอลลาร์ด้วยมูลค่ากิจการ 1.4 พันล้านดอลลาร์เพื่อขยายแพลตฟอร์มการเขียนโค้ดสำหรับองค์กร

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand