Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הערכת מצב האבטחה

מצב האבטחה הוא היכולת של הארגון לזהות איומים, להגיב להם ולתקן אותם. הוא כולל את רמת המוכנות של האנשים, החומרה, התוכנה, המדיניות והתהליכים בארגון לאורך כל מחזור החיים של התוכנה.

יש מספר מסגרות וכלים שבהם אפשר להשתמש כדי להעריך את מצב האבטחה ולזהות דרכים לצמצום האיומים.

שיטות להכנת תוכנה להפצה

כדי לשמור על רמת אבטחה גבוהה, צריך להקפיד על שיטות מומלצות לאספקת תוכנה. השיטות האלה לא מסתכמות רק בהטמעה של כלים ובאמצעי בקרה טכניים. לדוגמה, אם תהליך אישור השינויים לא ברור, קל יותר לשינויים לא רצויים להיכנס לשרשרת אספקת התוכנה. אם הצוותים לא מעודדים להעלות בעיות, הם עלולים להסס לדווח על בעיות אבטחה.

‫DevOps Research and Assessment (DORA) עורך מחקר עצמאי על שיטות ויכולות של צוותי טכנולוגיה עם ביצועים גבוהים. כדי להעריך את הביצועים של הצוות וללמוד איך לשפר אותם, אפשר להיעזר במקורות המידע הבאים של DORA:

אתם יכולים לעשות את הבדיקה המהירה של DORA DevOps כדי לקבל משוב מהיר על המצב של הארגון שלכם בהשוואה לארגונים אחרים.
אפשר לקרוא על היכולות הטכניות, התהליכיות, המדידות והתרבותיות של DevOps שזוהו על ידי DORA.

מסגרות למצב אבטחה

‫NIST Secure Software Development Framework‏ (SSDF) ו-Cybersecurity Assessment Framework‏ (CAF) הם מסגרות שפותחו על ידי ממשלות כדי לעזור לארגונים להעריך את מצב האבטחה שלהם ולצמצם את האיומים על שרשרת האספקה. המסגרות האלה מתייחסות למחזור החיים של פיתוח התוכנה, וגם להיבטים אחרים שקשורים לאבטחת תוכנה, כמו תוכניות לתגובה לאירועים. המורכבות וההיקף של המסגרות האלה עשויים לדרוש השקעה משמעותית של זמן ומשאבים.

‫Supply chain Levels for Software Artifacts‏ (SLSA) הוא מסגרת שמטרתה להפוך את ההערכה וההטמעה של אמצעי המיגון לנגישות יותר ולמצטברות יותר. הוא מסביר על איומים בשרשרת האספקה ועל אמצעי המיטיגציה שקשורים אליהם, ומספק דוגמאות לכלים להטמעת אמצעי המיטיגציה. הוא גם מקבץ את הדרישות לחיזוק רמת האבטחה לפי רמות, כדי שתוכלו לתעדף את השינויים וליישם אותם בהדרגה. התקן SLSA מתמקד בעיקר בצינור הכנת תוכנה להפצה, ולכן מומלץ להשתמש בו יחד עם כלי הערכה אחרים כמו SSDF ו-CAF.

ההשראה ל-SLSA הגיעה מ-Binary Authorization for Borg, בדיקת אכיפה פנימית שמתבצעת בכל עומסי העבודה של הייצור ב-Google.

Google Cloud מספקת קבוצה מודולרית של יכולות וכלים שמשלבים שיטות מומלצות ב-SLSA. אתם יכולים לראות תובנות לגבי מצב האבטחה שלכם, כולל רמת ה-SLSA של הבנייה.

ניהול פריטי מידע שנוצרו בתהליך פיתוח (artifacts) ויחסי תלות

היכולת לראות את נקודות החולשה בתוכנה מאפשרת לכם להגיב באופן יזום לאיומים פוטנציאליים ולתקן אותם לפני שאתם משיקים את האפליקציות ללקוחות. הכלים הבאים יעזרו לכם לקבל תמונה ברורה יותר של נקודות החולשה.

בדיקת נקודות חולשה

שירותים לסריקת נקודות חולשה, כמו ניתוח ארטיפקטים עוזרים לכם לזהות נקודות חולשה ידועות בתוכנה.

ניהול יחסי תלות

Open Source Insights הוא מקור מרכזי למידע על גרפים של תלות, פגיעויות ידועות ורישיונות שמשויכים לתוכנות קוד פתוח. אפשר להשתמש באתר כדי לקבל מידע על התלות שלכם.

בפרויקט Open Source Insights הנתונים האלה זמינים גם כGoogle Cloud מערך נתונים. אפשר להשתמש ב-BigQuery כדי לבדוק ולנתח את הנתונים.

מדיניות בנושא בקרת מקור

‫Scorecards הוא כלי אוטומטי שמזהה שיטות מסוכנות בשרשרת אספקת התוכנה בפרויקטים שלכם ב-GitHub.

‫Allstar היא אפליקציית GitHub שמנטרת באופן רציף ארגונים או מאגרים ב-GitHub כדי לוודא שהם עומדים במדיניות שהוגדרה. לדוגמה, אפשר להחיל מדיניות על ארגון GitHub כדי לבדוק אם יש משתפי פעולה מחוץ לארגון שיש להם גישת אדמין או גישת push.

מידע נוסף על ניהול יחסי תלות זמין במאמר ניהול יחסי תלות.

הגברת המודעות של הצוות לאבטחת סייבר

אם הצוותים שלכם מבינים את האיומים על שרשרת אספקת התוכנה ואת השיטות המומלצות, הם יכולים לתכנן ולפתח אפליקציות מאובטחות יותר.

בState of Cybersecurity 2021, Part 2, סקר שנערך בקרב אנשי מקצוע בתחום אבטחת המידע, המשיבים דיווחו שלתוכניות להעלאת המודעות לאבטחת סייבר ולהדרכה בנושא הייתה השפעה חיובית מסוימת (46%) או השפעה חיובית חזקה (32%) על המודעות של העובדים.

כדי לקבל מידע נוסף על אבטחת שרשרת האספקה ועל אבטחה ב- Google Cloud, אפשר להיעזר במקורות המידע הבאים:

Google Cloud התוכנית העסקית של Enterprise Foundation מתארת את ההגדרה של המבנה הארגוני, האימות וההרשאה, היררכיית המשאבים, הרשת, הרישום ביומן, אמצעי הבקרה לגילוי ועוד. הוא אחד מהמדריכים Google Cloud במרכז לשיטות אבטחה מומלצות.
בקורס פיתוח תוכנה מאובטחת לומדים על שיטות בסיסיות לפיתוח תוכנה בהקשר של אבטחת שרשרת אספקת התוכנה. הקורס מתמקד בשיטות מומלצות לתכנון, לפיתוח ולבדיקה של קוד, אבל הוא כולל גם נושאים כמו טיפול בחשיפות של נקודות חולשה, מקרים של הבטחת איכות ושיקולים לגבי הפצה ופריסה של תוכנה. ההדרכה נוצרה על ידי Open Source Security Foundation ‏(OpenSSF).

הכנה לשינוי

אחרי שמזהים את השינויים שרוצים לבצע, צריך לתכנן את השינויים.

לזהות שיטות מומלצות ואמצעים לצמצום הסיכונים כדי לשפר את האמינות והאבטחה של שרשרת האספקה.
לפתח הנחיות ומדיניות כדי לוודא שהצוותים מטמיעים שינויים ומודדים את התאימות באופן עקבי. לדוגמה, יכול להיות שהמדיניות של החברה שלכם כוללת קריטריונים לפריסה שאתם מטמיעים באמצעות Binary Authorization. אפשר להיעזר במקורות המידע הבאים:
- מוצר בר-קיימא מינימלי ומאובטח, רשימת בקרות לאבטחה כדי ליצור בסיס לאבטחת מוצר. אתם יכולים להשתמש ברשימת המשימות כדי לקבוע את דרישות המינימום של אמצעי הבקרה לאבטחה, וכדי להעריך תוכנות של ספקי צד שלישי.
- פרסום NIST Security and Privacy Controls for Information Systems and Organizations (אמצעי בקרה לאבטחה ולפרטיות במערכות מידע ובארגונים) (SP 800-53).
כדאי לתכנן שינויים מצטברים כדי לצמצם את הגודל, המורכבות וההשפעה של כל שינוי. הוא גם עוזר לאנשים בצוותים שלכם להסתגל לכל שינוי, לספק משוב וליישם את הלקחים שלמדתם בשינויים עתידיים.

אפשר להיעזר במשאבים הבאים כדי לתכנן וליישם שינוי.

החזר ה-ROI של שינוי DevOps הוא מסמך מידע שמתאר איך לחזות את הערך של שינוי DevOps ולהצדיק את ההשקעה בו.
התוכנית של Google Cloud למודרניזציה של אפליקציות מספקת הערכה הוליסטית ומודרכת, שכוללת מדידה של תוצאות מרכזיות (מהירות, יציבות ושחיקה) וזיהוי של היכולות הטכניות, התהליכיות והתרבותיות שמשפרות את התוצאות האלה בארגון שלכם. מידע נוסף על התוכנית זמין בפוסט הזה בבלוג בנושא CAMP.
איך לבצע שינוי כולל הנחיות שיעזרו לכם לתכנן וליישם שינויים. טיפוח תרבות שתומכת בשינוי מצטבר ומתמשך מוביל לתוצאות מוצלחות יותר של שינוי.
מסגרת NIST לאספקת תוכנה מאובטחת מתארת שיטות לאבטחת תוכנה שמבוססות על שיטות מקובלות מארגונים כמו The Software Alliance,‏ Open Web Application Security Project ו-SAFECode. הוא כולל קבוצה של שיטות מומלצות להכנת הארגון, וגם שיטות מומלצות להטמעת שינויים ולתגובה לפגיעויות.

המאמרים הבאים

שיטות מומלצות להגנה על שרשרת אספקת התוכנה
מידע על אבטחת שרשרת האספקה של תוכנות ועלGoogle Cloudהמוצרים והתכונות שיעזרו לכם להגן על שרשרת האספקה של התוכנות.

הערכת מצב האבטחה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.