Los líderes de ciberseguridad lanzan la primera matriz de ataque para la seguridad de la cadena de suministro de software package

El consorcio fundador de líderes en ciberseguridad detrás de OSC&R incluye: david cruz, exejecutivo de seguridad en la nube de Microsoft y Google Neatsun Ziv, cofundador y director ejecutivo de OX Protection Lior Arzi, Co-Fundador y CPO en OX Safety Hiroki Suezawa, ingeniero sénior de seguridad en GitLab Sol EyalResponsable de Investigación de OX Protection phil quade, ex CISO de Fortinet Dr. chenxi wangex miembro de la Junta Worldwide de OWASP Sai SivanCISO en Cultura Naor Penso, jefe de seguridad de productos de FICO y Roy Feintuchex CTO de la nube en Check out Place Technologies.

Las discusiones con cientos de líderes de la industria revelaron que existía una necesidad muy concreta de un marco identical a MITRE que permitiera a los expertos comprender y medir mejor el riesgo de la cadena de suministro, un proceso que hasta ahora solo podía basarse en la intuición y la experiencia. OSC&R está diseñado para proporcionar un lenguaje y una estructura comunes para comprender y analizar las tácticas, técnicas y procedimientos (TTP) que utilizan los adversarios para comprometer la seguridad de las cadenas de suministro de application.

«Tratar de hablar sobre la seguridad de la cadena de suministro sin un entendimiento común de lo que constituye la cadena de suministro de application no es productivo», dijo Neatsun Ziv, quien se desempeñó como vicepresidente de seguridad cibernética de Check out Issue antes de fundar OX. «Sin una definición acordada de la cadena de suministro de software program, las estrategias de seguridad a menudo están aisladas».

OSC&R ahora está listo para ser utilizado por los equipos de seguridad para evaluar las defensas existentes y definir qué amenazas deben priorizarse, cómo la cobertura existente aborda esas amenazas, así como para ayudar a rastrear los comportamientos de los grupos de atacantes.

«OSC&R ayuda a los equipos de seguridad a construir su estrategia de seguridad con confianza», dijo Hiroki Suezawa, ingeniero de seguridad sénior de Gitlab. «Queríamos darle a la comunidad de seguridad un único punto de referencia para evaluar de manera proactiva sus propias estrategias para proteger sus cadenas de suministro de software package y comparar soluciones», continuó.

El marco de OSC&R se actualizará a medida que surjan y evolucionen nuevas tácticas y técnicas. También ayudará a las actividades de formación de equipos rojos al ayudar a establecer el alcance requerido para un pentest o un ejercicio de equipo rojo, sirviendo como una tarjeta de puntuación tanto durante como después de la prueba. El marco ahora también estará abierto para que otros líderes y profesionales de la seguridad cibernética contribuyan a OSC&R.

«Creo que el marco OSC&R ayudará a las organizaciones a reducir su superficie de ataque», dijo Naor Penso, jefe de seguridad de productos de FICO. «Estoy orgulloso de participar en un proyecto que puede tener un impacto tan importante en el futuro panorama de la seguridad y de compartir nuestro conocimiento y experiencia».

El marco OSC&R ya está en línea: https://pbom.dev/

Acerca de OX Seguridad

Seguridad del buey cree que la seguridad debe ser una parte integral del proceso de desarrollo de application, no una ocurrencia tardía. Fundado por Neatsun Ziv y Lior Arzi, que anteriormente dirigió el grupo de seguridad de Look at Issue, OX es la primera solución de seguridad de la cadena de suministro de software de extremo a extremo. OX brinda a los equipos de DevSecOps la automatización, la visibilidad y los conocimientos de riesgo que necesitan para brindar seguridad e integridad a cada paso de la cadena de suministro, desde las primeras etapas de planificación hasta la implementación y la producción.

FUENTE Ox Security