3 consejos para una mayor seguridad en todo el software package …


Puede parecer intimidante, pero con algunos ajustes a las herramientas y procesos que ya están en uso, no es difícil comenzar a mejorar la postura de seguridad de la cadena de suministro de software.

Todos conocemos el adagio de que una cadena es tan fuerte como su eslabón más débil, pero es fácil olvidar que esto también se aplica a la cadena de suministro de application. Aquellos que trabajan con el gobierno u otras industrias altamente reguladas, o tienen clientes que lo hacen, probablemente se les haya preguntado antes sobre sus prácticas de cadena de suministro de computer software. Y si no lo han hecho, deben estar preparados para responder cuando surjan preguntas, porque lo harán.

Fortalecer la seguridad de la cadena de suministro de application puede parecer intimidante además de todas las otras responsabilidades que tienen los equipos de seguridad y de TI, pero con algunos ajustes en las herramientas y procesos que ya están en uso, es bastante fácil comenzar con mejorar la postura de seguridad.

Aquí hay tres formas de mejorar y respaldar la seguridad en la cadena de suministro de software.

Alinear los flujos de trabajo de compras y gestión
Hay dos grandes preguntas que deben responderse primero: ¿Qué herramientas y bibliotecas están en uso y de dónde provienen? Es casi imposible asegurar adecuadamente la cadena de suministro de software sin este conocimiento.

Muchos proyectos de software utilizan herramientas especializadas que pueden tener licencia comercial o gestionarse mediante tarjetas de crédito o informes de gastos. Si bien los artículos de menor volumen o valor generalmente se resuelven a través de este último, estas compras más pequeñas pueden convertirse en problemas mayores más adelante. Todos validan sus herramientas de manera diferente y, como tal, la integridad de la cadena de suministro puede verse comprometida.

Aunque puede ser una molestia cambiar los procesos de pago, es mejor a largo plazo asegurarse de que la adquisición de herramientas y componentes críticos para los desarrolladores se realice a través de los mismos procesos de compra que otros activos de TI. Esto hace que sea más fácil rastrear quién solicitó y aprobó las compras y agrega la función forzada de examinar a cada proveedor con el mismo escrutinio. Tener esta visibilidad infunde más confianza en que se adquieren las piezas de program o componentes correctos.

El seguimiento no debe limitarse simplemente a quién aprobó la compra de una herramienta. Si la capacidad está ahí, las empresas deben rastrear su herramienta de desarrollo y el uso de componentes de terceros en su sistema de gestión de activos.

Supervisar máquinas de desarrollo y construcción
Igualmente importante es mirar las máquinas dentro de una organización donde se está realizando el trabajo de desarrollo. Los desarrolladores generalmente tienen acceso de administrador completo a su máquina, incluso cuando forman parte del entorno informático administrado de la organización. Sin embargo, las máquinas de compilación rara vez se administran, lo que dificulta obtener una vista completa del entorno de desarrollo de application.

Para reforzar la cadena de suministro, los equipos deben cambiar la forma en que administran tanto las máquinas de desarrollo como las de construcción. Aprovechando las herramientas de administración del sistema, los dispositivos pueden auditarse periódicamente para el program instalado y los procesos que se ejecutan en ellos. Con esta información, TI puede confirmar que el trabajo de desarrollo y construcción se está realizando en las condiciones esperadas.

Otra debilidad de la cadena de suministro relacionada con la construcción de máquinas es el uso de cuentas compartidas y conocidas. Es una buena plan detener esta práctica y usar el directorio de cuentas existente para la autenticación en estas máquinas a fin de mejorar el registro y la seguridad. Las herramientas de administración de privilegios suelen ser útiles aquí para permitir que las personas asuman el rol de un usuario de compilación después de iniciar sesión como ellos mismos.

Manténgase al tanto de los parches
Una vez que las máquinas de desarrollo y construcción comienzan a tener algunos procesos de gestión en su lugar, el siguiente paso es garantizar que las máquinas practiquen la higiene de seguridad básica al garantizar que:

  • El sistema operativo está completamente parcheado.
  • El software antivirus o antimalware está instalado y en ejecución.
  • Las definiciones y los componentes del computer software están actualizados.

Estas prácticas ayudan a garantizar la integridad del software que se está construyendo, sin embargo, estos no son proyectos únicos. Implementar esto correctamente puede requerir un enfoque por fases. Primero, los datos del inventario se pueden utilizar para identificar problemas de cumplimiento en las máquinas de desarrollo y construcción y notificar a los propietarios. Luego, TI puede optar por administrar las actualizaciones en un pequeño subconjunto de máquinas o en un entorno duplicado. Por último, es probable que TI descubra que ha creado suficiente confianza con el equipo de desarrollo para poder gestionar activamente todas las máquinas. A lo largo de todo este proceso, es importante tener claro el cronograma esperado para que las máquinas cumplan con los parches y otros estándares de seguridad.

Al evaluar la seguridad de la cadena de suministro, TI puede ser un socio valioso. Al evaluar continuamente los procesos y herramientas utilizados y adaptarlos para garantizar que satisfagan las necesidades de las organizaciones de desarrollo, la cadena de suministro de software package se puede reforzar y asegurar adecuadamente.

Estos pasos no son completos para proteger la cadena de suministro de software package, pero son una forma de aprovechar las capacidades existentes en una organización y para que TI comience su viaje para aumentar la seguridad.

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Matthew Lewinski ha estado desarrollando soluciones de gestión de terminales durante más de 14 años. Actualmente es un ingeniero distinguido de Quest Software, donde dirige los programas de DevOps y seguridad para el negocio de gestión unificada de terminales de KACE. Matthew tiene un M.S. en Program … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia original