डेवलपर्स के लिए एनएसए: हमारे पास आपके लिए कुछ सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा युक्तियाँ हैं

  • Sep 05, 2023

नया मार्गदर्शन विशेष रूप से डेवलपर्स के लिए सॉफ़्टवेयर आपूर्ति श्रृंखला सलाह प्रदान करता है।

सॉफ़्टवेयर-डेवलपर्स-कार्य-देर से-getty.jpg
छवि: गेटी

अमेरिकी सुरक्षा एजेंसी, राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने डेवलपर्स को मालिकाना और ओपन-सोर्स सॉफ़्टवेयर को लक्षित करने वाले साइबर हमलों से बचने में मदद करने के लिए नए सॉफ़्टवेयर आपूर्ति श्रृंखला मार्गदर्शन जारी किया है।

नए मार्गदर्शन का उद्देश्य अमेरिकी निजी और सार्वजनिक क्षेत्र के संगठनों को आपूर्ति श्रृंखला हमलों सहित खुद का बचाव करने में मदद करना है रूसी विदेशी खुफिया सेवा (एसवीआर) हैकर्स ने सोलरविंड्स और उसके ग्राहकों के खिलाफ तैनात किया.

तकनीकी सुरक्षा पर अधिक: अगली चुनौतियाँ

  • ये सबसे बड़े साइबर सुरक्षा खतरे हैं। सुनिश्चित करें कि आप उन्हें नज़रअंदाज़ नहीं कर रहे हैं
  • रैनसमवेयर: यह अभी भी एक बड़ा ख़तरा क्यों है, और गिरोह आगे कहाँ जा रहे हैं?
  • ये कल के साइबर सुरक्षा खतरे हैं जिनके बारे में आपको आज सोचना चाहिए
  • साइबर सुरक्षा वास्तव में क्या है? और क्यों इससे फर्क पड़ता है?
  • 7 सर्वश्रेष्ठ साइबर सुरक्षा प्रमाणपत्र: सुरक्षा विशेषज्ञ बनें
  • सर्वोत्तम साइबर सुरक्षा स्कूल और कार्यक्रम

"हाल ही में हुए साइबर हमले जैसे कि सोलरविंड्स और उसके ग्राहकों के खिलाफ किए गए हमले, और ऐसे कारनामे जो Log4j जैसी कमजोरियों का फायदा उठाते हैं, सॉफ्टवेयर आपूर्ति श्रृंखलाओं के भीतर कमजोरियों को उजागर करें, एक मुद्दा जो वाणिज्यिक और ओपन सोर्स सॉफ्टवेयर दोनों तक फैला है और निजी और सरकारी दोनों को प्रभावित करता है उद्यम,"

एनएसए अपने मार्गदर्शन में कहता है.

देखना: ये कल के साइबर सुरक्षा खतरे हैं जिनके बारे में आपको आज सोचना चाहिए

जासूसी एजेंसी का कहना है कि इस बारे में अधिक जागरूकता की आवश्यकता है कि सॉफ्टवेयर आपूर्ति श्रृंखला में समान रणनीति, तकनीकों और प्रक्रियाओं का उपयोग करके राष्ट्र-राज्य विरोधियों द्वारा हथियार बनाए जाने की क्षमता है।

स्थायी सुरक्षा ढांचा (ईएसएफ) - एनएसए और साइबर सुरक्षा के नेतृत्व में एक सार्वजनिक-निजी क्रॉस-उद्योग कार्य समूह इन्फ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) - ने उन घटनाओं की जांच करने के बाद मार्गदर्शन विकसित किया जो सोलरविंड्स हमले का कारण बनीं। ईएसएफ की स्थापना राष्ट्रपति के जवाब में डेवलपर्स, विक्रेताओं और ग्राहकों को पूरा करने के लिए की गई थी जो बिडेन का साइबर सुरक्षा कार्यकारी आदेश संघीय एजेंसियों पर लक्षित है.

इस घटना ने राज्य समर्थित हैकरों की जागरूकता को प्रदर्शित किया कि सॉफ्टवेयर आपूर्ति श्रृंखला सार्वजनिक रूप से ज्ञात और पहले से अज्ञात सॉफ्टवेयर कमजोरियों जितनी ही मूल्यवान थी।

"जैसा कि ईएसएफ ने सोलरविंड्स हमले का कारण बनने वाली घटनाओं की जांच की, यह स्पष्ट था कि सर्वोत्तम प्रथाओं का एक सेट बनाने में निवेश की आवश्यकता थी सॉफ्टवेयर डेवलपर की जरूरतों पर ध्यान केंद्रित किया गया है," एनएसए ने सीआईएसए और राष्ट्रीय निदेशक के कार्यालय के साथ एक संयुक्त प्रेस विज्ञप्ति में कहा। बुद्धिमत्ता।

हालांकि यह मार्गदर्शन सॉफ्टवेयर आपूर्ति श्रृंखला, एजेंसियों में डेवलपर्स द्वारा निभाई जाने वाली प्रमुख भूमिका को स्वीकार करता है सीधे सॉफ़्टवेयर विक्रेताओं और सॉफ़्टवेयर पर लक्षित सर्वोत्तम अभ्यास मार्गदर्शन के संस्करण जारी करेगा ग्राहक.

एजेंसियों का कहना है कि विक्रेता की जिम्मेदारियों में संविदात्मक समझौतों, सॉफ्टवेयर अपडेट, सूचनाओं और कमजोरियों को कम करने के माध्यम से सॉफ्टवेयर की अखंडता और सुरक्षा सुनिश्चित करना शामिल है।

मार्गदर्शन में सुरक्षित विकास प्रथाएं, अंदरूनी खतरे, खुला स्रोत, तीसरे पक्ष के घटकों का सत्यापन, सख्त निर्माण वातावरण और कोड वितरण शामिल हैं।

सोलरविंड्स पर हमला हाल ही में आपूर्ति श्रृंखला पर हुआ सबसे बड़ा हमला था, लेकिन इससे पहले और बाद में भी ऐसे हमले हुए हैं 2017 में NotPetya विनाशकारी मैलवेयर जिसे यूक्रेन-विशिष्ट लेखांकन पैकेज के माध्यम से लॉन्च किया गया, और 2021 में आईटी फर्म कासिया पर रैंसमवेयर हमला, इसका प्रभाव पड़ रहा है प्रबंधित सेवा-प्रदाता ग्राहक और उनके ग्राहक.

यूके का राष्ट्रीय साइबर सुरक्षा केंद्र (एनसीएससी) उम्मीद है कि आपूर्ति श्रृंखला हमले एक आकर्षक आक्रमण वाहक बने रहेंगे आने वाले वर्षों में आपूर्ति श्रृंखला की व्यापकता, तीसरे पक्ष के सॉफ़्टवेयर घटकों और मानव के व्यापक उपयोग के कारण कारक, जिनमें दुर्भावनापूर्ण व्यवहार से लेकर सॉफ़्टवेयर निर्माण में घुसपैठ करने के लिए डेवलपर्स से समझौता करने वाले विदेशी जासूसों तक शामिल हैं प्रणाली।

"समझौता किए गए इंजीनियरों" पर एनएसए और सीआईएसए का अनुभाग - अंदरूनी खतरे - आपूर्ति श्रृंखला को सुरक्षित करने की जटिलता को दर्शाता है।

देखना: अपने क्लाउड साइबर सुरक्षा विकल्पों को हैकरों के लिए खुला न रहने दें

"समझौता किए गए इंजीनियर का पता लगाना और उसका आकलन करना एक कठिन खतरा है। समझौता करने वाला कर्मचारी बाहरी प्रभावों के दबाव में हो सकता है या उसके मन में बदला लेने की भावना हो सकती है। खराब प्रदर्शन समीक्षा, पदोन्नति की कमी, या अनुशासनात्मक कार्रवाई केवल कुछ घटनाएँ हैं इससे डेवलपर किसी संगठन के खिलाफ कार्रवाई कर सकता है और उसके विकास को नुकसान पहुंचा सकता है कोशिश। इसके अतिरिक्त, राष्ट्र राज्य या प्रतिस्पर्धी अन्य चीजों के अलावा नियंत्रित पदार्थों, असफल रिश्तों, या ऋण के साथ किसी अंदरूनी व्यक्ति के संघर्ष का लाभ उठा सकते हैं।"

समझौता किए गए इंजीनियरों के अलावा, मार्गदर्शन जानबूझकर लगाए गए पिछले दरवाजों पर भी प्रकाश डालता है जो इंजीनियरों के लिए समस्याओं का निवारण करना आसान बनाते हैं, खराब प्रशिक्षित इंजीनियर, साथ ही ऐसे खाते जो डेवलपर अनुबंध समाप्त होने के बाद भी खुले रहते हैं, और दूरस्थ विकास से समझौता किया जाता है सिस्टम.

मार्गदर्शन अनुशंसा करता है कि डेवलपर्स स्थिर और गतिशील कोड विश्लेषण करें, रात्रिकालीन निर्माण करें सुरक्षा और प्रतिगमन परीक्षण, सुविधाओं को आवश्यकताओं के अनुसार मैप करना, कोड समीक्षाओं को प्राथमिकता देना और महत्वपूर्ण समीक्षा करना कोड.

सुरक्षा

अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें
  • अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
  • अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
  • सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
  • कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें