Samstag, Dezember 3, 2022

Google sagt, er soll der Software-Lieferkette etwas GUAC verpassen

Zusamenfassend Google hat ein neues Open-Source-Softwaretool veröffentlicht, das Unternehmen dabei helfen soll, die Risiken für ihre Softwarelieferketten besser zu verstehen, indem Sicherheitsmetadaten in einer durchsuchbaren standardisierten Datenbank zusammengefasst werden.

Der Artifact Composition Understanding Graph oder „GUAC“ – ausgesprochen wie Avocado-Dip – „aggregiert und synthetisiert Software-Sicherheitsmetadaten in großem Maßstab und macht sie aussagekräftig und umsetzbar“, sagte Google in einem Beitrag auf der Website.

Während moderne Upstream-Software-Lieferketten reich an Metadaten und Behauptungen geworden sind, ist es für die meisten Unternehmen „schwierig oder unmöglich“, diese Informationen in einer einheitlichen Ansicht darzustellen, sagt Google.

„Um etwas so Komplexes wie den Explosionsradius einer Schwachstelle zu verstehen, müssen Sie die Beziehung zwischen einer Komponente und allem anderen im Portfolio nachverfolgen – eine Aktivität, die Tausende von Metadatendokumenten aus Hunderten von Quellen umfassen könnte“, sagte er Google.

Angriffe auf die Softwarelieferkette standen im Mittelpunkt vieler der größten Cybersicherheitsvorfälle der letzten Jahre, wie z. B. SolarWinds, Kaseya und Log4j, und beinhalten Angreifer, die bösartigen Code in Software einschleusen, bevor sie an Kunden geliefert wird.

Auf der RSA 2022 sagte Aanchal Gupta von Microsoft, Leiter des Security Response Center des Unternehmens, dass Angriffe auf die Lieferkette aufgrund der Abhängigkeit der Technologiewelt von Drittanbieter- und Open-Source-Software weiter zunehmen werden kommen bald herunter.“

Als Metadatenaggregator wurde GUAC entwickelt, um Daten aus einer Vielzahl von Quellen zu sammeln, darunter Software-BOM-Plattformen, Schwachstellendatenbanken und signierte Bescheinigungen, wie z. B. Googles treffend benannte SLSA (ausgesprochen „Sauce“).

GUAC ist in der Lage, Daten zu sammeln, sie aus Upstream-Quellen aufzunehmen, sie zu einer einzigen normalisierten Quelle zusammenzuführen und es Benutzern zu ermöglichen, sie abzufragen, um eine Software-Stückliste, Herkunft, Konstruktionskette, Projektsicherheits-Scorecard, eine Liste von Schwachstellen und aktuelle Lebenszyklusereignisse zu erhalten. Google argumentiert.

Laut Google könnte GUAC helfen, proaktive Sicherheitsfragen zu beantworten, z. B. welche Komponenten in einem Software-Ökosystem am häufigsten verwendet werden oder welche Abhängigkeiten riskant sein könnten, sowie betriebliche Fragen, z. B. ob neue Software Sicherheitsrichtlinien erfüllt, und reaktive Fragen, z. B. wie eine Organisation von einer neuen Schwachstelle betroffen ist.

Das GUAC-Projekt ist Open Source und auf GitHub verfügbar. Google sagte, dass es sich noch in den frühen Tagen der Entwicklung befindet und nur als Proof of Concept verfügbar ist, das Daten aus SLSAs, Software-BOMs und Scorecard-Dokumenten aufnehmen kann. Sie können es jetzt ausprobieren oder einen Teil Ihres eigenen nützlichen Codes einfügen.

Das FBI hat eine Benachrichtigung an Unternehmen der Privatwirtschaft veröffentlicht, in der es sie vor einer iranischen Hackergruppe namens Emennet Pasargad warnt, die zuvor US-Wähler belästigt und während der Präsidentschaftswahlen 2020 Desinformationskampagnen gestartet hatte.

Emennet ist dafür bekannt, Hack-and-Leak-Operationen gegen Opfer einzusetzen, sagte das FBI, und auch falsche Flaggen zu verwenden, um die Schuld auf andere zu schieben. Die Gruppe scheint opportunistisch zu sein und scheint im Allgemeinen das Ziel zu haben, das öffentliche Vertrauen in private Organisationen und Regierungsinstitutionen zu untergraben.

In jüngerer Zeit wurde die Gruppe entdeckt, die mit ähnlichen Taktiken auf israelische Organisationen abzielte, aber das FBI sagte, dass es Anfang dieses Jahres in den Vereinigten Staaten aktiv war, als es einen Angriff auf eine in den USA ansässige Organisation durchführte, die mit einer iranischen Oppositionsgruppe verbunden war.

Obwohl opportunistisch, zeigt Emennet eine gewisse Vorliebe für seine Opfer. Zu den gefährdeten Gruppen gehören alle Gruppen, die mit iranischen Oppositionsgruppen in Verbindung stehen, Unternehmen mit Websites, auf denen PHP oder eine extern zugängliche MySQL-Datenbank ausgeführt wird, sowie große Unternehmen mit erheblichem Webverkehr und großen Kundenstämmen.

US-Beamte warnten vor der US-Halbzeit im nächsten Monat vor einem Anstieg des Cyberangriffspotenzials, sagten aber auch, sie seien nicht besorgt darüber, dass ausländische Regierungen oder ihre Agenten eine echte Bedrohung für die Wahl darstellen könnten.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat ein Open-Source-Tool veröffentlicht, mit dem Microsoft 365-Bereitstellungen anhand der Cloud-Sicherheitsstandards der Behörde geprüft werden können.

Die als PowerShell-Skripte auf GitHub verfügbare Software untersucht Teams, SharePoint, Power Platform, Power BI, OneDrive, Exchange, Defender und Azure AD und vergleicht sie mit den im April angekündigten Standards für Secure Cloud Business Applications (CISA).

Die ScuBA-Richtlinien wurden für zivile Behörden der Exekutive entwickelt, um „leicht umsetzbare Empfehlungen bereitzustellen, die die einzigartigen Anforderungen und Risikotoleranzstufen jeder Behörde integrieren“, sagte CISA und räumt ein, dass die Tools möglicherweise nicht so gut für private Organisationen funktionieren.

„CISA empfiehlt jedoch allen Organisationen, die Cloud-Dienste nutzen, die Baselines zu überprüfen und die darin enthaltenen Praktiken gegebenenfalls umzusetzen.“ Während des Tests führte die Agentur die Software auf Mandanten mit Microsoft 365 E3- oder G3- und E5- oder G5-Lizenzen aus und sagte, dass sie immer noch funktionieren könnte, aber sie wurde nicht für andere Distributionen als diese getestet.

Während „ScubaGear“ vorerst nur Microsoft 365 unterstützt, plant CISA, auch Konfigurations-Baselines für Google Workspaces zu veröffentlichen. „Die Veröffentlichung der GWS- und M365-Baselines wird die Mission von CISA zum Schutz von Bundesunternehmen voranbringen, indem Cybersicherheits- und Transparenzlücken in Cloud-basierten Unternehmensanwendungen geschlossen werden“, sagte CISA.

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles