פלטפורמת טיפול אקטיבי בחשיפות ואיומי סייבר בשרשרת האספקה בפיתוח תוכנה
Secure The App!
Eliminate the Friction
עולם הסייבר בקוד הפתוח "חוגג" והוא עצום ומסוכן. במיוחד כשהוא נוגע לשרשרת האספקה: כלומר גורם המספק אפליקציה שנעשה בה שימוש ע"י גורם אחר: לקוח, ספק, שותף וכו'.
ריבוי התקפות שרשרת האספקה בשנים האחרונות מגיע על רקע צמיחה מתמדת במספר החבילות הזדוניות שזוהו בפלטפורמות פופולריות בקוד פתוח כמו npm ו-PyPI. קיימת עליה של עשרות אחוזים חבילות זדוניות הפזורות על פני מאגרי הקוד פתוח משנה לשנה ב-5 שנים האחרונות. הצמיחה הזו היא העדות האחרונה לפיצוץ רב-שנתי באיומים מבוססי תוכנה העומדים בפני ארגוני פיתוח. למעשה, קיימת עלייה של יותר מ-1,300% באיומים המופצים דרך מאגרי חבילות קוד פתוח בין 2020 ל-2023. מתוכם למשל, עלייה של 400% באיומים שנמצאו בפלטפורמת PyPI ב- 2023 לבד. המחקר מגלה גם כי יותר מ-7,000 מקרים של חבילות PyPI זדוניות בתשעת החודשים הראשונים של 2023, רובם המכריע סווגו כגנבי מידע.
התחזית קדימה קודרת באבטחת קוד פתוח:
אף אחד לא רוצה להיתפס לא מוכן...
בשנים הקרובות, איומים והתקפות המכוונים לקוד קנייני, צד שלישי וקוד פתוח ימשיכו לגדול, גם ככל שהשיטות וההעדפות של גורמים זדוניים בשרשרת האספקה יתפתחו. במהלך שנת 2023 נצפו שינויים בסוגי תוכנות זדוניות שהתגלו במנהלי חבילות קוד פתוח פופולריים.
הרגולציה בארה"ב מיהרה להכנס פנימה
קל יותר לחזות את האפקט שנוצר מההתפתחויות כמו פריצות לשרשרת האספקה ביישום MOVEIt להעברת קבצים מאובטח של Progress Software והתביעה של ה-SEC נגד SolarWinds. ההתקפות על MOVEit הביאו לחשיפת מידע אישי על כ-62 מיליון איש וכללו הפרות הנוגעות לעשרות סוכנויות פדרליות. מקרים אלו הם בגדר קריאת השכמה לחברות ציבוריות המייצרות ומפיצות טכנולוגיה.
אחת הדרכים היעילות להתמודד עם הזיהוי של המקרים מגיע מחברה ישראלית חדשנית בשם OX Security אשר פיתחה סטנדרט פיתוח לקוד פתוח (Open Framework) המטפל בתופעה והוא עונה לשם: "הפניה לתקיפה בשרשרת האספקה בקוד פתוח" או באנגלית Open Software Supply Chain Reference (OSC&R).
מדובר במסגרת מקיפה שנועדה לזהות, למנוע ולהפחית התקפות שרשרת אספקה בפיתוח והפצת תוכנה. הוא כולל אסטרטגיות שונות, הנחיות ושיטות עבודה מומלצות, המהווים יחד אסמכתא להגנה על שרשרת אספקת התוכנה מפני פעילויות זדוניות.
מדוע חשוב להשתמש ב-OSC&R?
הגישה המובנית של OSC&R מסייעת לחיזוק ההתמודות עם חשיפות האבטחה על פני הספקטרום הרב-גוני של שרשרת אספקת התוכנה. גישה זו כרוכה בזיהוי שיטתי ובהמשך הפחתת נקודות תורפה שעלולות להרים את ראשם בשלבים שונים של שלבי הפיתוח מתחילתו ועד לשלב שבו משתמש עושה בה שימוש. על ידי טיפול מדוקדק בפגיעויות אלו, OSC&R מספק מנגנון הגנה גמיש, המחזק את תשתית האבטחה הכוללת. OSC&R יכול גם להפחית סיכונים וגם לשפר את הציות לרגולציה.
אימוץ תפיסת OSC&R תורם בנושאים הבאים:
שיטות עבודה מומלצות
שילוב שיטות עבודה מומלצות בתעשייה כדי להגן מפני וקטורי תקיפה נפוצים של שרשרת האספקה
אסטרטגיות להפחתת סיכונים
יישום אמצעים לטיפול בנקודות תורפה ואיומים שזוהו ביעילות
הערכת איומים
זיהוי איומים ופגיעות פוטנציאליים בשרשרת האספקה של התוכנה
ניטור ותגובה לאירועים
הגדרת מנגנונים לניטור רציף של שרשרת אספקת התוכנה ולהגיב במהירות לחריגות או התקפות שזוהו
ניטור ותגובה לאירועים
הגדרת מנגנונים לניטור רציף של שרשרת אספקת התוכנה ולהגיב במהירות לחריגות או התקפות שזוהו
מסגרות שיתוף פעולה
קביעת קווים מנחים לשיתוף פעולה בין בעלי עניין כדי להבטיח אבטחה מקצה לקצה
אלו סוגי ארגונים רלוונטיים לאימוץ OSC&R
חברות פיתוח תוכנה:
אלו מתאימים לאימוץ יישום OSC&R כדי להבטיח את שלמות המוצר שלהם ולהגן על לקוחותיהם מפני התקפות פוטנציאליות של שרשרת האספקה.
מערכות מידע בארגונים:
אלו מתאימים להשתמש ב-OSC&R לצורך אבטחת יישומי תוכנה פנימיים, שמירה על נתונים רגישים ומערכות קריטיות.
ספקי צד שלישי:
חברות המסתמכות על תוכנות צד שלישי מתאימות למנף את OSC&R כדי להעריך ולאמת את האבטחה של רכיבי התוכנה שהן משלבות במוצרים שלהן.
OX Security מובילה את המאמץ לבנות את המסגרת הפתוחה הראשונה של OSC&R. היא משמשת את צוותי אבטחת המידע כדי להעריך הגנות קיימות, כלים נוכחיים ולהעריך את הכיסוי הניתן לטכניקות התקפה מסוימות. הם משתמשים ב-OSC&R כדי להגדיר אילו איומים יש לתעדף וכיצד הכיסוי הקיים שלהם מתייחס לאיומים הללו, כמו גם כדי לסייע במעקב אחר התנהגויות של קבוצות תוקפים.
תקן הסטנדרט בניהול שרשרת האספקה נוצר בשיתוף פלטפורמות תומכות כמו צ'ק פוינט, Fortinet, GitLab, Google, Microsoft, OWASP ואחרים.
אינטגרציה קלה מקצה לקצה
האיכות שבפשטות
תעדוף – פתרו תחילה את הבעיות המסוכנות ביותר
• תקנו את הסיכונים בהתבסס על תעדוף והקשר עסקי
• חסמו אוטומטית פגיעויות שהוכנסו לצינור הפיתוח שלכם
• זהו מיד את "האדם הנכון" לנקוט פעולה בכל חשיפה ביטחונית
מיכון – מכנו ושפרו את אבטחת תהליכי ה-CI/CD
• הבטיחו את האבטחה והשלמות של כל רכיבי הענן המשרתים אתכם
• בצעו ניתוח פערי אבטחה וזיהוי נקודות עיוורות
• גלו ומפו אוטומטית את האפליקציות
אוטומציה של תהליכי עבודה
צמצום פערי אבטחה וחסמו אוטומטית פגיעויות המוכנסות לצינור, מה שהופך את האבטחה לחלק בלתי נפרד מתהליך הפיתוח במקום מחשבה שלאחר מכן.
שילוב קל לנראות ואבטחה מקצה לקצה
שילוב קל והפעלת כלי אבטחה בקוד פתוח וכלי אבטחה מסחריים מספקים תצוגה אחת ומקיפה של שרשרת אספקת התוכנה בתוך דקות
גילוי ומעקב אבטחה מקצה לקצה ממקום אחד
• נראות מלאה ויכולת עקיבות מקצה לקצה על אבטחת צנרת התוכנה שלכם מהענן לקוד
• נהלו ממצאים, תזמרו פעילויות DevSecOps, מנעו סיכונים ושימרו על שלמות ממיקום אחד
אבטחה – סגרו פערים באבטחה באמצעות כלי עבודה וכיסוי
• הימנע מסיכוני אבטחה ידועים כמו Log4J, Solarwinds ו-Codecov
• מנעו סוגי תקיפות חדשים המבוססים על מחקר קנייני ומידע איומים
• השתמשו בזיהוי חריגות דוגמת GitBleed
נראות מקצה לקצה ועקיבות
נראות מלאה ועקיבות מקצה לקצה של שרשרת אספקת התוכנה שלכם מהשורה הראשונה של הקוד ועד לייצור
עמידה בסטנדרטים ותאימות
OX תומך בלמעלה מ-35 מסגרות תאימות מובנות, כגון: NIST, SOC2 ,GDPR המאפשרות לצוותי תאימות לפקח באופן רציף על תאימות, לדווח עליהן ולשפר אותן בכל הארגון
אינטגרציה קלה מקצה לקצה
השאירו פרטים ונחזור אליכם:
*פניות רלוונטיות יענו. פתרונות החברה מיועדים לארגונים עם 100 משתמשים ומעלה.