OX Security präsentiert Framework für sichere Software-Lieferketten
OX Security veröffentlicht ein Framework für die Analyse von Taktiken, Techniken und Verfahren in Zusammenhang mit Angriffen auf die Software-Lieferkette. Die darin genutzte Matrix beruht auf dem Konzept der PBOM (Pipeline Bill of Materials).
Mit einem neuen Framework will OX Security IT-Sicherheitsfachkräften helfen, Bedrohungen für die Software-Lieferkette zu verstehen und zu bewerten. Bei "Open Software Supply Chain Attack Reference (OSC&R)" handelt es sich laut dem Security-Anbieter um ein Framework im Stil der von der gemeinnützigen MITRE Corporation herausgegebenen ATT&CK-Referenzen.
Die offene Matrix bietet eine gemeinsame Terminologie und Struktur, um die von Cyberkriminellen bei angriffen genutzten Taktiken, Techniken und Verfahren (TTPs) zu verstehen und zu analysieren, heisst es bei OX Security, welches sich laut eigener Angaben auf Lösungen zur Sicherung von Software-Lieferketten spezialisiert hat.
"Ohne eine gemeinsame Definition der Software-Lieferkette sind Sicherheitsstrategien oft abgeschottet", erklärt Neatsun Ziv, Co-Founder und CEO von OX Security und ehemaliger VP Security von Check Point. Neben ehemaligen Mitarbeitern von Check Point besteht das Konsortium hinter dem OSC&R-Framework aus Experten, die bei Microsoft, Google, GitLab oder Fortinet im Bereich Cybersicherheit tätig sind oder waren.
9-teilige Matrix
Die im OSC&R-Framework genutzte Matrix ist in neun Abschnitte unterteilt. Diese definieren die Nomenklatur der Pipeline, wie es auf der Website heisst. Das Konzept wird durch das Akronym PBOM (pipeline bill of materials) zusammengefasst. Eine PBOM ähnelt dem nach einer Software Bill of Materials (SBOM), konzentriert sich jedoch auf die Pipeline und die Verfahren, anstatt nicht auf die Elemente selbst.
Die neun Abschnitte des OSC&R-Frameworks beziehen sich beispielsweise auf die Sicherheit von Containern, Open-Source-Projekten oder der Cloud. Die Abschnitte sind mit einer weiteren Achse verknüpft, die aus 12 Taktiken, Techniken und Verfahren besteht. Dazu gehören etwa Erkennung, erster Zugriff, Zugriff auf IDs oder Ausbreitung. Die vollständige Matrix kann unter "pbom.dev" eingesehen werden.
Im Herbst 2022 veröffentlichten drei US-amerikanische Behörden, darunter CISA und die NSA, einen dreiteiligen Leitfaden zur Absicherung der Software-Lieferkette. Er enthält Handlungsempfehlungen für Kunden, Entwickler und Zulieferer, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.