Myrror Security Codebewuste en aanvalsbewuste SCA

Cyberbeveiliging
Myrror Security

Invoering

De moderne softwaretoeleveringsketen vertegenwoordigt een voortdurend evoluerend dreigingslandschap, waarbij elk pakket aan het manifest wordt toegevoegd en nieuwe aanvalsvectoren introduceert. Om aan de eisen van de sector te voldoen, moeten organisaties een snel ontwikkelingsproces handhaven en tegelijkertijd op de hoogte blijven van de nieuwste beveiligingspatches. In de praktijk worden ontwikkelaars echter vaak geconfronteerd met een grote hoeveelheid beveiligingswerk zonder duidelijke prioriteiten, en missen ze een aanzienlijk deel van het aanvalsoppervlak.

Het voornaamste probleem komt voort uit de detectie- en prioriteringsmethoden die worden gebruikt door traditionele Static Code Analysis (SCA)-tools voor kwetsbaarheden. Deze methoden missen de organisatiespecifieke context die nodig is om een ​​weloverwogen scorebeslissing te nemen: de score, ook al is deze van cruciaal belang, is dat misschien niet Eigenlijk van cruciaal belang zijn voor een organisatie omdat de infrastructuur op een unieke manier werkt, waardoor de daadwerkelijke impact van de kwetsbaarheid wordt beïnvloed.

Met andere woorden: aangezien deze tools afhankelijk zijn van een relatief naïeve methodologie om het risico van een kwetsbaarheid te bepalen, eindigen ze met voornamelijk irrelevante kwetsbaarheidsscores, waardoor het veel moeilijker wordt om te bepalen welke kwetsbaarheden het eerst moeten worden aangepakt.

Bovendien pakken ze veel supply chain-aanvallen niet aan, zoals typosquatting, het injecteren van kwaadaardige code, CI/CD-aanvallen, enz. Dit toezicht misleidt Application Security (AppSec)-teams en ontwikkelaars zodat ze zich concentreren op minder kritieke kwesties, waardoor het ontwikkelingsproces wordt vertraagd en waardoor de organisatie kwetsbaar wordt voor aanzienlijke aanvalsvectoren.

Myrror Security ontwikkelt innovatieve oplossingen voor deze uitdagingen door een revolutie teweeg te brengen in de manier waarop organisaties hun supply chain-risico’s detecteren, prioriteren en verhelpen. Het platform van Myrror zorgt ervoor dat AppSec- en technische teams de juiste problemen op het juiste moment aanpakken door gebruik te maken van binaire-naar-bron-analyse voor elk pakket van derden in de codebase. In tegenstelling tot traditionele SCA-tools die de impact beoordelen met behulp van detectie op versieniveau in manifestbestanden, gebruikt Myrror een eigen algoritme voor analyse van de bereikbaarheid en kwetsbaarheid. Dit algoritme identificeert welke kwetsbaarheden daadwerkelijk bereikbaar zijn in de productie, waardoor Myrror beveiligingsproblemen nauwkeurig kan prioriteren.

Deze Platform Review leidt u door het gehele Myrror-gebruikerstraject, vanaf de initiële SCM-integratie tot de herstelplangenerator, en geeft een beknopt overzicht van de innovaties die Myrror Security heeft geïntroduceerd om waarschuwingsmoeheid te voorkomen, uw organisatie in staat te stellen effectiever te werken en beschermen tegen de bedreigingen van de moderne softwaretoeleveringsketen. Bezoek hun website hier voor een gepersonaliseerde demo.

Aan de slag en installatie

Myrror is ontworpen voor eenvoudige installatie op het bestaande broncodebeheerplatform van de organisatie. Wanneer Myrror is verbonden met uw SCM, begint een ontdekkingsproces van de afhankelijkheden van de organisatie. De organisatie kan later specifieke opslagplaatsen selecteren voor actieve scans van kwetsbaarheden en aanvallen in de toeleveringsketen, waardoor een geprioriteerd overzicht van geïdentificeerde risico’s ontstaat.

Myrror-beveiliging

De Ontdekkingssectie

In dit gedeelte kunt u de balans opmaken van de supply chain-risico’s die aan uw codebase zijn verbonden en het werkelijke bedreigingslandschap bepalen waaraan u wordt blootgesteld als gevolg van uw open-source-afhankelijkheden.

Myrror-beveiliging

Op het tabblad Opslagplaatsen ziet u alle problemen in elke bewaakte opslagplaats en kunt u kiezen welke u wilt monitoren en welke u wilt negeren. Hierdoor kun je wat ruis verwijderen die verband houdt met repository’s die niet actief worden gebruikt, binnenkort verouderd zijn of simpelweg niet relevant zijn. Dit tabblad dient als controlepaneel voor al uw opslagplaatsen. Het vormt een aanvulling op het probleemscherm door u naar de opslagplaatsen met het meeste risico te wijzen, waardoor u een ‘vogelvlucht’-overzicht van de bedreigingen op project- of applicatieniveau krijgt.

Myrror-beveiliging

Het tabblad Afhankelijkheden verzamelt elke open-source-afhankelijkheid in uw codebase en creëert een grafiek van alle repository’s waarin elke afhankelijkheid wordt gebruikt. Met dit belangrijke overzicht krijgt u een compleet beeld van de open-sourcebibliotheken waarvan uw organisatie afhankelijk is. Ondanks de enorme toename van open-source repository’s in vrijwel elk softwareproject, hebben organisaties geen enkele controle over externe afhankelijkheden; Het inventariseren van wat er in uw code wordt gebruikt, is de eerste stap om te controleren wat er gebeurt.

Het Myrror-dashboard

Zodra de installatie is voltooid en de gebruiker de repository’s heeft gekozen die moeten worden gescand, wordt het Myrror-dashboard gevuld met informatie over uw repository’s, hun afhankelijkheden en de problemen die ze bevatten. Wanneer de gebruiker ervoor kiest om extra repositories te monitoren of meer SCM-bronnen aan te sluiten, wordt het dashboard automatisch bijgewerkt met meer informatie over de nieuwe codebases.

Myrror-beveiliging

Het dashboard biedt inzichten op hoog niveau in de problemen in de gehele codebase van de organisatie, waaronder:

  • Detectiestatus
  • Problemen per categorie
  • Afhankelijkheden met beveiligingsstatus
  • De meest risicovolle opslagplaats
  • Problemen per codetaal,
  • Status van de sanering
  • Afhankelijkheden die niet meer beschikbaar zijn
  • En meer

Deze grafieken en grafieken genereren een gedetailleerd en compleet overzicht, waardoor organisaties duidelijke inzichten krijgen in de gebieden die het meeste werk vergen. Let op het repositoryfilter rechtsboven – hierdoor kunnen specifieke teams nauwkeurige informatie krijgen over hun werk en de repository’s waarvoor ze de leiding hebben, en kunnen ze alleen de relevante gegevens voor hen exporteren.

Het problemenscherm

Dit is de kern van het Myrror Security-platform. Hier worden al uw problemen geprioriteerd en gemarkeerd op basis van hun werkelijke ernst, bereikbaarheid en exploiteerbaarheid, zodat u duidelijk krijgt wat u vervolgens moet aanpakken. Verschillende parameters zijn georganiseerd in kolommen, waardoor diepgaander inzicht wordt geboden in elk specifiek probleem.

Myrror-beveiliging

Onder deze parameters onderscheidt de bereikbaarheidskolom Myrror van traditionele SCA-platforms. Er wordt beoordeeld of het probleem daadwerkelijk in de productie kan worden bereikt, wat een rol speelt bij de prioritering: ervoor zorgen dat bereikbare kwetsbaarheden als eerste kunnen worden aangepakt.

Maar het platform stopt niet bij het prioriteren van kwetsbaarheden op basis van bereikbaarheid. Het houdt ook rekening met de vraag of dit een directe of indirecte afhankelijkheid is, of er een oplossing beschikbaar is om het probleem op te lossen, en of er is bevestigd dat er in het wild een exploit bestaat. Al deze parameters helpen het platform problemen nauwkeurig en betrouwbaar te prioriteren.

U kunt de volgende stukjes informatie over elke kwetsbaarheid bekijken:

  • Ernst (rekening houdend met alle bovengenoemde factoren)
  • Oorsprong
  • Bereikbaarheid
  • Afhankelijkheidsbestand(en)
  • Categorie – Kwetsbaarheid / Supply Chain-aanval (zie meer in de sectie Supply Chain-aanvallen detecteren)
  • Maak gebruik van beschikbaarheid
  • Beschikbaarheid repareren
  • Afhankelijkheidsrelatie
  • Eerst gezien
  • Oorspronkelijke verplichting

Filters (waaronder een repositoryfilter) zijn hier ook beschikbaar, samen met een optie om de tabel te exporteren en inzichten te downloaden voor het maken van rapporten. Dit helpt beveiligingsteams bij het bijhouden van gegevens in de lokale opslag en het genereren van interne auditrapporten. Deze rapporten, die naar de gebruiker worden gemaild, bevatten uitgebreide informatie rechtstreeks van het platform die kan worden gedeeld met andere teamleden en belanghebbenden.

Merk op dat er 3 verschillende tabbladen beschikbaar zijn op dit scherm:

  • Het tabblad ‘Alles’ bevat alle problemen gecombineerd en biedt op één pagina gegevensinzichten over het totale bedreigingslandschap van de toeleveringsketen, inclusief kwetsbaarheden en aanvallen.
  • Het tabblad ‘Aanbevolen’ bevat de specifieke problemen die worden aanbevolen voor herstel, gerangschikt naar ernst en bereikbaarheid. Dit is in feite uw ‘go-to’-venster wanneer u besluit wat u als eerste wilt aanpakken.
  • Ten slotte bevat het tabblad ‘Laag risico’ problemen die u op een later tijdstip kunt oplossen.

Elk probleem heeft ook een diepgaande analyse, waarbij inzichten over de impact, reikwijdte en oorsprong van de problemen op één scherm worden weergegeven. Dit gedetailleerde overzicht biedt externe links naar de CVE om er meer over te weten te komen, evenals informatie over de getroffen opslagplaatsen en een concreet herstelplan om ervoor te zorgen dat er snel actie kan worden ondernomen op elk probleem.

Myrror-beveiliging

De primaire tabbladen die op dit scherm beschikbaar zijn, zijn:

  • Details – een primair overzicht van de kwetsbaarheid of supply chain-aanval
  • Betrokken opslagplaatsen – een lijst met alle opslagplaatsen die afhankelijk zijn van dit pakket, zodat u “de punten kunt verbinden” over de gehele bewaakte codebasis
  • Herstelplan – Myrror berekent het optimale herstelpad en zorgt ervoor dat de kleinste hoeveelheid nieuw geïntroduceerde kwetsbaarheden in de codebase terechtkomt nadat het herstelproces is voltooid
  • Aanvalsoverzicht (zie volgende sectie voor meer details)

Het detecteren van supply chain-aanvallen

Houd er rekening mee dat Myrror meer doet dan alleen kwetsbaarheden detecteren – het detecteert ook verschillende vormen van supply chain-aanvallen – inclusief maar niet beperkt tot:

  • Typosquatting
  • Afhankelijkheid verwarring
  • Schadelijke code in repository/code-injectie
  • CI/CD-aanval

Wanneer deze aanvallen worden gedetecteerd, zijn het detectiemechanisme en het herstelplan mogelijk niet zo eenvoudig als normale kwetsbaarheden. In die gevallen zal Myrror een diepgaandere analyse van de aanval laten zien, waardoor beoefenaars de situatie kunnen begrijpen en de concrete schakel in de keten kunnen lokaliseren die de schuldige is. Zie hieronder voor een voorbeeld van Myrror’s analyse van een code-injectieaanval:

Myrror-beveiliging

De Saneringsplangenerator

Het plannen van uw herstelinspanningen vereist doorgaans inzicht in de nieuwe bedreigingen die tijdens het patchen worden geïntroduceerd. In de meeste gevallen resulteert het toepassen van een patch in een nieuwe reeks kwetsbaarheden vanwege de nieuwe afhankelijkheden (en hun transitieve afhankelijkheden) die deze introduceert.

Myrror-beveiliging

Voor elke bewaakte repository vereenvoudigt Myrror het probleemherstelproces door automatisch het aantal beschikbare oplossingen voor alle problemen te berekenen, hoeveel nieuwe kwetsbaarheden er tijdens het herstelproces zullen worden geïntroduceerd en hoeveel problemen er uiteindelijk nog overblijven.

Conclusie

AppSec-teams lijden tegenwoordig onder ernstige waarschuwingsmoeheid, veroorzaakt door een overweldigende hoeveelheid beveiligingsproblemen en een gebrek aan duidelijke prioriteiten over waar ze eerst aan moeten werken. Bovendien zijn de meeste teams zich totaal niet bewust van de supply chain-aanvallen waaraan ze worden blootgesteld en hebben ze geen duidelijk pad om deze te detecteren of een goede oplossing te bieden.

De op bereikbaarheid gebaseerde prioriteitenstelling van Myrror biedt een uitweg uit de hel van de kwetsbaarheid. Tegelijkertijd maakt hun binaire-naar-bron-analysemechanisme de detectie van meer dan alleen eenvoudige kwetsbaarheden mogelijk – en kunt u zich verdedigen tegen een groot aantal supply chain-aanvallen.

U kunt hier een demo boeken voor meer informatie op hun website.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De Android 14 QPR3 Beta 1 wordt uitgerold voor Pixel-gebruikers!

Hoe de overstap naar hernieuwbare energie cruciaal is voor het genereren van meer banen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]