L’ensemble de la chaîne d’approvisionnement logicielle étant de plus en plus ciblée par les acteurs de la menace, le besoin d’un cadre de sécurité de type MITRE ATT&CK qui permettrait aux experts de mieux comprendre et mesurer les risques est apparu, un processus qui jusqu’à présent ne pouvait être basé que sur l’intuition et l’expérience.
OSC&R est conçu pour fournir un langage et une structure communs pour comprendre et analyser les tactiques, techniques et procédures (TTP) utilisées par les adversaires pour compromettre la sécurité des chaînes d’approvisionnement logicielles.
Le consortium fondateur des leaders de la cybersécurité derrière OSC&R comprend :
La matrice, qui doit être mise à jour à mesure que les cyberattaques continuent d’évoluer, est maintenant prête à être utilisée par les équipes de sécurité pour évaluer les défenses existantes et définir les menaces à hiérarchiser.
De plus, les équipes de sécurité seront en mesure de mieux comprendre comment la couverture existante traite ces menaces et d’apprendre comment aider à suivre les comportements des groupes d’attaquants.
Il aidera également les activités d’équipe rouge en aidant à définir la portée requise pour un test d’intrusion ou un exercice d’équipe rouge, servant de tableau de bord à la fois pendant et après le test.
« Essayer de parler de sécurité de la chaîne d’approvisionnement sans une compréhension commune de ce qui constitue la chaîne d’approvisionnement logicielle n’est pas productif », a déclaré Neatsun Ziv, co-fondateur et PDG d’OX Security.
« Sans une définition convenue de la chaîne d’approvisionnement logicielle, les stratégies de sécurité sont souvent cloisonnées. »
Hiroki Suezawa, ingénieur sécurité senior chez Gitlab, a commenté : « OSC&R aide les équipes de sécurité à construire leur stratégie de sécurité en toute confiance.
« Nous voulions donner à la communauté de la sécurité un point de référence unique pour évaluer de manière proactive leurs propres stratégies de sécurisation de leurs chaînes d’approvisionnement logicielles et pour comparer les solutions. »
Naor Penso, responsable de la sécurité des produits chez FICO, a ajouté : « Je pense que le cadre OSC&R aidera les organisations à réduire leur surface d’attaque.
« Je suis fier de participer à un projet qui peut avoir un impact aussi important sur le futur paysage de la sécurité, et de partager nos connaissances et notre expertise. »
Le nouveau cadre OSC&R est désormais disponible en ligne, ici.
En rapport:
Tenir compte des risques de sécurité provenant de tiers dans la chaîne d’approvisionnement — Discuter de la manière dont les organisations peuvent atténuer les risques de sécurité apportés par des tiers dans la chaîne d’approvisionnement.
Ce que le secteur de la vente au détail peut apprendre de la perturbation de la chaîne d’approvisionnement — Considérant ce que les détaillants peuvent apprendre de la perturbation de la chaîne d’approvisionnement.