Keamanan Rantai Pasokan Perangkat Lunak Beralih ke Mitigasi Risiko – 2021 adalah tahun yang liar bagi keamanan siber, yang tak terlupakan karena banyak pelanggaran data, termasuk pemadaman penyedia cloud, serangan ransomware, dan kompromi rantai pasokan perangkat lunak.
Keamanan Rantai Pasokan Perangkat Lunak Beralih ke Mitigasi Risiko
Baca Juga : Open Source Security Foundation Mengumpulkan $10 Juta dalam Komitmen Baru
opensecurityfoundation – Rantai pasokan perangkat lunak telah menjadi perhatian penting karena ledakan pertumbuhan penggunaan perangkat lunak sumber terbuka dan dampak cascading insiden rantai pasokan perangkat lunak, baik dari perangkat lunak sumber terbuka atau perangkat lunak berpemilik vendor.
Kompromi SolarWinds dan kepanikan Log4j, dua insiden rantai pasokan perangkat lunak profil tinggi, menjadi berita utama paling banyak saat organisasi yang terkait dengan serangan ini bergegas untuk mengatasi dampaknya.
Serangan pada rantai pasokan perangkat lunak terus datang. Dalam laporannya “2021 State of the Software Supply Chain”, penyedia keamanan Sonatype mencatat 12.000 insiden tahun lalu, meningkat 650 persen dibandingkan tahun sebelumnya. Terlepas dari lonjakan ini, kompromi rantai pasokan bukanlah hal baru: Cloud Native Computing Foundation telah mendokumentasikan gudang serangan rantai pasokan yang terkenal sejak tahun 2003.
Serangan rantai pasokan tidak terbatas pada sektor swasta. Mereka juga mempengaruhi sektor publik dan lembaga federal, termasuk Departemen Pertahanan dan mitra industrinya, yang merupakan konsumen terbesar perangkat lunak berpemilik dan sumber terbuka.
Organisasi yang tak terhitung jumlahnya — termasuk di komunitas federal — terus mengadopsi perangkat lunak sumber terbuka untuk banyak sekali manfaatnya, seperti mempercepat jadwal, menyediakan kode yang tersedia, meningkatkan fungsionalitas, dan menawarkan transparansi.
Sonatype dalam laporan tersebut mencatat pertumbuhan 73 persen tahun-ke-tahun dalam unduhan pengembangan komponen sumber terbuka. Sayangnya, pengembang open source mungkin tidak mendedikasikan cukup waktu untuk mengamankan kode mereka. Menurut “Laporan Survei Kontributor FOSS 2020” dari Linux Foundation, jumlah rata-rata waktu yang dihabiskan pengembang open source untuk mengamankan kode kurang dari 3 persen.
Manfaat adopsi perangkat lunak open source datang dengan risiko. Tidak ada yang lebih jelas daripada insiden keamanan Log4j, yang mencakup identifikasi kerentanan di Log4j, kerangka kerja logging Apache sumber terbuka. Insiden tersebut membuat ribuan organisasi di seluruh dunia, termasuk banyak agen federal di Amerika Serikat, berebut untuk menentukan apakah mereka secara langsung menggunakan versi Log4j yang rentan dan apakah perangkat lunak vendor yang mereka konsumsi juga terpengaruh. Ketakutan yang terakhir disertai dengan rentetan nasihat vendor dan buletin.
Serangan siber SolarWinds menyoroti potensi pelaku jahat untuk mengkompromikan lingkungan pembuatan vendor dan memasukkan perangkat lunak berbahaya yang kemudian dapat didistribusikan secara luas di seluruh ekosistem.
Pada akhir tahun 2020, saat dampak dari serangan siber SolarWinds meningkat, Badan Keamanan Infrastruktur dan Keamanan Siber merilis serangkaian arahan darurat yang mendokumentasikan mitigasi yang harus diambil oleh agen federal untuk menghindari eksploitasi sistem mereka menggunakan SolarWinds.
Berdasarkan insiden ini dan lainnya, perintah eksekutif keamanan siber menyoroti perlunya panduan seputar validasi lingkungan dan praktik pengembangan perangkat lunak yang aman dari vendor, serta instruksi untuk memantau dan melaporkan insiden keamanan siber.
Badan Keamanan Cybersecurity dan Infrastruktur juga membuat halaman khusus dalam arahan daruratnya untuk panduan kerentanan Log4j. Panduan CISA diterapkan pada kedua vendor yang menggunakan komponen dalam perangkat lunak mereka dan organisasi yang terpengaruh yang menggunakannya secara internal atau melalui konsumsi perangkat lunak vendor.
Peristiwa ini juga menyoroti kenyataan yang mengkhawatirkan: sebagian besar organisasi tidak memiliki metode yang efektif untuk mengidentifikasi perangkat lunak dan komponen terkait yang mereka gunakan.
Cloud Threat Research Group Palo Alto juga merilis penelitian yang menyoroti masalah rantai pasokan perangkat lunak, mencatat bahwa kelemahan rantai pasokan sulit dideteksi dan bahwa biaya pihak ketiga menimbulkan risiko tersembunyi. Ini menunjukkan beberapa serangan rantai pasokan perangkat lunak yang relevan. Laporannya memaparkan bagaimana penyerang meracuni saluran pipa integrasi berkelanjutan dan menyebabkan dampak berjenjang pada konsumen perangkat lunak hilir.
Ini juga menyoroti kekhawatiran yang terkait dengan infrastruktur-sebagai-kode dan template container, yang semakin banyak digunakan oleh organisasi dalam mendukung dorongan untuk adopsi cloud dan inisiatif transformasi digital.
Rantai pasokan perangkat lunak, baik dari perspektif berpemilik dan sumber terbuka, rapuh dan membutuhkan lebih banyak keamanan, namun sebagian besar organisasi tidak yakin harus mulai dari mana.
Untungnya, organisasi publik dan swasta merilis pedoman dan praktik terbaik yang dapat dimanfaatkan perusahaan untuk meningkatkan kebersihan keamanan rantai pasokan perangkat lunak mereka dan mengurangi risiko bagi organisasi dan pelanggan mereka.
Institut Nasional Standar dan Teknologi, misalnya, merilis Cybersecurity Supply Chain Risk Management Practices, atau 800-161, sebuah kerangka kerja untuk mengevaluasi keamanan rantai pasokan. Itu diperbarui pada bulan Oktober dalam bentuk draf dan sekarang sedang menjalani tinjauan komentar.
Lampiran F dari dokumen ini secara khusus menanggapi perintah eksekutif keamanan siber dan berupaya memberikan panduan untuk meningkatkan keamanan rantai pasokan perangkat lunak.
NIST merekomendasikan agar lembaga federal — dan juga sektor swasta — menggabungkan praktik C-SCRM ke dalam aktivitas utama seperti manajemen dan akuisisi risiko di seluruh perusahaan. NIST juga mendefinisikan “perangkat lunak kritis” dan menyediakan langkah-langkah keamanan terkait. Dokumen tersebut menawarkan panduan untuk verifikasi perangkat lunak untuk membantu pengembang menyediakan produk dan layanan yang aman untuk organisasi dalam pemerintah federal.
Rekomendasi ini membahas aktivitas penting seperti pemodelan ancaman, pemindaian aplikasi statis dan dinamis, dan identifikasi rahasia yang dikodekan secara keras, yang semuanya dapat menemukan kerentanan dan risiko yang dapat berdampak pada konsumen perangkat lunak.
Umumnya, pedoman NIST merekomendasikan bahwa agen federal memastikan praktik ini dilakukan oleh pemasok perangkat lunak mereka. Itu akan mencakup memasukkan persyaratan ini ke dalam bahasa akuisisi di masa mendatang.
Rekomendasi 800-161 juga membawa bahasa yang terkait dengan konsep rantai pasokan perangkat lunak yang muncul, terutama konsep “tagihan bahan perangkat lunak” yang sering dibicarakan, yang bertindak sebagai metode peningkatan transparansi dan sumber untuk membantu organisasi mengidentifikasi perangkat lunak apa yang mereka konsumsi , jika ada dan, berpotensi, kerentanan yang terkait dengannya. Rekomendasi ini telah diperjuangkan oleh Administrasi Telekomunikasi dan Informasi Nasional dan CISA, masing-masing merilis praktik terbaik. Pikirkan kembali kerentanan Log4j. Inventaris aset perangkat lunak yang buruk berarti banyak organisasi dibiarkan berebut bahkan untuk mengidentifikasi apakah mereka terkena dampaknya.
Mengalihkan perhatian ke perangkat lunak sumber terbuka, 800-161 mencakup bagian yang didedikasikan untuk kontrol perangkat lunak sumber terbuka, dengan memperhatikan berbagai tingkat kematangan seperti “dasar, penopang, dan peningkatan”. Ini mencakup berbagai masalah, mulai dari kontrol seperti analisis komposisi perangkat lunak hingga analisis komposisi perangkat lunak biner hingga menyiapkan repositori terpusat dari komponen sumber terbuka yang telah dikatalogkan dan disetujui untuk penggunaan organisasi.
Di sisi industri, buku putih Cloud Native Computing Foundation, “Praktik Terbaik untuk Keamanan Rantai Pasokan,” menguraikan empat prinsip untuk keamanan rantai pasokan: kepercayaan, otomatisasi, kejelasan, dan autentikasi bersama. Masing-masing kategori ini sangat penting di setiap langkah ekosistem rantai pasokan untuk memastikan rantai pasokan perangkat lunak yang tangguh dan mengurangi banyak insiden yang telah kita lihat.
Apa yang membuat panduan itu unik adalah perbedaan yang dibuatnya di antara persyaratan jaminan. Ini mencatat bahwa tidak semua perangkat lunak dan perusahaan berbagi persyaratan keamanan dan toleransi risiko yang sama, dan ini mengidentifikasi produk/lingkungan dengan jaminan rendah, sedang, dan tinggi. Seperti panduan NIST, buku putih mengakui bahwa praktik terbaik membawa keputusan dan aktivitas yang berbeda tergantung pada apakah pengguna adalah produsen perangkat lunak atau konsumen.
Praktik-praktik ini membantu produsen memastikan bahwa mereka menyediakan produk yang sesuai dengan kebutuhan pelanggan mereka. Dan mereka membantu konsumen perangkat lunak memastikan vendor menawarkan perangkat lunak yang sesuai dengan toleransi risiko mereka. Meskipun panduan Cloud Native Computing Foundation memberikan tindakan spesifik pada berbagai tahap rantai pasokan perangkat lunak, panduan ini memiliki beberapa tumpang tindih dengan panduan NIST, seperti meminta tagihan materi perangkat lunak dari pemasok pihak ketiga, menggunakan repositori tepercaya, dan melakukan penilaian kontrol keamanan pada perangkat lunak yang dicerna.
Jadi apa selanjutnya?
Masalah rantai pasokan perangkat lunak akan tetap ada. Organisasi menyadari betapa rapuhnya praktik keamanan rantai pasokan perangkat lunak mereka; dan aktor jahat mengambil keuntungan dari kenyataan ini.
Pemerintah federal dan komunitas pertahanan telah membuat pernyataan jelas yang menyoroti betapa pentingnya perangkat lunak bagi keamanan nasional dan daya saing internasional.
Perangkat lunak membawa inovasi dan janji, tetapi ia datang dengan sejumlah besar bahaya yang relevan, terutama ketika praktik dan proses keamanan mendasar tidak diterapkan di seluruh rantai pasokan perangkat lunak.
Ini adalah kenyataan bagi produsen dan konsumen perangkat lunak di semua industri dan vertikal. Penerapan praktik rantai pasokan perangkat lunak yang aman di seluruh industri bukanlah hal yang mudah. Namun, panduan baru dari NIST, Cloud Native Computing Foundation, dan pengamat keamanan lainnya merupakan langkah besar menuju apa yang seharusnya menjadi keharusan strategis bagi keamanan nasional kita dan untuk masyarakat yang berfungsi dengan baik di dunia digital saat ini.
