4 แนวทางสำหรับการรักษาความมั่นคงปลอดภัยให้ Software Supply Chain

การโจมตีในบริษัทหนึ่งอาจไม่ได้ยุติลงที่ธุรกิจน้้นๆ แต่ในกรณีที่ผลผลิตของธุรกิจถูกนำไปใช้ต่อ ผลกระทบจะยิ่งขยายวงกว้างออกไป อย่างธุรกิจในประเภท B2B ยกตัวอย่างที่เห็นได้ชัดอย่างกรณีของ SolarWinds, Equifax และ MOVEit ที่ธุรกิจที่ใช้บริการจากผู้ให้บริการเหล่านี้ต่างเดือดร้อนไปด้วย โดย IBM ได้แนะนำถึง 4 แนวทางเพื่อรักษาความมั่นคงปลอดภัยให้ซอฟต์แวร์

1.) ความมั่นคงปลอดภัยเริ่มต้นตั้งแต่การออกแบบ

การตามแก้ไขความล้มเหลวอาจจะมีต้นทุนมากกว่าการทำอะไรให้ดีตั้งแต่แรก โดยเทคนิคคือเรื่องของความมั่นคงปลอดภัยต้องเป็นความต้องการเชิงเทคนิค(requirement) มากกว่าการอ้างว่าเป็นมาตรฐานที่ควรทำ ซึ่งต้องเกิดขึ้นตั้งแต่การออกแบบ การมีลิสต์เป้าปฏิบัติที่ต้องทำให้ได้ เช่น ต้องมีการใช้ MFA, ลดการมี Default Password และรายงานเรื่องช่องโหว่อย่างตรงไปตรงมา

2.) Software bill of materials (SBOMs)

เป็นการดูแลคลังส่วนประกอบของซอฟต์แวร์ว่ามีส่วนใดเกี่ยวข้อง เช่น โอเพ่นเซอร์ส ซอฟต์แวร์ 3rd Party สถานะแพตช์ และ License โดยเป็นสิ่งที่ CISA แนะนำให้ทำแถมยังมีการสนับสนุนหลายอย่าง แน่นอนว่า SBOMs จะช่วยให้องค์กรรู้ถึงความเสี่ยงว่าเป็นอย่างไร พร้อมตัดสินใจได้ดีขึ้น

3.) Supply-chain levels for software artifacts (SLSA) frameworks

SLSA เป็นกรอบปฏิบัติด้านความมั่นคงปลอดภัยโดยการรักษาความถูกต้อง(Integrity) ของส่วนซอฟต์แวร์ต่างๆ ไม่ให้ถูกแก้ไขเปลี่ยนแปลง ซึ่งกรอบปฏิบัตินี้เยเป็นพื้นฐานของบริษัทซอฟต์แวร์แนวหน้าอย่าง Google ในการนำซอฟต์แวร์เข้าสู่การใช้จริง อีกทั้งยังส่งเสริมให้เกิดวิถีด้านความมั่นคงปลอดภัยที่ดีในห่วงโซ่อุปทาน

4.) Governance, risk and compliance (GRC) management

องค์กรควรมีการจัดการความเสี่ยงและทำให้มั่นใจว่าซอฟต์แวร์ของตนจะบรรจบกับข้อกำหนด ระเบียบข้อบังคับ และมาตรฐานด้านความมั่นคงปลอดภัย โดยกิจกรรมที่เป็นไฮไลต์สำคัญในหัวข้อนี้ก็คือ

  • ระบุความเสี่ยงทั้งหมดในห่วงโซ่อุปทานซอฟต์แวร์ให้ได้
  • จัดการความเสี่ยงของ Vendor และประเมินความมั่นคงปลอดภยของซอฟต์แวร์จากภายนอกก่อนนำเข้ามาใช้ในซอฟต์แวร์องค์กร
  • ทำให้รองรับตามระเบียบข้อบังคับของอุตสาหกรรมและมาตรฐานกำกับดูแล
  • บังคับใช้ Policy ให้ครอบคลุมกับวงจรการพัฒนาซอฟต์แวร์
  • วางแผนด้าน Incident Response หากเกิดเหตุทางไซเบอร์ในห่วงโซ่อุปทานซอฟต์แวร์ เช่น เกิดเหตุซอฟต์แวร์ที่เรานำมาใช้ถูกแทรกแซง เป็นต้น

ที่มา : https://securityintelligence.com/articles/4-trends-in-software-supply-chain-security/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Goldman Sachs คาดการณ์การใช้พลังงานของศูนย์ข้อมูลจะเพิ่มขึ้นกว่า 2 เท่าภายในปี 2030 เหตุจาก AI

การแข่งขันด้าน AI ส่งผลให้ความต้องการใช้พลังงานในศูนย์ข้อมูลทั่วโลกพุ่งสูงขึ้นอย่างมาก โดย Goldman Sachs คาดว่าจะเพิ่มขึ้นจาก 55 GW เป็น 122 GW ภายในปี 2030

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์