Con la cadena de suministro de software, no puede asegurar lo que no mide



«No se puede mejorar lo que no se mide» es una sabiduría muy citada y frecuentemente atribuida al famoso consultor de gestión Peter Drucker.

Es difícil descartar la verdad central del dicho, incluso si, para que conste, él no lo dijo, según el Instituto Drucker. Después de todo, las métricas desde las ventas trimestrales hasta los KPI individuales son la foundation para la compensación, las promociones y más en las organizaciones del siglo XXI. También hay abundante evidencia: de BF Skinner, para uno — que los humanos adaptan rápidamente sus comportamientos a la forma en que son medidos e incentivados.

La pregunta que no se responde es si se están midiendo las cosas correctas o si las mediciones en cuestión son lo suficientemente completas como para no distorsionar las percepciones (y decisiones) de quienes las miden. Ese tipo de preguntas inconvenientes informaron la investigación patrocinada por ReversingLabs, la firma que cofundé, que analizó seis meses de informes al Foundation de datos de vulnerabilidad nacional (NVD)
mantenida por el Instituto Nacional de Estándares y Tecnología (NIST).

2022: un año excepcional para las CVE

Nuestro análisis encontró que los informes de vulnerabilidad de nuevas Vulnerabilidades y exposiciones comunes (CVE) a NVD se están acelerando, con 2022 en camino de ser el año más grande para nuevos informes de vulnerabilidad. Si se mantiene la tendencia precise, habrá más de 24.500 informes a finales de año. Eso marcaría un aumento del 22% con respecto a 2021, que también fue un año récord.

Esos números parecen sugerir que la seguridad del software package se está deteriorando y que se necesitan intervenciones más enérgicas por parte del sector público y privado para reforzar la seguridad del application. Pero hay mucho que se pierde en esa toma rápida. En sus dos décadas de existencia, NVD ha visto un crecimiento inconsistente en la cantidad de vulnerabilidades y exposiciones informadas. Antes de 2005, el número anual de vulnerabilidades a las que se les asignaba un identificador CVE nunca superaba las 2500. Durante más de una década después de eso, los problemas divulgados fluctuaron entre 4000 y 8000 informes por año.

La cantidad de nuevos CVE en esos años reflejó la capacidad limitada del equipo de CVE en la corporación sin fines de lucro MITRE, que se encargó de recibir y documentar nuevos informes de CVE. Sabemos eso, porque una vez que MITRE comenzó a invitar a más organizaciones a informar vulnerabilidades como Autoridades de números CVE (CNA) en 2016, la cantidad de vulnerabilidades aumentó. Se duplicó en 2017, y cada año desde entonces ha superado el récord del año anterior de CVE informados.

El mensaje: considerar una métrica como la cantidad de CVE nuevos es un ejercicio mayormente sin sentido si está tratando de evaluar el estado typical de la seguridad del software package. Más empresas contribuyentes darán como resultado más CVE. Menos empresas contribuyentes producirán una caída en los CVE. La línea de tendencia normal no tiene sentido, al menos mientras la participación en el programa CVE y las presentaciones al NVD por parte de los proveedores de software sean voluntarias.

Seguridad de la cadena de suministro de program: sin medir y sin mejorar

En cuanto a la cuestión de si se están midiendo las cosas correctas? Una vez más, la configuración actual del NVD es engañosa y está muy sesgada hacia los «sospechosos habituales». Las distribuciones de Linux Fedora y Debian representaron 1123 y 958 vulnerabilidades, respectivamente, en la primera mitad de 2022 y ocupan el primer y tercer lugar en la lista de empresas de program afectadas por problemas informados, reveló nuestra investigación. Google, Microsoft, Oracle y Apple representaron más de 500 vulnerabilidades cada uno.

El NVD tiene mucho menos que decir sobre las fallas en las plataformas populares de código abierto que están llamando la atención de los actores cibernéticos sofisticados. Por ejemplo, nuestra investigación muestra que los ataques a los populares repositorios de paquetes de computer software NPM y Python Deal Index (PyPI) aumentaron un 289 % en los últimos años, de 259 en 2018 a 1010 en 2021. Pero solo 56 CVE
que hacen referencia a PyPI están en el NVD. El propietario de PyPi, Python Application Basis, no es un CNA. Otras plataformas populares de desarrollo y CI/CD como CodeCov, CircleCI y Bamboo tampoco son CNA.

Pregunta incómoda: ¿Podemos confiar en el código?

¿Qué significa esta desconexión para el futuro de los recursos públicos como el NVD? Cambiar, por una cosa. Acontecimientos recientes, como el secuestro del well-liked ua-parser-js proyecto de un criptominero: muestra que incluso los proyectos aparentemente seguros pueden verse comprometidos.

La lección de incidentes como este es que los equipos de seguridad de application deben expandir su enfoque más allá del escaneo de vulnerabilidades e incluso del análisis del código fuente para ver qué está haciendo el código. Mientras ignoremos esta pregunta central, ¿podemos confiar en el código? — no estamos abordando la seguridad de la cadena de suministro de application.

El NIST y el gobierno federal también están avanzando lentamente para implementar el año de antigüedad de la Casa Blanca. orden ejecutiva sobre la mejora de la ciberseguridad de la nación, que requiere que todos los proveedores de software program y contratistas del gobierno federal creen una lista de materiales de computer software (SBOM) que se pueda revisar. Directrices de práctica publicadas recientemente por la NSA, CISA y ODNI explicar los pasos que las organizaciones pueden tomar para asegurar las cadenas de suministro de software.

Sin embargo, para seguir el ritmo de estos grandes cambios, la NVD también necesita evolucionar. Como mínimo, su alcance debería expandirse para incluir sistemáticamente las exposiciones de la cadena de suministro de software program. Solo entonces NVD se acercará a representar la gama completa de amenazas que enfrentan las organizaciones modernas.



Enlace a la noticia unique