Sådan sikrer du dig mod supply-chain-angreb
Jacob Herbst, partner og teknisk chef i Dubex, holdt forleden oplæg i PROSA om et avanceret supply chain-angreb rettet mod open source biblioteket XZutil på Github. Som diskuteret under oplægget, kan et angreb -som kompromitteringen af XZUtil - være næsten umuligt at opdage, men man kan stadig gøre meget for beskytte sig mod mange typer af software supply chain-angreb.
Han giver her fem anbefalinger til, hvad myndigheder og virksomheder bl.a. kan gøre:
1. Zero Trust Koncept
Anvend en Zero Trust tilgang, hvor ingen enheder eller brugere automatisk får adgang, selvom de er inden for netværket. Dette hjælper med at isolere en evt. kompromittering.
2. Trusselsmodellering
Foretag en trusselsmodellering for at identificere mulige angrebsvektorer, der skyldes en kompromitteret software supply chain, og sørg for at have en strategi til at imødegå sådanne trusler.
3. Logning og sikkerhedsovervågning
Overvåg netværkstrafik og systemlogfiler for mistænkelig aktivitet, så angreb kan opdages og reageres på så hurtigt som muligt.
4. Kodegennemgang
Udfør om muligt eget kodereview og sikkerhedstests af både software fra leverandører og egenudviklet software. Vær særlig opmærksom på afhængigheder - altså kodebiblioteker og softwarepakker som indgår.
5. Digital Signering
Anvend digital signering af software og opdateringer for at sikre, at de ikke er blevet manipuleret under distributionen. Anvendes signering af software internt skal anvendte nøgler m.m. beskyttes mod angreb, f.eks. ved at de opbevares offline.
Bliv klogere på Jacob Herbst og it-sikkerhed i Prosabladet:
> Prosabladet: Jacob Herbst gør status: Sådan er it-trusselsbilledet lige nu
PROSAs kurser er gratis for medlemmer:
> Se alle aktuelle kurser og arrangementer her
Læs mere i Prosabladet
> Hacker-angrebet du (måske) aldrig har hørt om
