Na quinta-feira passada, 17, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA publicou a parte final de sua série de três seções sobre como proteger a cadeia de suprimentos de software. A publicação, que segue a versão de orientação para desenvolvedores de agosto e a versão de orientação para fornecedores de outubro, fornece práticas recomendadas para clientes para garantir a integridade e a segurança do software durante as fases de aquisição e implantação.
O documento — a edição em inglês pode ser acessada aqui — aqui foi publicado em colaboração com a Agência de Segurança Nacional (NSA) e o Gabinete do Diretor de Inteligência Nacional (ODNI) dos EUA.
O novo documento descreve vários cenários que os operadores de ameaças podem explorar. Isso inclui o fato de que os requisitos de segurança destinados a combater as ameaças não são específicos do domínio ou excluem os requisitos organizacionais e que as lacunas na análise dos requisitos de segurança podem levar a uma incompatibilidade da solução ou dos controles de segurança selecionados.
“Inadequações gerais de segurança também podem prevalecer quando um produto não está devidamente protegido, quando um cliente está associado a geolocalização de risco e metadados suspeitos ou quando um cliente é suspeito de estar associado a interesses estrangeiros”, escreve a CISA.
A agência fornece uma série de recomendações para ajudar a reduzir as vulnerabilidades na fase de compras e aquisições. Entre eles estão manter os requisitos de segurança e avaliações de risco atualizados usando processos de negócios e exigindo proteção adequada e controle de geolocalização de todos os dados e metadados.
Veja isso
Ferramenta da CISA calcula prioridade de vulnerabilidades
Um alerta da CISA: preparem-se para a era pós-quântica
Além disso, as empresas devem atribuir funções individuais para verificar os requisitos de segurança organizacional e específicos do domínio e coordenar as definições de perfil de risco com as áreas de missão e corporativa, entre outros.
“A produção de software geralmente é feita pela indústria, então haverá forças da indústria que resistirão a querer produzir listas de materiais de software [SBOMs]”, disse Sounil Yu, diretor de segurança da informação da JupiterOne, à Infosecurity. “Como a indústria e o governo consomem software, é do interesse da indústria e do governo apoiar o compartilhamento de SBOMs. No entanto, veremos menos resistência dentro do governo.”
A CISA também disse que os requisitos de segurança para todas as aquisições também devem ser estabelecidos. Ao adquirir software por meio de spin-offs, entidades externas ou fornecedores terceirizados, os clientes devem implementar monitoramento contínuo de todo o cálculo de gerenciamento de risco da cadeia de suprimentos (SCRM), bem como controles apropriados para mitigar mudanças nas suposições e riscos de segurança.