Kiberbiztonsági keretrendszer jelent meg az ellátási láncokból eredő kockázatokhoz

Az OX Security februárban bejelentette az Open Software Supply Chain Attack Reference (OSC&R), az első és egyetlen nyílt keretrendszer bevezetését, amely a teljes ellátási lánc biztonságát veszélyeztető fenyegetések értékelésére és megértésére szolgál.

A kezdeményezéshez többek között csatlakozott a Microsoft, a Google, a GitLab, a Check Point, az OWASP-, és a Fortinet jelenlegi és korábbi kiberbiztonsági vezetője is.

Az iparág több száz vezetőjével folytatott megbeszélés során kiderült, hogy sürgősen szükség van egy MITRE-szerű keretrendszerre, amely lehetővé teszi a szakértők számára, hogy jobban megérthessék és értékelhessék az ellátási láncokból eredő kockázatokat, amelyeket eddig csak intuíciók és tapasztalatok alapján kezeltek.

ellátási lánc-támadás

Ellátási lánc-támadás menete
(www.pratum.com)

A keretrendszer úgy készült, hogy közös nyelvet és struktúrát biztosítson azoknak a TTP-knek (Tactics, Techniques, and Procedures) az elemzéséhez és megértéséhez, amelyeket a rosszindulatú szereplők használnak a szoftverellátási lánc elleni támadásaik során. Az OSC&R segítséget nyújthat a biztonsági csapatoknak a meglévő védelmük elemzésében, hogy meghatározzák, mely fenyegetésekkel kell elsőként foglalkozniuk, illetve figyelemmel kísérhetik a fenyegetési szereplők viselkedését is. Ezen felül a keretrendszert folyamatosan frissítik majd az új technikákkal és stratégiákkal, továbbá támogatni fogja a red-team szakemberek munkáját is.

A keretrendszer a https://pbom.dev/ oldalon érhető el.

(cysecurity.news)