• О компании
  • Новости
  • Защита от атак на цепочки поставок ПО: новые фиды в PT Fusion помогают контролировать безопасность внешних зависимостей
Новости

Защита от атак на цепочки поставок ПО: новые фиды в PT Fusion помогают контролировать безопасность внешних зависимостей

Компания Positive Technologies, один из лидеров рынка результативной кибербезопасности, выпустила обновление для PT Fusion — портала для работы с данными о киберугрозах. Теперь пользователям доступны фиды, содержащие данные о вредоносных, протестных или уже удаленных релизах проектов с открытым исходным кодом. Это поможет улучшить процесс безопасной разработки и непрерывно контролировать поставщиков открытого ПО. Сведения предоставляются в формате OSV1, наиболее распространенном в сообществе ИБ, и регулярно актуализируются.

Облачный сервис PT Fusion с версии 1.5 получил возможность распространять фиды с индикаторами компрометации (PT Threat Intelligence Feeds). С версии сервиса 1.7 они расширились за счет поддержки нового внутреннего TI-источника данных — PT Supply Chain Security (PT SCS). Теперь фиды, помимо классических коллекций, включают сведения о вредоносных, протестных или уже удаленных релизах проектов с открытым исходным кодом. Это усилит защиту компаний от атак на цепочку поставок (supply chain).
 

1 Открытый формат для описания уязвимостей в опенсорсном ПО. Предназначен для упрощения обмена информацией о недостатках между исследователями безопасности, поставщиками и потребителями.

Добавленные фиды будут полезны AppSec-специалистам, которые могут загрузить их в инструменты SCA2, в системы безопасности класса dependency firewall, контролирующие использование зависимостей в продуктах и обеспечивающие защиту цепочки поставок ПО, а также в реестры артефактов разработки (registries), упрощающие написание приложений, их развертывание и управление проектами. Помимо этого, новые фиды могут помочь при расследовании инцидентов ИБ. В момент сканирования конечного устройства — при активном инциденте или ретроспективном исследовании — можно обнаружить вредоносные или потенциально опасные установленные внешние зависимости, что может свидетельствовать о дополнительной точке компрометации в сети.

2 Software composition analysis — анализ состава ПО, направленный на выявление уязвимостей и других угроз, а также на проверку его соответствия лицензионным требованиям.

«Мы нацелены на то, чтобы PT Fusion предоставлял широкий спектр сведений об актуальных угрозах ИБ. В последние годы участились атаки на цепочки поставок ПО, в том числе усилились угрозы, связанные с внедрением закладок во внешние компоненты и проявлением серьезных уязвимостей в них. Опенсорс все чаще используется как канал доставки ВПО. Чтобы противодействовать этим атакам и обнаруживать признаки компрометации, бизнесу и разработчикам необходимо тщательно проверять сторонний код, зависимости и непрерывно отслеживать безопасность собственных продуктов. Для этого мы обогатили базу PT Fusion фидами, охватив несколько крупнейших репозиториев пакетов. Известны случаи, когда зловредная активность была заложена и в протестный релиз. Кроме того, стоит уделять повышенное внимание удаленным проектам, которые мейнтейнеры прекращают развивать и поддерживать. Устранением уязвимостей в них больше никто не занимается, а значит, применять их уже небезопасно».

Денис Кувшинов
Денис КувшиновРуководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies

Фиды уже доступны всем пользователям PT Fusion. Опробовать портал можно бесплатно в течение 30 дней. Для этого оставьте заявку на пилот.