Karena pengembang berada di bawah tekanan yang meningkat untuk menyelesaikan proyek dengan cepat, ada tingkat konflik yang meningkat antara tim pengembangan dan keamanan. Dan penyerang memanfaatkan konflik ini untuk menargetkan rantai pasokan perangkat lunak.
Jadi, ancaman apa yang dihadapi perusahaan dan apa yang dapat mereka lakukan untuk melindungi diri mereka sendiri? Kami berbicara dengan Pete Morgan, salah satu pendiri dan CSO perusahaan keamanan rantai pasokan Phylum untuk mencari tahu.
BN: Mengapa rantai pasokan perangkat lunak menjadi target yang menarik bagi penyerang?
PM: Ada tiga alasan utama pelaku jahat menargetkan rantai pasokan perangkat lunak:
Pengembang adalah target bernilai tinggi yang baru: Penyerang mengetahui target kompromi rantai pasokan adalah pengembang perangkat lunak atau infrastruktur istimewa. Kompromi salah satu target menghasilkan kunci akses cloud, kunci SSH, kunci penandatanganan, dan rahasia lainnya. Kunci-kunci ini sering hidup untuk jangka waktu yang lama, yang berarti penyusupan yang tidak terdeteksi memungkinkan penyerang memiliki banyak akses dan waktu untuk merencanakan tahap selanjutnya dengan hati-hati. Ada sejumlah titik buta untuk dieksploitasi: Rantai pasokan perangkat lunak adalah konsep yang terus berubah. Paket sumber terbuka digunakan dalam 85 persen — 95 persen aplikasi dan dibuat dan dikelola oleh orang asing di internet. Pengembang menggunakan paket ini tanpa pengawasan, atau kontrol dari tim keamanan. Memetakan permukaan serangan sebenarnya untuk rantai pasokan perangkat lunak organisasi itu rumit dan bervariasi menurut organisasi, meninggalkan banyak celah. Mempertahankannya terus-menerus dari waktu ke waktu bahkan lebih sulit lagi, memberikan berbagai peluang bagi penyerang. Pertahanan harus sempurna, penyerang hanya perlu menang sekali. Investasi rendah untuk hasil besar: Biaya untuk menyerang rantai pasokan perangkat lunak sangat rendah, dan seringkali gratis. Beberapa serangan hanya membutuhkan menjalankan skrip dan menunggu. Hingga organisasi meningkatkan program keamanan rantai pasokan perangkat lunak mereka, penyerang tahu bahwa mereka tidak perlu bekerja keras atau menggunakan serangan canggih untuk berhasil.
BN: Apa titik gesekan utama antara tim pengembangan dan keamanan?
PM: Tim keamanan menginginkan lebih banyak visibilitas dan kontrol atas proses pengembangan, dan pengembang menginginkan hambatan inovasi sesedikit mungkin. Ketika tujuan, kebijakan dan proses tidak selaras dengan baik, atau dalam hal ini sering bertentangan, maka secara alami akan ada gesekan.
BN: Bagaimana keamanan dapat meningkatkan hubungan dengan tim pengembangan?
PM: Empati adalah faktor besar dalam menemukan titik temu di antara kedua tim ini, dan penting bagi kedua tim ini untuk bekerja secara harmonis guna memenuhi tujuan bisnis yang penting. Tim keamanan harus memasukkan pengembang ke dalam tahap awal pengambilan keputusan keamanan dan memudahkan mereka untuk menerapkan kebijakan, dan pengembang harus tetap berpikiran terbuka saat diminta memasukkan praktik keamanan ke dalam proses mereka. Buka jalur komunikasi, berbagi umpan balik rutin tentang apa yang berhasil dan apa yang tidak, dan mengadopsi teknologi yang mengotomatiskan penegakan kebijakan dan mengontekstualisasikan masalah tanpa mengganggu proses pengembangan akan menghasilkan kerja sama yang lebih efektif.
BN: Mengapa malware dalam paket sumber terbuka sangat berbahaya?
PM: Oh, mulai dari mana! Paket berbahaya berbeda dari malware tradisional karena sebagian besar paket berbahaya tidak perlu mengeksploitasi kerentanan apa pun atau mengelabui pengguna agar menjalankannya. Pengembang yang menginstal paket yang salah atau menginstal paket yang memiliki dependensi yang salah dapat disusupi, dan 99 persen dari waktu tersebut mereka tidak akan pernah mengetahuinya.
Sebagian besar pengembang tidak punya waktu atau alat untuk menganalisis risiko paket yang mereka gunakan. Paket memiliki dependensi yang memiliki dependensi, dan rantai itu bisa 20-30 level yang mencakup puluhan ribu paket sumber terbuka. Sebagian besar organisasi masih hanya memindai kerentanan dan penyalahgunaan lisensi, sehingga malware dengan mudah tidak terdeteksi: itu menghancurkan kunci dan rahasia untuk kemudian melakukan serangan lebih lanjut.
BN: Apa saja risiko lain yang terkait dengan kode sumber terbuka yang sering diabaikan?
PM: Ada banyak, tapi yang menonjol adalah maintainer transition. Itu bukan kerentanan perangkat lunak atau paket berbahaya; itu salah satu dari banyak risiko penulis yang berasal dari praktik umum dalam ekosistem sumber terbuka. Terkadang, pengembang tidak lagi memiliki minat atau waktu untuk mempertahankan paket sumber terbuka yang populer. Mereka sering ingin tetap berfungsi untuk pengguna yang mengandalkannya, jadi mereka menyerahkan pemeliharaan kepada individu atau grup lain. Sangat sulit untuk memeriksa motif dan insentif pengelola baru, jadi kendali atas paket-paket ini hanya berada di tangan orang asing yang berbeda dari Internet. Jika pembuat jahat mengambil kendali atas paket yang digunakan dalam aplikasi, itu menimbulkan risiko baru yang tidak diperhitungkan dalam pembuatan awal.
BN: Seberapa penting menyadari dan mengelola dependensi?
PM: Kita harus kritis terhadap ketergantungan karena penyertaan jangka panjang dari setiap paket memperluas permukaan serangan secara drastis. Kita perlu memahami risiko menggunakan kembali kode yang terus berubah untuk mempertahankan perangkat lunak secara efektif. Jika tidak, organisasi akan terus menggunakan kembali kode dari orang asing di Internet dengan strategi hanya berharap yang terbaik. Inilah alasan rantai pasokan perangkat lunak begitu banyak menjadi berita saat ini.
BN: Bagaimana SBOM dapat membantu visibilitas dan keamanan?
PM: SBOM adalah langkah ke arah yang benar, tetapi saya khawatir peraturan dan mandat untuk mengadopsi proses SBOM secara grosir akan menghasilkan banyak gerakan tanpa perbaikan yang berarti pada keamanan perangkat lunak. Gagasan untuk mendapatkan visibilitas ke dalam komponen proyek perangkat lunak adalah hal yang mudah, tetapi proses SBOM yang saya lihat sangat kurang karena hanya menyediakan snapshot yang tidak lengkap pada waktunya.
Informasi yang diberikan oleh SBOM tidak cukup untuk menutupi permukaan serangan rantai pasokan perangkat lunak, dan implikasi bagi vendor dan organisasi konsumen untuk mengadopsi proses penggunaan SBOM mengasumsikan kenyataan di mana anggaran Keamanan Aplikasi dan/atau Keamanan Produk secara efektif tidak terbatas. Format dan proses SBOM perlu berkembang secara signifikan sebelum dapat diadopsi dengan cara yang berarti.
BN: Standar, norma, atau perilaku apa yang perlu diubah agar organisasi dapat melindungi rantai pasokan perangkat lunak mereka dengan sebaik-baiknya?
PM: Diperlukan perubahan mentalitas mendasar. Perusahaan perlu memahami bahwa saat ini mereka dihadapkan pada risiko rantai pasokan perangkat lunak yang signifikan, dan mungkin sudah lama. Keamanan rantai pasokan perangkat lunak masih dalam masa pertumbuhan, jadi serangan berkembang setiap hari, dan pertahanan baru dibuat dalam beberapa tahun terakhir. Asumsikan pengembang Anda secara aktif menjadi sasaran dan bahwa Anda belum menyadari paparan risiko rantai pasokan perangkat lunak. Setelah Anda menerobos rasa aman yang salah, Anda dapat memulai dari tempat yang jujur untuk membangun program yang efektif yang dapat disesuaikan dengan kebutuhan unik Anda.
Kredit Gambar: Manczurov/Shutterstock
