Följ med oss den 9 november för att lära dig hur du framgångsrikt kan innovera och uppnå effektivitet genom att uppfostra och skala medborgarutvecklare på Low-Code/No-Code Summit. Registrera här.
Som barn mindes Nir Valtman hur han använde verktyg som ICQ, NetBus och Sub7 för att hacka sig in i datorer. Därifrån var det enkelt att plantera en trojansk häst utan att bli upptäckt.
Idag lämnar antagandet av paket med öppen källkod i nästan varje produkt dörren öppen för motståndare att använda samma trojanska hästtrick, säger Valtman, som är medgrundare och VD för Arnica.
Trots sådana ökade hot mot mjukvaruförsörjningskedjan är organisationer fortfarande tveksamma till att implementera verktyg av rädsla för att skada utvecklarens smidighet.
>>Missa inte vårt specialnummer: How Data Privacy Is Transforming Marketing.<<
Händelse
Toppmöte med låg kod/ingen kod
Lär dig hur man butveckla, skala och styr lågkodsprogram på ett enkelt sätt som skapar framgång för allt den 9 november. Rregistrera dig för ditt gratiskort idag.
Registrera här
”Den verkliga utmaningen är att minska riskerna utan att minska utvecklarnas hastighet (och livskvalitet),” säger Valtman, vars företag idag tillkännagav den allmänna tillgängligheten för sin plattform och en startfinansieringsrunda på 7 miljoner dollar.
Det nya verktyget utnyttjar maskininlärning (ML) och grafbaserad beteendeanalys för att skydda mot attacker i leveranskedjan utan att störa utvecklarflödet eller produktiviteten.
”Vi tror att genom att lära oss hur utvecklare fungerar kan vi både skydda företagets kod och samtidigt möjliggöra och stödja utvecklare”, säger Valtman.
Ökad risk – men också ökade åtgärder
Attacker i leveranskedjan för programvara ökar och ökar med 650 % 2021 och de står nu för en femtedel av alla dataintrång.
Som noterat av Dale Gardner, senioranalytiker på Gartner, ”Angripare letar alltmer efter sätt att i smyg infoga sig själva i utvecklingsprocessen, där de kan utföra sina attacker.”
De goda nyheterna är dock att ”vi ser både betydande ökningar i medvetenhet om attacker i leveranskedjan, tillsammans med en mängd olika åtgärder och åtgärder för att förhindra attacker,” sa Gardner.
Det mesta av denna aktivitet, förklarade han, kommer från säkerhetsteknikteam som vill bättre förstå riskerna med programvaran de använder, skydda sin utvecklingsinfrastruktur och tillhandahålla beskrivningar av programvaran de utvecklar, via programvarulistor (SBOM).
”En återstående lucka är dock att ge köpare och användare av [the] programvara med de verktyg och processer de behöver för att utvärdera integriteten hos koden de använder i sina organisationer, säger Gardner.
Kontinuerlig behörighetssäkerhet
Om du undersöker de senaste attackerna för mjukvaruförsörjningskedjan sticker två huvudorsaker ut, sa Valtman. En är felaktig åtkomsthantering till utvecklingsekosystemet. Ett annat är onormalt beteende som kunde ha förhindrats genom att observera utvecklarens beteenden, automatiserade skript (som CI/CD-pipelines) eller andra kommunikationskanaler.
Ändå är ”den gyllene regeln när man härdar utvecklarmiljöer: Skada inte utvecklarens hastighet”, sa han. ”En utvecklares förmåga att snabbt och sömlöst göra kodändringar och skicka produkter till användare har en direkt inverkan på intäkterna, så att stå i vägen för det är en icke-startare för organisationer.”
Detta är den problematik som Arnica försöker lösa.
Med hjälp av ML-algoritmer och grafbaserad analys bygger plattformen en beteendeprofil av en organisations utvecklingsekosystem och nyanserna i utvecklarens arbetsflöden, sa Valtman. Den validerar sedan äktheten av varje ändring som görs i koden, vilket gör den i stånd att upptäcka utvecklare imitatorer och förhindra dem från att använda stulna referenser för att införa ändringar i kodbasen.
Dessutom kan utvecklare interaktivt vidta åtgärder inom sina verktyg. Till exempel, för att hantera överdrivna behörigheter och nå den minst privilegierade statusen, återkallar verktyget automatiskt privilegier som inte används. Valtman förklarade dock att när utvecklare behöver dem kan de använda Arnicas Slack bot för att få behörigheter till valfritt källkodsförråd. Eller så kan de be boten att fixa en nyupptäckt hårdkodad hemlighet.
Samma mekanism kan utlösa ett autentiseringsmeddelande till en utvecklare vid identifiering av onormalt beteende för att förhindra kontoövertaganden och insiderhot.
Den beteendebaserade metoden för avvikelsedetektering flyttar säkerhetsteam bort från periodiska behörighetsuppdateringar till ”kontinuerlig och dynamisk” behörighetssäkerhet, sa Valtman.
Inte bara jaga lösningar
Valtman, som innehar tre patent, förklarade att Arnica ”föddes av nödvändighet” när han och hans team på det finansiella mjukvaruföretaget Finastra testade mer än ett dussin produkter samtidigt som de försökte säkra mjukvaruförsörjningskedjan. De fann att de flesta tillgängliga produkter fokuserar på att ge kunderna en ”enkel ruta” av felkonfigurationer inom utvecklingsekosystemet.
Även om det har funnits en växande trend att implementera SBOM, handlar det inte bara om det, sa Valtman.
Nyckeln är att skapa synlighet över en organisations lager och risker. Sedan bör organisationer prioritera vad som är viktigt för dem utifrån befintliga kontroller.
Devops och säkerhet kan ha olika prioriteringar, påpekade han, så det är viktigt att anpassa sig till varför varje kontroll är viktig innan man ”jagar lösningar.”
Men det finns snabba vinster som är lätta att komma överens om, sade han — förhindrar att nya hårdkodade hemligheter skjuts till källkodsförrådet; fixa felkonfigurerade filialskyddspolicyer; minska onödiga administratörsbehörigheter.
Bättre förståelse, förberedelse
Sammantaget måste organisationer bättre förstå riskerna med att programvara kommer in i organisationen, sa Gardner.
Han påpekade också att det mesta av fokus hittills har varit på att stödja säkerhets- och ingenjörsorganisationer. Detta är ”väsentligt men ofullständigt”, sa han. Inköps- och leverantörskedjeteam behöver mer hjälp med att utföra samma typer av utvärderingar av programvara som används. Alltför ofta saknar dessa grupper de verktyg och information de behöver för att fatta välgrundade beslut om riskerna med programvara och de leverantörer och leverantörer som skapar den.
Organisationer måste också skydda sin egen utvecklingsmiljö och programvaruartefakter, eftersom dessa miljöer vanligtvis inte är ordentligt säkra. Detta har ”förvandlat dem till en rik attackyta för illvilliga individer”, sa Gardner.
Dessutom måste organisationer vara beredda att ge nedströmsanvändare av programvara inte bara information om innehållet i programvaran de skapar, utan om sina egna säkerhetsåtgärder för programvarans leveranskedja. Detta tillåter dem att korrekt utvärdera risker och svara på säkerhetsincidenter, säger Gardner.
Rätt ”skyddsutrustning”
Arnicas nya finansieringsrunda leddes av Joule Ventures och First Rays Venture Partners, med ängelinvestering från Avi Shua, medgrundare och VD för Orca Security, Dror Davidoff, medgrundare och VD för Aqua Security och Baruch Sadogursky, chef för utvecklarrelationer på Jfrog.
Företaget kommer att använda medlen för att påskynda FoU och skala sina go-to-market-team. Dess fokusområde, säger Valtman, är att tillhandahålla mer automatiserade arbetsflöden och begränsningsmöjligheter för befintliga och nya kunder.
Till slut jämförde Valtman verktyget med hans passion för mountainbike.
Som förväntat, ”Jag har ramlat många gånger, men efter varje fall ser jag till att få rätt skyddsutrustning för att undvika framtida skador,” sa han och tillade att ”jag bär nu en helhjälm.”
Arnicas mål, sa han, är att förse organisationer med bättre ”skyddsutrustning” över tid genom att ta itu med mer komplexa problem och ”skifta paradigmet för riskreducering.”