home Teknologi Manufaktur Peralatan Manufaktur
Manufaktur industri
Industri Internet of Things | bahan industri | Pemeliharaan dan Perbaikan Peralatan | Pemrograman industri |
home  MfgRobots >> Manufaktur industri >  >> Manufacturing Technology >> Teknologi Industri

Tiga Langkah Menuju Mengamankan Rantai Pasokan Perangkat Lunak

Kode komputer adalah dasar untuk setiap bagian teknologi, dari smartphone hingga robot dan jaringan yang menghubungkannya. Di dunia digital saat ini, hal itu juga menjadikan kode sebagai fondasi bagi banyak — jika bukan sebagian besar — ​​bisnis dan layanan.

Peretas mengenali fakta ini dan memanfaatkannya. Contoh profil tinggi baru-baru ini adalah serangan terhadap FireEye yang menggunakan beberapa pembaruan trojan untuk perangkat lunak SolarWinds. Dengan menargetkan penyedia perangkat lunak, peretas dapat memasang pintu belakang ke perusahaan yang, pada gilirannya, memungkinkan mereka mencapai target yang diinginkan:lembaga pemerintah yang menerima layanan dari perusahaan tersebut.

Metode serangan ini juga memanfaatkan kepercayaan. Bisnis, pemerintah, dan pelanggan lain berasumsi bahwa jika pembaruan perangkat lunak atau firmware berasal dari vendor, itu aman untuk dipasang. Beberapa akan percaya tetapi memverifikasi; mereka memeriksa situs web vendor untuk nilai hash pembaruan dan kemudian membandingkannya dengan unduhan. Jika cocok, mereka menganggapnya bebas dari kerentanan.

Kepercayaan ini menciptakan peluang bagi aktor jahat yang mampu memanipulasi kode sumber selama proses pengembangan. Akibatnya, pengguna tanpa disadari mengunduh eksploit, yang sering kali diam selama berminggu-minggu atau berbulan-bulan sambil menyebar ke seluruh organisasi untuk akhirnya menyerang daftar mitra, pemasok, atau pelanggan. Bagaimana organisasi dapat melindungi diri mereka sendiri?

Jauhkan aktor jahat. Program manajemen risiko rantai pasokan (SCRM) sangat penting untuk mengurangi ancaman dan kerentanan yang melekat pada adopsi dan integrasi produk dan layanan pihak ketiga. Ini mencakup orang, proses dan teknologi, dan mencakup beberapa departemen termasuk keamanan, TI, sumber daya manusia (SDM), pengadaan dan hukum. Sangat penting untuk memperluas program SCRM perusahaan ke dalam siklus hidup pengembangan perangkat lunak (SDLC). Dalam prosesnya, program SCRM menciptakan budaya keamanan di mana setiap orang menjadi peserta dan selaras untuk tujuan yang sama.

Di dalam SDLC, program SCRM berfokus pada orang-orang yang perlu menyentuh kode dan sumber daya terkait seperti set alat. Dapat dimengerti, karyawan ini harus diperiksa secara menyeluruh selama proses perekrutan, termasuk pemeriksaan latar belakang untuk mengidentifikasi segala kemungkinan hubungan dengan aktivitas kriminal dan/atau negara bangsa.

Perusahaan yang menggunakan perusahaan staf perlu memastikan bahwa perusahaan memahami persyaratan unik dan spesifik mereka. Misalnya, perusahaan harus mengetahui siapa perusahaan staf mereka dan apakah mereka ada di negara-negara yang memiliki sejarah kejahatan dunia maya yang disponsori negara. Ketika perusahaan berurusan dengan informasi hak milik dan rahasia, mereka tidak ingin kantor jarak jauh perusahaan staf memberi mereka resume dan kandidat yang berpotensi menjadi ancaman orang dalam. Penyerang negara-bangsa semakin fokus untuk memasukkan orang-orang mereka ke dalam organisasi yang ditargetkan. Mereka memiliki sumber daya keuangan untuk melatih orang, yang menunjukkan keterampilan pengkodean yang didambakan dan kredensial lain yang dicari yang meningkatkan resume mereka ke puncak tumpukan. Ini adalah sesuatu yang harus disadari oleh tim sumber daya manusia dan manajer perekrutan.

Ada kemungkinan bahwa beberapa aktor jahat akan lolos bahkan melalui proses penyaringan dan perekrutan yang paling hati-hati. Itulah mengapa penting untuk memantau aktivitas karyawan melalui program ancaman orang dalam yang terdefinisi dengan baik untuk mengidentifikasi perilaku yang tidak biasa dan mencurigakan seperti eskalasi hak istimewa yang tidak sah dan akses ke sistem, program, dan aplikasi.

Program SCRM juga harus mengidentifikasi orang-orang yang perlu menyentuh kode dan sumber daya terkait seperti set alat, dan kemudian menerapkan pengamanan untuk menjauhkan semua itu dari orang lain. Setelah kode dilisensikan, itu harus menjadi satu-satunya sumber untuk pengembang resmi, yang berarti mereka tidak dapat membawa kode tambahan dari sumber luar. Pada dasarnya, setelah kode sudah dinilai dan dikendalikan, bisnis tidak ingin pengembang keluar untuk mendapatkan kode dari sumber baru yang belum dinilai risiko keamanannya. Praktik terbaik ini mengurangi kerentanan seperti pintu belakang yang terkubur dalam kode yang tidak sah tanpa disadari digunakan oleh pengembang resmi atau portal tidak berdokumen yang disembunyikan oleh pengguna yang tidak sah.

Memeriksa dan mengontrol. Teknologi pengontrolan yang ketat memberikan lapisan perlindungan lain. Misalnya, bahkan ketika karyawan pindah dalam organisasi, pertimbangkan untuk memberi mereka laptop baru yang memiliki citra yang dibuat khusus untuk peran dan departemen baru mereka. Juga, nonaktifkan akses yang diperoleh sebelumnya yang tidak lagi diperlukan. Ini membantu memastikan data dan akses tetap istimewa.

Departemen TI juga harus mengubah citra komputer baru sebelum dikeluarkan untuk pengembang. Menggunakan stok, gambar yang disediakan vendor dapat membuat pintu belakang jika sistem operasi dan bloatware pra-instal apa pun telah mengkompromikan kode. Sebagai gantinya, buat gambar khusus yang diperkeras untuk perangkat tersebut.

Semua jenis perangkat keras dan perangkat lunak baru pada awalnya harus di-sandbox untuk beberapa waktu. Ini memberi departemen TI waktu untuk meneliti perilaku mereka, seperti membuat panggilan yang tidak diminta ke internet untuk mencoba menarik data. Ini juga menciptakan garis dasar untuk membantu mendeteksi perubahan mendadak dalam perilaku berbulan-bulan atau bertahun-tahun kemudian yang dapat menunjukkan bahwa mereka telah dikompromikan.

Buat budaya keamanan. Ini banyak yang perlu dipertimbangkan, yang menyoroti mengapa SCRM harus menjadi upaya lintas organisasi. Misalnya, departemen hukum harus memastikan bahwa kontrak vendor dan mitra berisi bahasa terkait audit untuk memastikan bahwa semua persyaratan dipatuhi. Sementara itu, SDM dapat membantu mengembangkan dan menegakkan aturan untuk menyaring kandidat.

Dukungan dan kepemimpinan tingkat-C adalah kunci untuk mencapai upaya tim semacam ini dan memastikan bahwa sumber daya tersedia untuk mengimplementasikan program SCRM. Ini menghasilkan budaya keamanan yang mencakup seluruh organisasi dan mengubah keamanan dari sebuah renungan menjadi bagian mendasar dari proses pengembangan.

Michael Iwanoff adalah kepala petugas keamanan informasi di iconectiv.


Teknologi Industri

  • Proses manufaktur
  • pencetakan 3D
  • Sistem Kontrol Otomatisasi
  • Teknologi Industri
    1. 5 Cara Menciptakan Rantai Pasokan yang Tangguh dalam Manufaktur
    2. Risiko perangkat lunak:Mengamankan sumber terbuka di IoT
    3. Tiga Tahap Mengatasi Gangguan Rantai Pasokan
    4. Empat Langkah untuk Mengatasi Keberlanjutan Rantai Pasokan
    5. Tiga Cara IoT Dapat Merampingkan Rantai Pasokan Musiman
    6. Amazonifikasi Rantai Pasokan
    7. AI Dapat Membantu Membuat Rantai Pasokan Berkelanjutan
    8. Tiga Langkah untuk Mengelola Risiko Pemasok dan Keadaan Kahar
    9. Tiga Cara Menyesuaikan Rantai Pasokan di Era COVID-19
    10. Akhir dari Rantai Pasokan Sumber Tunggal