home Tecnologia de manufatura Equipamentos de Fabricação
Manufaturação industrial
Internet das coisas industrial | Materiais industriais | Manutenção e reparo de equipamentos | Programação industrial |
home  MfgRobots >> Manufaturação industrial >  >> Manufacturing Technology >> Tecnologia industrial

Três etapas para proteger as cadeias de suprimentos de software


O código de computador é a base de cada peça de tecnologia, de smartphones a robôs e as redes que os conectam. No mundo digital de hoje, isso também torna o código parte da base de muitas - senão da maioria - empresas e serviços.

Os hackers reconhecem esse fato e o aproveitam. Um exemplo recente de alto perfil é o ataque ao FireEye que usou várias atualizações trojanizadas para o software SolarWinds. Visando os provedores de software, os hackers conseguiram instalar backdoors em empresas que, por sua vez, permitiram que eles alcançassem seus alvos pretendidos:as agências governamentais que recebiam serviços dessas empresas.

Esse método de ataque também alavanca a confiança. Empresas, governos e outros clientes presumem que, se uma atualização de software ou firmware vier do fornecedor, é seguro instalar. Alguns confiarão, mas verificarão; eles verificam o site do fornecedor para obter o valor de hash da atualização e, em seguida, comparam com o download. Se eles corresponderem, eles assumem que está livre de vulnerabilidades.

Essa confiança cria oportunidades para agentes mal-intencionados que são capazes de manipular o código-fonte durante o processo de desenvolvimento. Como resultado, os usuários sem querer baixam um exploit, que muitas vezes fica em silêncio por semanas ou meses enquanto se espalha por uma organização para, em última análise, atacar uma lista de parceiros, fornecedores ou clientes. Como as organizações podem se proteger?

Mantenha os atores mal-intencionados. Um programa de gerenciamento de risco da cadeia de suprimentos (SCRM) é fundamental para mitigar ameaças e vulnerabilidades inerentes à adoção e integração de produtos e serviços de terceiros. Abrange pessoas, processos e tecnologia e abrange vários departamentos, incluindo segurança, TI, recursos humanos (RH), compras e jurídico. É especialmente importante expandir o programa SCRM de uma empresa para o ciclo de vida de desenvolvimento de software (SDLC). No processo, o programa SCRM cria uma cultura de segurança em que todos são participantes e alinhados com o mesmo objetivo.

Dentro do SDLC, um programa SCRM se concentra nas pessoas que precisam tocar no código e recursos relacionados, como conjuntos de ferramentas. Compreensivelmente, esses funcionários devem ser examinados minuciosamente durante o processo de contratação, incluindo verificações de antecedentes para identificar quaisquer vínculos potenciais com atividades criminosas e / ou estados-nação.

As empresas que utilizam firmas de recrutamento precisam garantir que a firma entenda seus requisitos únicos e específicos. Por exemplo, as empresas devem saber quem são suas firmas de recrutamento e se elas estão presentes em países com histórico de crimes cibernéticos patrocinados pelo Estado. Quando as empresas estão lidando com informações proprietárias e confidenciais, elas não querem que os escritórios remotos das empresas forneçam currículos e candidatos que sejam potenciais fábricas de ameaças internas. Os invasores do estado-nação estão cada vez mais focados em colocar seu pessoal nas organizações visadas. Eles têm recursos financeiros para treinar pessoas, que demonstram habilidades de codificação cobiçadas e outras credenciais procuradas que elevam seus currículos ao topo da pilha. Isso é algo que as equipes de recursos humanos e os gerentes de contratação devem estar cientes.

É possível que alguns atores mal-intencionados escapem até mesmo dos processos de seleção e contratação mais cuidadosos. É por isso que é importante monitorar a atividade dos funcionários por meio de um programa de ameaças internas bem definido para identificar comportamentos incomuns e suspeitos, como escalonamento não autorizado de privilégios e acesso a sistemas, programas e aplicativos.

Um programa SCRM também deve identificar as pessoas que precisam tocar no código e recursos relacionados, como conjuntos de ferramentas, e então implementar proteções para manter tudo isso longe de todos. Uma vez que o código é licenciado, deve ser a única fonte para os desenvolvedores autorizados, o que significa que eles não podem trazer código adicional de fontes externas. Essencialmente, uma vez que o código já foi avaliado e controlado, as empresas não querem que os desenvolvedores busquem código de novas fontes que ainda não foram avaliadas quanto aos riscos de segurança. Essa prática recomendada atenua vulnerabilidades, como portas dos fundos enterradas em códigos não autorizados usados ​​inadvertidamente por desenvolvedores autorizados ou portais não documentados ocultos por usuários não autorizados.

Examine e controle. A tecnologia de controle rígido fornece outra camada de proteção. Por exemplo, mesmo quando os funcionários são transferidos dentro da organização, considere fornecer a eles um novo laptop com uma imagem criada especificamente para sua nova função e departamento. Além disso, desative qualquer acesso adquirido anteriormente que não seja mais necessário. Isso ajuda a garantir que os dados e o acesso permaneçam privilegiados.

O departamento de TI também deve recriar a imagem de computadores novos antes que eles sejam enviados aos desenvolvedores. Usando o estoque, a imagem fornecida pelo fornecedor pode criar portas traseiras se o sistema operacional e qualquer bloatware pré-instalado comprometer o código. Em vez disso, crie uma imagem reforçada personalizada para esses dispositivos.

Todos os novos tipos de hardware e software devem ser inicialmente colocados em sandbox por algum período de tempo. Isso dá ao departamento de TI tempo para examinar seu comportamento, como fazer chamadas não solicitadas para a Internet para tentar extrair dados. Ele também cria uma linha de base para ajudar a detectar mudanças repentinas no comportamento meses ou anos depois que podem indicar que eles foram comprometidos.

Crie uma cultura de segurança. Isso é muito a ser considerado, o que destaca por que o SCRM deve ser um esforço interorganizacional. Por exemplo, o departamento jurídico deve garantir que os contratos de fornecedores e parceiros contenham linguagem sobre auditorias para garantir que todos os requisitos sejam seguidos. Enquanto isso, o RH pode ajudar a desenvolver e aplicar regras para a seleção de candidatos.

A adesão de nível C e a liderança são essenciais para alcançar esse tipo de esforço de equipe e garantir que os recursos estejam disponíveis para implementar um programa de SCRM. Isso produz uma cultura de segurança que abrange toda a organização e transforma a segurança de uma reflexão tardia em uma parte fundamental do processo de desenvolvimento.

Michael Iwanoff é diretor de segurança da informação da iconectiv.

Tecnologia industrial

  • Processo de manufatura
  • impressao 3D
  • Sistema de controle de automação
  • Tecnologia industrial
    1. 5 maneiras de criar cadeias de suprimentos resilientes na manufatura
    2. Riscos de software:Protegendo código aberto em IoT
    3. Três estágios para superar a interrupção da cadeia de suprimentos
    4. Quatro etapas para enfrentar a sustentabilidade da cadeia de suprimentos
    5. Três maneiras que a IoT pode otimizar cadeias de suprimentos sazonais
    6. A Amazonificação das Cadeias de Abastecimento
    7. AI pode ajudar a tornar as cadeias de suprimentos sustentáveis ​​
    8. Três etapas para gerenciar risco de fornecedor e força maior
    9. Três maneiras de adaptar cadeias de suprimentos na era de COVID-19
    10. O fim das cadeias de suprimentos de fonte única