4 แนวทางสำหรับการรักษาความมั่นคงปลอดภัยให้ Software Supply Chain

การโจมตีในบริษัทหนึ่งอาจไม่ได้ยุติลงที่ธุรกิจน้้นๆ แต่ในกรณีที่ผลผลิตของธุรกิจถูกนำไปใช้ต่อ ผลกระทบจะยิ่งขยายวงกว้างออกไป อย่างธุรกิจในประเภท B2B ยกตัวอย่างที่เห็นได้ชัดอย่างกรณีของ SolarWinds, Equifax และ MOVEit ที่ธุรกิจที่ใช้บริการจากผู้ให้บริการเหล่านี้ต่างเดือดร้อนไปด้วย โดย IBM ได้แนะนำถึง 4 แนวทางเพื่อรักษาความมั่นคงปลอดภัยให้ซอฟต์แวร์

1.) ความมั่นคงปลอดภัยเริ่มต้นตั้งแต่การออกแบบ

การตามแก้ไขความล้มเหลวอาจจะมีต้นทุนมากกว่าการทำอะไรให้ดีตั้งแต่แรก โดยเทคนิคคือเรื่องของความมั่นคงปลอดภัยต้องเป็นความต้องการเชิงเทคนิค(requirement) มากกว่าการอ้างว่าเป็นมาตรฐานที่ควรทำ ซึ่งต้องเกิดขึ้นตั้งแต่การออกแบบ การมีลิสต์เป้าปฏิบัติที่ต้องทำให้ได้ เช่น ต้องมีการใช้ MFA, ลดการมี Default Password และรายงานเรื่องช่องโหว่อย่างตรงไปตรงมา

2.) Software bill of materials (SBOMs)

เป็นการดูแลคลังส่วนประกอบของซอฟต์แวร์ว่ามีส่วนใดเกี่ยวข้อง เช่น โอเพ่นเซอร์ส ซอฟต์แวร์ 3rd Party สถานะแพตช์ และ License โดยเป็นสิ่งที่ CISA แนะนำให้ทำแถมยังมีการสนับสนุนหลายอย่าง แน่นอนว่า SBOMs จะช่วยให้องค์กรรู้ถึงความเสี่ยงว่าเป็นอย่างไร พร้อมตัดสินใจได้ดีขึ้น

3.) Supply-chain levels for software artifacts (SLSA) frameworks

SLSA เป็นกรอบปฏิบัติด้านความมั่นคงปลอดภัยโดยการรักษาความถูกต้อง(Integrity) ของส่วนซอฟต์แวร์ต่างๆ ไม่ให้ถูกแก้ไขเปลี่ยนแปลง ซึ่งกรอบปฏิบัตินี้เยเป็นพื้นฐานของบริษัทซอฟต์แวร์แนวหน้าอย่าง Google ในการนำซอฟต์แวร์เข้าสู่การใช้จริง อีกทั้งยังส่งเสริมให้เกิดวิถีด้านความมั่นคงปลอดภัยที่ดีในห่วงโซ่อุปทาน

4.) Governance, risk and compliance (GRC) management

องค์กรควรมีการจัดการความเสี่ยงและทำให้มั่นใจว่าซอฟต์แวร์ของตนจะบรรจบกับข้อกำหนด ระเบียบข้อบังคับ และมาตรฐานด้านความมั่นคงปลอดภัย โดยกิจกรรมที่เป็นไฮไลต์สำคัญในหัวข้อนี้ก็คือ

  • ระบุความเสี่ยงทั้งหมดในห่วงโซ่อุปทานซอฟต์แวร์ให้ได้
  • จัดการความเสี่ยงของ Vendor และประเมินความมั่นคงปลอดภยของซอฟต์แวร์จากภายนอกก่อนนำเข้ามาใช้ในซอฟต์แวร์องค์กร
  • ทำให้รองรับตามระเบียบข้อบังคับของอุตสาหกรรมและมาตรฐานกำกับดูแล
  • บังคับใช้ Policy ให้ครอบคลุมกับวงจรการพัฒนาซอฟต์แวร์
  • วางแผนด้าน Incident Response หากเกิดเหตุทางไซเบอร์ในห่วงโซ่อุปทานซอฟต์แวร์ เช่น เกิดเหตุซอฟต์แวร์ที่เรานำมาใช้ถูกแทรกแซง เป็นต้น

ที่มา : https://securityintelligence.com/articles/4-trends-in-software-supply-chain-security/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …