Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for supply chain

supply chain

SBOM Harus menjadi Pokok Keamanan dalam Rantai Pasokan Perangkat Lunak

by

Selain daftar bahan pada kemasan makanan yang memungkinkan konsumen mengetahui apa yang ada di dalam makanan, Software Bill of Material (SBOMs) juga merupakan inventaris komponen dalam perangkat lunak, alat penting pada saat aplikasi merupakan kumpulan kode dari berbagai sumber, banyak dari luar tim pengembangan organisasi.

SBOM selama beberapa tahun terakhir telah menjadi inti dari gambaran manajemen rantai pasokan perangkat lunak yang berkembang seiring dengan meningkatnya tingkat ancaman.

SBOM juga merupakan poin kunci dalam rencana keamanan siber nasional yang dikembangkan oleh Administrasi Biden dan dirilis minggu ini. Mereka memberitahu organisasi mengenai komponen apa yang membentuk perangkat lunak yang dibawa serta kode yang ada di sana.

Ketertarikan terbaru pada SBOM dapat ditelusuri kembali ke upaya pada tahun 2018 oleh Administrasi Telekomunikasi dan Informasi Nasional, divisi dari Departemen Perdagangan AS, dengan standar tentang masalah tersebut diterbitkan tiga tahun kemudian. Perintah Eksekutif Presiden Biden pada Mei 2021 meminta pemerintah federal untuk meningkatkan keamanan TI setelah SolarWinds dan Log4j, keduanya mempengaruhi lembaga pemerintah.

Tantangannya adalah penerapan dan pengelolaan SBOM sangat manual, berita buruk bagi admin dan developer. Ketegangan yang berkelanjutan ketika berbicara tentang keamanan rantai pasokan perangkat lunak memastikan bahwa tuntutan keamanan tidak menghalangi peningkatan kecepatan pengembangan perangkat lunak modern.

Yang dibutuhkan sekarang adalah pertukaran kerentanan yang aman dan terpusat di mana perusahaan dapat berbagi informasi tentang kelemahan. Memiliki data SBOM memang berguna, tetapi jika kerentanan terungkap, komunikasi tentangnya masih bersifat point-to-point dan informasi tersebut perlu disebarluaskan lebih cepat dan luas.

Masalah lain yang muncul adalah bahwa SBOM dan sejenisnya berarti lebih banyak pekerjaan bagi mereka yang memelihara perangkat lunak sumber terbuka yang digunakan di sebagian besar aplikasi, kata Fischer.

Selengkapnya: The Register

IBM Mengkontribusikan Alat Keamanan Rantai Pasokan ke OWASP

by

Pemindai Lisensi dan Utilitas SBOM akan meningkatkan kemampuan standar Bill of Material Perangkat Lunak CycloneDX OWASP.

SBOM adalah daftar inventaris semua komponen individu yang digunakan dalam perangkat lunak. IBM telah menyumbangkan dua alat rantai pasokan open-source ke standar CycloneDX Software Bill of Materials (SBOM) dari Open Worldwide Application Security Project (OWASP) Foundation. Alat tersebut akan mengisi dua celah penting di CycloneDX, digambarkan OWASP sebagai standar BOM “full-stack” yang memberikan pengurangan risiko rantai pasokan tingkat lanjut.

Menanggapi berbagai serangan rantai pasokan dan kekacauan Log4j, Gedung Putih mengeluarkan perintah eksekutif yang mengamanatkan developer meningkatkan keamanan rantai pasokan mereka.

Upaya untuk membakukan SBOM telah dipercepat dengan peningkatan tajam dalam serangan rantai pasokan perangkat lunak selama dua tahun terakhir.

Pendukung CycloneDX yang lebih baru menggambarkannya sebagai standar yang lebih ringan yang lebih cocok untuk mereka yang mencari cara yang dapat dibaca mesin untuk bertukar informasi. Linux Foundation pada tahun 2021 menyatakan SPDX sebagai standar SBOM, meski pada awalnya dibuat untuk kasus penggunaan kekayaan intelektual dan lisensi. Kedua organisasi memperluas upaya standar SBOM masing-masing.

Diirektur keamanan produk di ServiceNow dan ketua kelompok kerja CycloneDX OWASP mengatakan bahwa IBM telah secara aktif berpartisipasi dalam memajukan upaya standar CycloneDX.

SBOM Utility dapat memproses dokumen seperti Vulnerability Disclosure Reports (VDRs) dan format data Vulnerability Exploitability eXchange (VEX), yang telah ditentukan oleh CycloneDX untuk memberikan penilaian risiko.

Selengkapnya: DARK Reading

Bagaimana InfoSec Harus Menggunakan Daftar Periksa Produk Aman Minimum yang Layak

by

Sebuah tim perusahaan teknologi termasuk Google, Salesforce, Slack, dan Okta baru-baru ini merilis daftar periksa Minimum Viable Secure Product (MVSP), garis dasar keamanan netral vendor yang mencantumkan persyaratan keamanan minimum yang dapat diterima untuk perangkat lunak B2B dan pemasok outsourcing proses bisnis.

Berita itu datang pada saat banyak organisasi semakin khawatir tentang keamanan alat dan proses pihak ketiga yang mereka gunakan.

Tren ini telah mendorong percakapan yang lebih luas tentang rantai pasokan TI dan bagaimana perusahaan berinteraksi dengan vendor untuk menentukan keamanan produk pihak ketiga.

Banyak organisasi secara historis menggunakan kuesioner tinjauan keamanan vendor untuk menentukan kekuatan keamanan perangkat lunak vendor, kata Royal Hansen, wakil presiden keamanan di Google, yang ia catat merilis Kuesioner Penilaian Keamanan Vendor open source pada tahun 2016.

“Meskipun kuesioner ini dapat membantu, seringkali panjang, kompleks, dan memakan waktu,” kata Hansen. “Akibatnya, pendeteksian pemblokir serius sering kali terlambat dalam sebuah proyek untuk membuat perubahan, sehingga mereka tidak efektif untuk RFP dan tinjauan tahap awal.”

Bisnis juga telah membuat daftar tindakan keamanan mereka sendiri, terkadang sewenang-wenang, tambah Jim Alkove, chief trust officer di Salesforce.

Ini menciptakan sakit kepala bagi vendor yang kemudian harus memenuhi ribuan persyaratan yang berpotensi berbeda, tambahnya. Dalam kasus ini, apabila kesalahan terjadi, akan menimbulkan vektor serangan baru.

“Itu sifat manusia,” kata Alkove. “Banyak keamanan siber datang untuk melakukan hal-hal umum yang tidak biasa dengan baik. Namun, tidak ada standar universal untuk apa ‘hal-hal umum’ itu.”

Selengkapnya: Dark Reading

Keamanan sumber terbuka: Google memiliki rencana baru untuk menghentikan serangan rantai pasokan perangkat lunak

by

Untuk mengatasi ancaman serangan yang berkembang pada rantai pasokan perangkat lunak, Google telah mengusulkan kerangka kerja Tingkat Rantai Pasokan untuk Artefak Perangkat Lunak, atau SLSA yang diucapkan “salsa”.

Penyerang yang canggih telah mengetahui bahwa rantai pasokan perangkat lunak adalah bagian bawah dari industri perangkat lunak. Di luar peretasan SolarWinds yang mengubah permainan, Google menunjuk ke serangan rantai pasokan Codecov baru-baru ini, yang berdampak pada perusahaan keamanan siber Rapid7 melalui pengunggah Bash yang tercemar.

Meskipun serangan rantai pasokan bukanlah hal baru, Google mencatat bahwa serangan tersebut telah meningkat pada tahun lalu, dan telah mengalihkan fokus dari eksploitasi untuk kerentanan perangkat lunak yang diketahui atau zero-day.

Google menggambarkan SLSA sebagai “kerangka kerja ujung ke ujung untuk memastikan integritas artefak perangkat lunak di seluruh rantai pasokan perangkat lunak”.

Ini memimpin dari “Binary Authorization for Borg” (BAB) internal Google – sebuah proses yang telah digunakan Google selama lebih dari delapan tahun untuk memverifikasi asal kode dan menerapkan identitas kode.

Tujuan BAB adalah untuk mengurangi risiko orang dalam dengan memastikan bahwa perangkat lunak produksi yang digunakan di Google ditinjau dengan benar, terutama jika kode tersebut memiliki akses data pengguna.

Sementara kerangka kerja SLSA hanyalah seperangkat pedoman untuk saat ini, Google membayangkan bahwa bentuk akhirnya akan melampaui praktik terbaik melalui penegakan.

Selengkapnya: ZDNet

10 Pelajaran Cybersecurity yang dapat dipetik satu tahun dalam pandemi

by

Menurut laporan Global Digital Trust Insights 2021 PWC, 96% eksekutif bisnis dan teknologi memprioritaskan investasi siber mereka karena Covid-19 dan dampaknya terhadap organisasi mereka tahun ini.

Laporan ini didasarkan pada wawancara dengan 3.249 eksekutif bisnis dan teknologi di seluruh dunia, dan setengah dari eksekutif yang disurvei mengatakan cybersecurity dan privasi sedang dimasukkan dalam setiap keputusan dan rencana bisnis. Pada tahun 2019, angka itu mendekati 25%.

Sumber: PwC

Kemampuan aktor jahat untuk di rumah pada kesenjangan cybersecury, dalam sistem dan manusia, terbukti secara akurat pada tahun 2020. Dari banyak pelajaran yang dipetik pada tahun 2020, mungkin yang paling berharga adalah bahwa elemen manusia harus datang lebih dulu.

Berikut ini adalah 10 pelajaran teratas yang dipelajari dalam satu tahun pandemi, menurut Cisos, CIO, dan tim mereka:

  1. Rantai pasokan dunia nyata rentan terhadap serangan siber
  2. Tenaga kerja virtual membuat self-diagnosing dan self-remediating endpoint menjadi sebuah keharusan
  3. Perdagangan Touchless berarti Kode QR sekarang menjadi vektor ancaman yang tumbuh paling cepat
  4. Peningkatan akan serangan siber terhadap penyedia layanan terkelola (MSP).
  5. Penyerang dapat membahayakan rantai pasokan perangkat lunak dan memodifikasi executable
  6. Rekayasa Sosial Dapat Mengompromi Platform Media Sosial
  7. Menggunakan zero-trust untuk mengelola identitas mesin
  8. Aktor jahat Mengubah Catatan Perawatan Kesehatan menjadi Penjualan Terbaik
  9. Kesalahan konfigurasi keamanan cloud adalah penyebab utama pelanggaran data cloud
  10. Pemantauan infrastruktur sangat penting untuk mengidentifikasi anomali.

Selengkapnya: Venturebeat

Bagaimana kepercayaan lembaga A.S. pada perangkat lunak yang belum teruji membuka pintu bagi peretas

by

Peretasan besar-besaran selama berbulan-bulan di seluruh badan pemerintah AS berhasil, sebagian, karena tidak ada yang mencari di tempat yang tepat.

Pemerintah federal hanya melakukan inspeksi keamanan sepintas terhadap perangkat lunak yang dibelinya dari perusahaan swasta untuk berbagai aktivitas, mulai dari mengelola basis data hingga mengoperasikan aplikasi obrolan internal. Itu menciptakan titik buta yang dicurigai telah dieksploitasi oleh para peretas Rusia untuk melanggar Departemen Keuangan, Departemen Keamanan Dalam Negeri, Institut Kesehatan Nasional, dan lembaga lainnya. Setelah menyematkan kode dalam perangkat lunak manajemen jaringan yang banyak digunakan yang dibuat oleh perusahaan Texas bernama SolarWinds, yang harus mereka lakukan hanyalah menunggu agensi mengunduh pembaruan perangkat lunak rutin dari pemasok tepercaya.

Saat penyelidik berlomba untuk menilai kerusakan dari peretasan, para ahli dan anggota parlemen menyerukan peningkatan pengawasan terhadap kode pihak ketiga yang diizinkan oleh lembaga pemerintah di jaringan mereka dan menuntut perbaikan untuk kelemahan yang telah lama diketahui.

Serangan terhadap vendor dalam rantai pasokan perangkat lunak merupakan masalah yang diketahui yang perlu diprioritaskan, kata Rep. Jim Langevin (D-R.I.), Salah satu pendiri Kongres Cybersecurity Caucus.

Dia mengatakan Kongres perlu “memberi insentif” kepada perusahaan untuk membuat perangkat lunak mereka lebih aman, yang mungkin memerlukan perubahan mahal.

Daripada memaksakan persyaratan keamanan baru pada vendor, beberapa ahli mengatakan agensi harus lebih memperhatikan perangkat lunak yang mereka beli dan secara rutin menguji kekurangannya. Tetapi audit perangkat lunak rutin kemungkinan akan menjadi beban besar bagi agen federal.

Salah satu pendekatannya adalah dengan memusatkan pengujian perangkat lunak di satu agensi. Namun tidak semua orang yakin bahwa sentralisasi ini akan berhasil.

Sumber: Politico

Microsoft: Beberapa serangan ransomware membutuhkan waktu kurang dari 45 menit

by

Microsoft telah merangkum ancaman terbesar yang dihadapi perusahaan saat ini dalam menghadapi kejahatan siber dan penyerang negara-bangsa dalam Microsoft Digital Defense Report barunya.

CYBERCRIME

Sementara beberapa kelompok kejahatan siber menggunakan tema COVID-19 untuk memikat dan menginfeksi pengguna, Microsoft mengatakan operasi ini hanya sebagian kecil dari ekosistem malware umum, dan pandemi tampaknya memainkan peran minimal dalam serangan malware tahun ini.

Email phishing di sektor enterprise juga terus berkembang dan menjadi vektor yang dominan. Kebanyakan umpan phishing berpusat di sekitar Microsoft dan penyedia SaaS lainnya, dan 5 brand yang paling sering dipalsukan adalah Microsoft, UPS, Amazon, Apple, dan Zoom.

Operasi phishing yang berhasil juga sering digunakan sebagai langkah pertama dalam penipuan Business Email Compromise (BEC). Microsoft mengatakan bahwa penjahat mendapatkan akses ke kotak masuk email eksekutif, melihat komunikasi email, dan kemudian masuk untuk mengelabui mitra bisnis pengguna yang diretas agar membayar faktur ke rekening bank yang salah.

Menurut Microsoft, akun yang paling ditargetkan dalam penipuan BEC adalah akun untuk C-suite dan karyawan akuntansi dan penggajian.

Tetapi Microsoft juga mengatakan bahwa phishing bukan satu-satunya cara peretas untuk masuk ke akun korban. Peretas juga mulai mengadopsi penggunaan ulang password dan serangan password spray terhadap protokol email lama seperti IMAP dan SMTP.

Serangan ini sangat populer dalam beberapa bulan terakhir karena memungkinkan penyerang untuk melewati solusi otentikasi multi-faktor (MFA), karena masuk melalui IMAP dan SMTP tidak mendukung fitur tersebut.

RANSOMWARE GROUPS

Namun, sejauh ini, ancaman kejahatan siber yang paling mengganggu beberapa tahun ini adalah geng ransomware. Microsoft mengatakan bahwa infeksi ransomware telah menjadi alasan paling umum di balik keterlibatan respons insiden (IR) perusahaan dari Oktober 2019 hingga Juli 2020.

Dan dari semua geng ransomware, kelompok yang dikenal sebagai “big game hunters” dan “ransomware yang dioperasikan oleh manusia” adalah yang paling membuat Microsoft pusing. Ini adalah grup yang secara khusus menargetkan jaringan tertentu milik perusahaan besar atau organisasi pemerintah, mengetahui bahwa mereka akan menerima pembayaran tebusan yang lebih besar.

Sebagian besar dari grup ini beroperasi baik dengan menggunakan infrastruktur malware yang disediakan oleh grup kejahatan siber lain atau dengan memindai internet secara masal untuk menemukan kerentanan yang baru diungkapkan.

“Para penyerang telah mengeksploitasi krisis COVID-19 untuk mengurangi dwell time mereka dalam sistem korban – mengkompromikan, mengeksfiltrasi data dan, dalam beberapa kasus, menebus dengan cepat – tampaknya percaya bahwa akan ada peningkatan kesediaan untuk membayar sebagai akibat dari wabah tersebut,” Kata Microsoft.

“Dalam beberapa kasus, hanya dibutuhkan waktu kurang dari 45 menit untuk penjahat siber masuk hingga menebus seluruh jaringan dalam.”

SUPPLY-CHAIN SECURITY

Tren utama lainnya yang dipilih Microsoft untuk menjadi sorotan adalah peningkatan penargetan rantai pasokan dalam beberapa bulan terakhir, daripada menyerang target secara langsung.

Hal ini memungkinkan pelaku ancaman untuk meretas satu target dan kemudian menggunakan infrastruktur target itu sendiri untuk menyerang semua pelanggannya, baik satu per satu, atau semuanya pada waktu yang sama.

NATION-STATE GROUPS

Mengenai grup peretasan negara-bangsa (juga dikenal sebagai APT, atau ancaman persisten tingkat lanjut), Microsoft mengatakan tahun ini cukup sibuk.

Microsoft mengatakan bahwa antara Juli 2019 dan Juni 2020, mereka mengirimkan lebih dari 13.000 nation-state notification (NSN) kepada pelanggannya melalui email.

Menurut Microsoft, sebagian besar dikirim untuk operasi peretasan yang berhubungan dengan grup yang disponsori negara Rusia, sementara sebagian besar korban berada di Amerika.

Temuan menarik lainnya dari Microsoft Digital Defense Report adalah bahwa target utama serangan APT adalah organisasi non-pemerintah dan industri layanan.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Cybersecurity: Rantai pasokan Anda menjadi penghubung terlemah Anda

by

Lebih dari 80% organisasi telah mengalami pelanggaran data sebagai akibat kerentanan keamanan dalam rantai pasokan mereka. Penjahat siber memanfaatkan keamanan yang buruk dari vendor yang lebih kecil sebagai sarana untuk mendapatkan akses ke jaringan organisasi besar.

Penelitian oleh perusahaan keamanan siber BlueVoyant menemukan bahwa organisasi memiliki rata-rata 1.013 vendor di ekosistem pemasok mereka – dan 82% organisasi telah mengalami pelanggaran data dalam 12 bulan terakhir karena kelemahan keamanan siber dalam rantai pasokan.

Namun, terlepas dari risiko yang ditimbulkan oleh kerentanan keamanan dalam rantai pasokan, sepertiga organisasi memiliki sedikit atau bahkan tidak mengetahui indikasi apakah peretas telah masuk ke rantai pasokan mereka, yang berarti mereka mungkin tidak mengetahui bahwa mereka telah menjadi korban suatu insiden hingga sudah terlambat.

Perusahaan besar cenderung lebih terlindungi daripada perusahaan kecil, yang berarti peretas semakin beralih ke pemasok mereka sebagai cara untuk menyusup ke jaringan dengan cara yang seringkali luput dari perhatian.

Contohnya pada tahun 2017 ketika NotPetya menyerang organisasi yang terinfeksi di seluruh dunia, yang tampaknya pertama kali menyebar menggunakan mekanisme pembaruan perangkat lunak yang dibajak dari sebuah perusahaan perangkat lunak akuntansi. Serangan itu dengan cepat menyebar di luar kendali dan menjatuhkan jaringan organisasi di seluruh Eropa dan sekitarnya.

Salah satu alasan utama mengapa kerentanan rantai pasokan dapat luput dari perhatian adalah karena sering kali tidak jelas siapa yang bertanggung jawab atas pengelolaan risiko dalam hal hubungan dengan vendor pihak ketiga – bahkan jika diketahui bahwa pemasok mungkin memiliki kerentanan, memperbaiki masalah mungkin tidak akan pernah terjadi karena tidak ada orang atau tim tetap yang bertanggung jawab atas vendor ini.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet