Marco OSC&R para detener los ataques a la cadena de suministro en la naturaleza

Un equipo de líderes de seguridad cibernética y personas influyentes se han unido para lanzar un marco abierto para ayudar a los equipos de seguridad a mejorar su comprensión de las amenazas a sus cadenas de suministro de software, evaluarlas y controlarlas.

Open Software Supply Chain Attack Reference, o OSC&R, es un marco similar a MITRE ATT&CK creado con aportes de Check Point, Fortinet, GitLab, Google, Microsoft, OWASP y otros, dirigido por Ox Security, una empresa con sede en Israel. especialista en seguridad de la cadena de suministro.

A la luz del creciente número de incidentes cibernéticos importantes que comenzaron a través de la explotación de vulnerabilidades en el software, ya sea de código abierto o cerrado, el grupo cree que existe una necesidad concreta de un marco sólido que permita a los expertos comprender y medir el riesgo de su cadena de suministro, que hasta hasta ahora, dicen, solo podría hacerse realmente a través de una combinación de intuición y experiencia vivida.

“Tratar de hablar sobre la seguridad de la cadena de suministro sin una comprensión común de lo que constituye la cadena de suministro de software no es productivo”, dijo Neatsun Ziv, exvicepresidente de Check Point, quien fundó Ox Security, que surgió de la clandestinidad en septiembre de 2022 respaldado por 34 millones de dólares de financiación.

“Sin una definición acordada de la cadena de suministro de software, las estrategias de seguridad a menudo están aisladas”, dijo.

OSC&R supuestamente ayudará a esto al establecer un lenguaje y una estructura comunes para ayudar a los equipos de seguridad a comprender y analizar las tácticas, técnicas y procedimientos (TTP) que los actores de amenazas utilizan para comprometer a las víctimas posteriores a través de sus cadenas de suministro de software.

El marco, que se describe con más detalle aquí, ya está disponible y listo para usarse para ayudar a los equipos a evaluar sus defensas, definir qué amenazas deben priorizar, comprender cómo sus posturas de seguridad existentes podrían abordar dichas amenazas y ayudar a rastrear comportamientos del atacante.

Sus patrocinadores esperan actualizarlo a medida que surjan y evolucionen nuevos TTP, y finalmente planean que el marco ayude a las actividades de formación de equipos rojos ayudando a establecer el alcance de los ejercicios, sirviendo como una especie de cuadro de mando durante y después de dichas pruebas. También está abierto a que otros profesionales de la seguridad contribuyan, si así lo desean.

“OSC&R ayuda a los equipos de seguridad a construir su estrategia de seguridad con confianza”, dijo Hiroki Suezawa, ingeniero de seguridad sénior de Gitlab. “Queríamos darle a la comunidad de seguridad un único punto de referencia para evaluar de manera proactiva sus propias estrategias para proteger sus cadenas de suministro de software y comparar soluciones”.

¿Se necesita más trabajo?

Tim Mackey, jefe de estrategia de riesgo de la cadena de suministro de software en Synopsys Software Integrity Group, dijo que el proyecto tenía mucho potencial, pero que se necesitaba más trabajo.

Dado que las cadenas de suministro de software son propensas a la complejidad gracias a las múltiples relaciones entre desarrolladores, proveedores de infraestructura, procesadores de datos y operadores de software, los riesgos inherentes están profundamente entrelazados y son difíciles de determinar.

“El modelo OSC&R que ha sido propuesto por la Lista de Materiales de Pipeline [PBOM] community es una forma de describir las debilidades en forma de modelo de ataque. Sin embargo, en su estado actual, carece de detalles significativos para describir ejemplos de posibles ataques, mitigaciones y detecciones”, dijo.

“Será interesante ver cómo evoluciona OSC&R y cómo se alinea en última instancia con modelos probados como MITRE ATT&CK, donde es posible que OSC&R represente un nivel más rico de granularidad que el que existe actualmente para la cadena de suministro de software comprometida”.

Exit mobile version