Los patrocinadores del marco Open Software Supply Chain Attack Reference (OSC&R) para la seguridad de la cadena de suministro se han puesto en marcha en Github, lo que permite que cualquiera contribuya al modelo.
El marco similar a MITRE ATT&CK se lanzó en febrero con el objetivo declarado de ayudar a los equipos de seguridad a mejorar su comprensión de las amenazas de la cadena de suministro de software, evaluarlas y controlarlas.
Dirigido por Ox Security, un especialista en la cadena de suministro con sede en Israel, los patrocinadores del proyecto incluyen a David Cross, ex ejecutivo de seguridad en la nube de Microsoft y Google; Neatsun Ziv, cofundador y director ejecutivo de Ox Security; Lior Arzi, cofundador y CPO de Ox Security; Hiroki Suezawa, ingeniero de seguridad sénior de GitLab; Eyal Paz, jefe de investigación de Ox Security; Chenxi Wang, ex miembro de la junta global de OWASP; Shai Sivan, CISO de Kaltura; Naor Penso, jefe de seguridad de productos de FICO; y Roy Feintuch, ex CTO de nube en Check Point.
“Después de que lanzamos OSC&R, nos abrumaron los correos electrónicos de personas que trabajaban en elementos dentro de OSC&R y que querían contribuir”, dijo Neatsun Ziv, quien se desempeñó como vicepresidente de seguridad cibernética de Check Point antes de fundar Ox.
“Al mudarnos a Github y abrir el proyecto a las contribuciones, esperamos capturar este conocimiento y experiencia colectivos para el beneficio de toda la comunidad de seguridad”.
Al mismo tiempo, la seguridad de productos de Visa, Dineshwar Sahni, también se unió al consorcio, mientras que el ex director de la NSA, Mike Rogers, quien dirigió la agencia de inteligencia de EE. UU. de 2014 a 2018, respaldó el proyecto.
“La seguridad cibernética es un juego del gato y el ratón”, dijo Rogers. “Obtener la ventaja requiere construir un buen modelo de amenazas y OSC&R permite a las organizaciones identificar los requisitos de seguridad, identificar las amenazas de seguridad y las posibles vulnerabilidades, cuantificar la criticidad de las amenazas y las vulnerabilidades y priorizar los métodos de remediación”.
Sahni agregó: “En un episodio de Star Trek, mientras trabajaba en las vulnerabilidades de la Enterprise en relación con el actor de amenazas, el Sr. Spock dijo: ‘¡Los hechos insuficientes siempre invitan al peligro, Capitán!’. Sin duda, lo mismo ocurre con la seguridad cibernética, donde la falta de información aumenta la vulnerabilidad. Al aumentar el conocimiento de la comunidad, OSC&R tiene un tremendo potencial para mitigar los peligros de la cadena de suministro de software y reducir la superficie de ataque de manera más amplia”.
Los patrocinadores del marco creen que su proyecto resultará inmensamente valioso para las empresas que buscan desarrollar sus programas de seguridad de la cadena de suministro de software. Entre otras cosas, puede ayudar a evaluar las defensas existentes, definir criterios de priorización de amenazas y rastrear los comportamientos de los grupos de atacantes.
La necesidad de que las organizaciones prioricen la resiliencia de sus cadenas de suministro de software se ha recalcado repetidamente en los últimos años, y posiblemente el incidente más impactante fue el incidente de SolarWinds de 2020/1, que comenzó cuando los actores de amenazas rusos comprometieron la red Orion de la empresa. plataforma de administración e inyectó malware de puerta trasera que luego se envió a los clientes como una actualización “contaminada”.
La historia se repite incluso hoy, como lo demuestra un incidente aún en desarrollo en la empresa de comunicaciones unificadas 3CX, que comenzó cuando se envió una actualización del producto con un problema de seguridad que está siendo explotado por un actor de amenazas con vínculos con el régimen de Corea del Norte.