2022 akan menjadi tahun keamanan rantai pasokan yang diperluas — inilah alasannya

Bahkan setahun setelah infiltrasi SolarWinds pada akhir 2020, risiko rantai pasokan perangkat lunak terus mendominasi percakapan keamanan. Ambil kerentanan Log4Shell yang baru-baru ini terungkap dan membuat semua orang lengah. Tidak hanya kelemahan ini sangat mudah untuk dieksploitasi tetapi pustaka Log4j yang terpengaruh digunakan di hampir setiap instalasi Java perusahaan — dan kerentanan tersebut memberi penyerang kekuatan tertinggi untuk mengunduh, menghapus, menginstal, dan server-hop sesuka mereka. Karena bahkan perusahaan besar seperti Google, PayPal, Apple, dan Netflix dipengaruhi oleh kelemahan ini melalui rantai pasokan perangkat lunak, ini adalah satu lagi yang membuat organisasi bertanya-tanya: apakah kami juga menggunakannya?

Pada tahun 2022, para pemimpin TI akan mengintensifkan fokus rantai pasokan mereka untuk menjawab pertanyaan ini, memperluas pengawasan mereka dari aplikasi mereka sendiri ke komponen yang mereka beli dan integrasikan. Memperluas cakupan rantai pasokan sangat penting; perangkat lunak dan komponen luar memerlukan pemeriksaan dan keseimbangan seperti halnya kode yang dibuat secara internal. Pemahaman mendalam tentang risiko rantai pasokan ini akan meningkatkan tuntutan untuk menguji dan mengamankan semuanya, mulai dari paket sumber terbuka yang tampaknya paling tidak penting hingga API dan komponen pihak ketiga yang paling ekstensif.

Jika eksploitasi Log4Shell dan serangan SolarWinds mengajari kita sesuatu, risiko dalam rantai pasokan perangkat lunak tidak selalu jelas, membuat ancaman menjadi jauh lebih besar. Insiden-insiden ini memberi kami pukulan dan memaksa kami untuk menerima kenyataan bahwa setiap komponen, proses, dan manusia dapat merusak keamanan perangkat lunak, mengancam konsumen, bisnis, dan institusi publik.

LIHAT JUGA: Apa itu Log4Shell dan log4j dan haruskah Anda mengkhawatirkannya?

Ancaman tak terlihat yang bersembunyi di balik bayang-bayang keamanan perangkat lunak dapat menjadi kejutan yang tidak menyenangkan, terutama ketika organisasi tidak mengetahui cakupan penuh aset mereka, terbuat dari apa, dan tingkat keamanan (atau kekurangannya) yang diterapkan konfigurasi dan integrasi pihak ketiga. Ketika organisasi tidak memiliki kejelasan tentang semua yang mereka jalankan dan semua risiko keamanan yang mereka hadapi, mulai dari lingkungan aplikasi yang luas hingga beberapa tumpukan perangkat lunak dengan semua komponennya, rantai pasokan perangkat lunak menjadi risiko besar.

Saat kita melihat ke tahun 2022, sebuah pertanyaan serius muncul: jika Anda tidak tahu siapa yang menyimpan kode mereka di perangkat lunak Anda mulai dari pembuatan hingga penerapan dan pengelolaan, bagaimana Anda tahu bahwa itu benar-benar aman dari kerentanan ini dan kerentanan umum lainnya?

Pendapat saya mengapa 2022 tidak diragukan lagi akan menjadi tahun keamanan rantai pasokan:

Software Bill of Materials mendapat peningkatan level Gedung Putih

Meskipun bukan konsep baru, Software Bill of Materials (SBOM) adalah mekanisme yang kuat dan penting untuk kejelasan proses produksi dan penemuan masalah yang tidak terlihat di seluruh rantai pasokan. Di masa depan AppSec, SBOM diatur untuk memainkan peran penting dalam membantu mengamankan rantai pasokan perangkat lunak sehingga masalah keamanan lebih mudah ditemukan dan ditangani. Daftar bahan-bahan tersebut memastikan bahwa setiap orang mulai dari pengguna akhir hingga regulator dan pemangku kepentingan mengetahui apa yang telah dilakukan untuk menciptakan perangkat lunak yang mereka sentuh, dan membuatnya lebih mudah untuk bereaksi dengan cepat dan efektif ketika ancaman baru muncul.

SBOM sangat berguna ketika datang ke kode sumber terbuka dan perpustakaan pihak ketiga yang berasal dari sumber eksternal tetapi tertanam ke dalam aplikasi berpemilik. Biasanya dibuat melalui alat seperti Analisis Komposisi Perangkat Lunak (SCA), SBOM adalah kebutuhan setelah adopsi yang eksplosif dari sumber terbuka dan komponen pihak ketiga. Mereka tidak hanya membantu organisasi memahami postur risiko mereka, tetapi juga mengungkap komponen di perimeter dan meminimalkan ancaman penggunaan perangkat lunak yang diketahui memiliki kerentanan. Mereka sangat penting untuk memastikan bahwa organisasi dapat dengan mudah menunjukkan di mana pelanggaran mungkin terjadi, dan untuk meyakinkan pelanggan dan mitra bahwa komponen yang paling aman dan terbaru sedang digunakan.

Ini juga masalah keamanan nasional. Perintah Eksekutif Amerika Serikat Mei 2021 untuk Meningkatkan Keamanan Siber Negara menggarisbawahi perlunya SBOM dan mengarahkan Departemen Perdagangan untuk memberikan panduan umum untuk menyediakannya kepada pembeli. Tetapi di luar pembeli, EO mencatat bahwa SBOMS sangat penting untuk visibilitas ke pembaruan dan membangun rencana aksi seputar eksploitasi. “Pengembang sering menggunakan komponen perangkat lunak sumber terbuka dan pihak ketiga yang tersedia untuk membuat produk; SBOM memungkinkan pembuat memastikan komponen tersebut mutakhir dan merespons kerentanan baru dengan cepat,” kata EO.

Perintah Eksekutif juga menyatakan bahwa SBOM lebih berdampak ketika dikumpulkan dalam repositori yang mudah untuk ditanyakan dengan sistem lain sehingga menemukan risiko keamanan adalah proses yang lebih efisien. Semuanya terkait dengan kejelasan dan gambaran yang lebih besar dari aset Anda, mengetahui apa yang Anda miliki, dan membuat rencana pertempuran untuk mengamankan seluruh lanskap ancaman Anda. Mengendarai EO, SBOM menjanjikan untuk membuat dampak positif pada lanskap keamanan pada tahun 2022.

Hutang yang berlarut-larut menambah prasmanan cacat yang dapat dieksploitasi untuk aktor jahat

Dengan semangat yang sama seperti mendapatkan gambaran yang lebih lengkap tentang aset Anda dan komponen yang terhubung, menangani hutang keamanan Anda sangat penting. Hutang keamanan yang tersisa melayang di atas aset Anda dan menimbulkan bayang-bayang risiko yang tak terlihat dan mengintai. Utang ini dapat berasal dari berbagai tempat, apakah itu kesenjangan pengetahuan keamanan oleh tim DevOps yang berkontribusi terhadap ancaman yang ada, alat yang tidak memadai yang menyebabkan kesenjangan dalam cakupan, atau pengembang yang dipaksa untuk membuat keputusan sulit tentang langkah pengujian mana yang harus dikorbankan dalam perlombaan untuk pasar.

Penelitian kami sendiri tahun ini menemukan bahwa 70 persen tim selalu atau sering melewatkan langkah keamanan saat menyelesaikan proyek, hanya menambah hutang yang tersisa. Dan jika tidak terkendali, tumpukan utang keamanan dengan cepat menjadi gunung yang harus didaki; kami memperkirakan bahwa tim TI akan membutuhkan rata-rata 112 jam (dua minggu) per anggota tim untuk mengatasi tumpukan masalah keamanan mereka saat ini. Dan itu hanya jika mereka mengabaikan proyek dan tugas mereka yang lain untuk fokus pada utang.

Jika hutang keamanan seperti meninggalkan prasmanan untuk mengancam aktor dengan terus-menerus meningkatkan permukaan serangan Anda, mengapa begitu banyak organisasi berjuang untuk menjatuhkannya? Ini sering merupakan kasus “tidak terlihat, tidak terpikirkan” — dan SBOMS yang dikombinasikan dengan penemuan aset dapat membantu karena membawa lebih banyak kejelasan ke rantai pasokan dan lingkungan yang ada. Saat tim menjadi lebih pintar dalam melacak dan memantau semua komitmen dan dependensi di seluruh siklus pengembangan perangkat lunak mereka, menghilangkan titik masuk untuk pelaku ancaman akan menjadi tugas yang lebih mudah.

API web yang tidak patuh memperluas permukaan serangan dalam bayang-bayang

Web API memainkan peran penting dalam fungsionalitas dan inovasi, tetapi mereka juga datang dengan tantangan keamanan. Mereka menambahkan permukaan serangan yang sebagian besar tersembunyi ke dalam campuran, meningkatkan risiko bagi organisasi yang mengabaikan atau dengan sengaja mengabaikan sudut gelap keamanan aplikasi mereka. Apakah mereka menyusup melalui aplikasi internal Anda atau produk pihak ketiga, memiliki API yang tidak dikenal, tidak terdokumentasi, atau belum teruji di lingkungan aplikasi Anda sekarang menjadi kenyataan. Mudah ditambahkan tetapi sulit ditemukan dan diuji, titik akhir API dapat bersembunyi di bawah radar selama berbulan-bulan jika tidak bertahun-tahun, meningkatkan risiko sepanjang waktu jika dibiarkan tidak terkendali.

Diperkirakan oleh Gartner bahwa hampir semua (90 persen) aplikasi web akan segera memiliki lebih banyak permukaan serangan yang terbuka melalui API dibandingkan dengan antarmuka mereka, yang menekankan perlunya keamanan yang mencakup API yang terlihat dan tidak terlihat. Kesenjangan atau kesalahan dalam keamanan API telah muncul sebagai akar penyebab beberapa pelanggaran keamanan siber besar pada tahun 2021, seperti insiden LinkedIn di mana penyerang dapat menyedot data sensitif dari lebih dari 700 juta pengguna LinkedIn melalui API situs sosial. Lalu lintas berbahaya di sekitar API juga tumbuh 348 persen yang mengkhawatirkan pada tahun 2021, menandakan bahwa pelaku ancaman tidak melambaikan bendera putih pada API dalam waktu dekat.

Permukaan serangan terbuka yang dicatat oleh Gartner mengkhawatirkan, terutama karena penggunaan API terus berkembang. Pada Januari 2021, jumlah Postman Collections (folder tempat pengembang API mengelompokkan permintaan API mereka) melonjak melewati 46 juta — dan itu hanya satu dari banyak platform API. Jumlah ini akan terus bertambah karena semakin banyak organisasi yang mencari cara untuk merampingkan fungsionalitas yang kompleks dan meningkatkan inovasi. Jadi memiliki SBOM untuk mengawasi komponen perangkat lunak Anda adalah permulaan, tapi itu hanya puncak gunung es keamanan ketika datang ke rencana AppSec holistik yang mencakup semua basis.

Membalik sakelar lampu di sudut gelap AppSec pada tahun 2022

Risiko rantai pasokan yang masih ada, utang keamanan, dan masalah API web tidak harus mengganggu Anda dari bayang-bayang dengan pendekatan menyeluruh ke AppSec. Mulailah dengan alat penemuan untuk mendapatkan gambaran tentang lanskap gambaran besar Anda dan semua aplikasi web di inventaris Anda. Seringkali, organisasi menyadari bahwa mereka memiliki lebih banyak aplikasi daripada yang diperkirakan sebelumnya, dan lebih banyak produk, integrasi, dan komponen pihak ketiga daripada yang diketahui sebelumnya.

Mengintegrasikan dan mengotomatiskan pengujian keamanan aplikasi berkelanjutan di seluruh siklus pengembangan perangkat lunak adalah langkah penting berikutnya untuk memastikan semua aset Anda tercakup. Program yang fleksibel namun strategis yang mencakup alat, proses, dan pemberdayaan DevSecOps modern dapat menempatkan Anda selangkah lebih maju dari risiko di seluruh lingkungan aplikasi dan rantai pasokan Anda, bahkan saat ancaman meningkat pada tahun 2022.

Kredit gambar: Pixabay

Michael George adalah CEO, Invicti. Michael adalah operator berpengalaman dengan lebih dari 25 tahun memulai, membangun, dan memimpin perusahaan teknologi yang berkembang. Dia memiliki hasrat untuk membangun budaya yang mengutamakan pelanggan dan mendorong inovasi produk untuk memimpin kategori pasar. Baru-baru ini, Michael menjabat sebagai CEO Continuum, penyedia terkemuka solusi SaaS untuk Managed Security Services Providers (MSSPs), dari 2011 hingga 2019. Selama masa jabatannya, pendapatan perusahaan tumbuh lebih dari 500 persen dan berkembang dari 43 perusahaan yang berbasis di AS. karyawan ke tim lebih dari 1400 karyawan di lima benua yang melayani lebih dari 6800 pelanggan.

Author: Martha Meyer