פעולות לאבטחת שרשרת אספקה שכל ארגון חייב להכיר

במאמר זה נסקור מהן הסכנות המרכזיות בשרשרת האספקה וכיצד מכינים תכנית להתמודדות עם הסיכונים.

מתקפות סייבר על ארגונים בישראל הן לא דבר חדש ואפילו שגרתי. מאז המתקפה ב-7.10 גברו עוד יותר גם מתקפות הסייבר.

תוכנות צד שלישי מהוות נקודת פגיעות

מערכות אבטחת הסייבר הקיימות היום בארגונים נחלקות לשלושה תחומים עיקריים הנוגעים לאבטחת תוכנה: אבטחת שרשרת אספקה, אבטחת יישומים הוליסטית ויישום DevSecOps. מבין אלה נתייחס לתחום אבטחת שרשרת האספקה. אבטחה מסוג זה דורשת לוודא, כי המערכות של הארגון מוגנות מול גורמי צד שלישי, בהם גם ספקי התוכנות הארגוניות. רוב הארגונים מאמינים, כי רכישת תוכנה מחברה אמינה מבטיחה רמת אבטחה מספקת, אולם אין זו ערובה ודאית לרמת אבטחה גבוהה על המידע הארגוני. תוכנות צד שלישי מהוות נקודת פגיעות שמעטים מתייחסים אליה בכובד הראש הראוי.

עיקר הבעיה נובע מהגידול המתמיד בשנים האחרונות בשימוש בספריות קוד פתוח הקיימות ברשת. לצד התועלת העצומה, ספריות אלו הביאו גם סיכון רב, שמא יכילו קוד זדוני שייכנס לתוככי האפליקציות. קוד זדוני יכול לאפשר לתוקפי סייבר גישה למערכות דרך דלת אחורית. סכנה זו קיימת גם במערכות תוכנה שארגונים רוכשים. על מנת להתמודד עם הבעיה חלה עלייה בפעילויות אבטחה המתמקדות ב-SBOM (ר"ת Software Bill of Materials) – קובץ המתאר את כלל הספריות שמהן בנויה האפליקציה יחד עם פעילויות אבטחה אחרות. אך על מנת לנהל תחום זה טוב יותר נדרשות כמה פעולות מצד כל ארגון.

תוכנית C-SCRM תסייע לניהול הסיכונים

המכון הלאומי לתקנים וטכנולוגיה (NIST) בארה"ב הכין תוכנית C-SCRM, הכוללת המלצות לניהול כל הסיכונים הקיימים בשרשרת האספקה בארגון. ההמלצות מבוססות על הצורך ליישם תוכנית מקיפה לניהול סיכונים וכוללות: זיהוי מטרות מפתח ותהליכים עסקיים בארגון המייצרים רווח, הכנה של מלאי רישיונות תוכנה בהווה ולעתיד, חקירה ותיעוד של מה כולל הרישוי של כל תוכנה, הבנה כיצד התוכנה שנרכשה תומכת בתהליכים ארגוניים והכנה של תוכנית טיפול במקרה שנחשפה פגיעות במערכות התוכנה בארגון.

"עכשיו יותר מתמיד, כאשר מבוצעות מתקפות סייבר בהיקפים עצומים נדרש מידע אודות קוד צד ג' שנכנס לארגון כדי לאפשר שליטה, ניהול סיכונים רב תכליתי בקוד פתוח עם בדיקה בינארית עמוקה, שעוזרת למזער סיכונים הקשורים לקוד הפתוח ותוכנות צד ג'"

יישום תוכנית C-SCRM מצריך ארבעה מרכיבים חיוניים:

הגדרת המצב הרצוי שהארגון אמור להיות בו מבחינת אבטחה – מצב זה מחייב להעריך את המצב הקיים מבחינת אנשים, תהליכים וטכנולוגיות הקיימות בארגון, כמעין מפת דרכים, המגדירה את כל הצמתים שבהן ניצבת סכנה. המצב האידאלי הוא, שהערכה זו תיעשה על ידי אנשי מקצוע חיצוניים, וזאת על מנת לבנות תוכנית רב שנתית שמטרתה להגיע למצב הרצוי שהוגדר.

פתרון של SCA אידאלי מחייב סקירה של ספריות צד שלישי, שתתבצע על ידי בדיקה וחיפוש של הספריות בתוכנה הקיימת ולא הסתמכות על קובצי הגדרות של ספריות צד שלישי – לאחר מעבר ובדיקה של ספריות צד שלישי יש לייצר דו"ח מפורט של אבטחה ותאימות בנוסף לתובנות נוספות על איכות רכיבי התוכנה שנעשה בהם שימוש, על מנת לוודא שהרכיבים שבשימוש אכן מתוחזקים על ידי יצרני צד שלישי אמינים.

קוד זדוני יכול להיות רדום למשך זמן ארוך עד שהוא מופעל – ישנו קושי בזיהוי קוד זדוני, ולצורך כך נדרשת גם עבודה ידנית בצד כלי זיהוי אוטומטי על מנת לזהות עקבות בקובצי ייצור, קובצי הגדרות ודאטה.

נדרשת פעילות לאבטחת תשתיות הענן בכל ארגון – אבטחת תשתית הענן מחייבת גם היא אסטרטגיית ענן מוקדמת, הכוללת הערכת סיכונים. אסטרטגיה זו תוביל להיערכות הארגון בתהליך המעבר לענן בצורה מאובטחת ותתקיים על ידי הקפדה על ניהול ואופטימיזציה של תשתיות הענן בארגון.

אבטחת שרשרת אספקה היא מבחן אולטימטיבי עבור ה-SDLC בארגונים. לא ניתן לאבטח את שרשרת האספקה עם SDLC חלש. SDLC לא מאובטח יכול להוביל לכך, שכל הפגיעויות, קוד פגום ותכנון לקוי של התוכנה ייחשפו בסופו של דבר. לכן מומלץ להקפיד על רגולציות ותקני אבטחת התוכנה, שיובילו תרבות אבטחה שתלווה את תהליך פיתוח התוכנה בארגון.

עכשיו יותר מתמיד, כאשר מבוצעות מתקפות סייבר בהיקפים עצומים נדרש מידע אודות קוד צד ג' שנכנס לארגון כדי לאפשר שליטה, ניהול סיכונים רב תכליתי בקוד פתוח עם בדיקה בינארית עמוקה, שעוזרת למזער סיכונים הקשורים לקוד הפתוח ותוכנות צד ג'.

שרון אקשטיין היא מנהלת תחום פתרונות DevSecOps במטריקס מוצרי תוכנה, המייצגת את סינופסיס בישראל.
שלומי צרפתי הוא מנהל מכירות אזורי בסינופסיס.