Terlepas dari banyaknya perbincangan menakutkan tentang serangan siber yang disampaikan oleh vendor dan pakar industri, hanya sedikit serangan yang benar-benar berdampak buruk. Tapi Jaguar Land Rover (JLR) serangan itu.
Pelanggaran JLR bukanlah serangan gangguan yang memakan biaya beberapa ratus ribu dolar. Kebijakan ini menghentikan produksi selama berminggu-minggu, kemungkinan akan merugikan perekonomian Inggris lebih dari $2 miliar dan berdampak pada 5.000 organisasi, menurut Reuters. Orang sungguhan kehilangan pekerjaan.
Pemerintah Inggris harus memberikan jaminan pinjaman sebesar hampir $2 miliar agar JLR tetap berjalan.
Mimpi buruk menjadi kenyataan
Serangan JLR adalah skenario mimpi buruk yang secara teori diketahui dapat terjadi oleh produsen. Ketika hal ini benar-benar terjadi, hal ini membuat banyak organisasi manufaktur berebut mencari cara untuk mencegah nasib serupa.
Satu permasalahan segera menjadi jelas: Rantai pasokan adalah salah satu mata rantai keamanan terlemah bagi produsen. Bagaimanapun, serangan JLR berasal dari rantai pasokan perusahaan dengan kompromi kredensial yang digunakan oleh kontraktor pihak ketiga.
Bagaimana penyerang membobol rantai pasokan? Salah satu taktik yang ampuh adalah dengan menargetkan alat dan proses pengembangan untuk aplikasi perangkat lunak yang digunakan oleh produsen dan mitra rantai pasokan mereka.
Mungkin bukan jenis serangan yang menjatuhkan JLR, atau mungkin juga; rincian lengkap tentang asal mula serangan itu tidak dipublikasikan. Namun sebuah pelajaran penting adalah jika produsen dan mitra rantai pasokan mereka tidak waspada dalam memastikan penyedia perangkat lunak menggunakan praktik pengembangan yang aman, mereka akan rentan terhadap tingkat serangan yang dialami JLR.
Rantai pasokan di garis bidik
Serangan terhadap rantai pasokan melalui pengembangan perangkat lunak bukanlah hal baru; tapi mereka tetap kuat dan berbahaya. Beberapa serangan siber paling terkenal yang pernah dilakukan melibatkan taktik ini, termasuk yang terkenal pada tahun 2020 serangan terhadap SolarWindsserangan tahun 2021 terhadap Kaseya VSA dan serangan tahun 2023 terhadap penyedia VoIP 3CX.
Penyerang telah mengembangkan pendekatan baru baru-baru ini: Mereka melepaskan manajer paket simpul jahat (NPM) ke dalam proses pengembangan perangkat lunak. Pengembang JavaScript menggunakan NPM untuk berbagi dan memasang kode yang dapat digunakan kembali.
Kapan NPM berbahayasebuah serangan dapat menyebar dengan cepat, bertahan selama berbulan-bulan, dan menyebar ke semua jenis aplikasi.
Salah satu contoh penargetan NPM terbaru adalah pencuri kripto Shai-Hulud, yang dilaporkan telah menyusupi lebih dari 500 paket NPM, termasuk beberapa yang digunakan oleh penyedia keamanan siber.
Serangan NPM hanyalah salah satu metode yang ditemukan penyerang untuk memasuki rantai pasokan. Misalnya, penyerang juga dapat mengkompromikan pembaruan vendor perangkat lunak dan mengeksploitasi kerentanan perangkat lunak.
Intinya adalah bahwa aplikasi rantai pasokan rentan, dan produsen perlu memastikan bahwa aplikasi yang digunakan mitra mereka aman.
Perlunya evaluasi lebih dekat
Karena rantai pasokan mereka terancam, produsen perlu mengevaluasi mitra yang ada dan calon mitra dengan praktik siklus hidup pengembangan perangkat lunak (SSDLC) yang aman.
Di sebagian besar lingkungan teknologi operasional (OT).evaluasi pengadaan sangat berfokus pada kesehatan keuangan vendor, perjanjian tingkat layanan, dan keamanan infrastruktur. Namun mereka sering mengabaikan kerentanan dalam proses pengembangan perangkat lunak – masalah yang dapat menyabotase aplikasi rantai pasokan.
Itu sebabnya memastikan praktik SSDLC yang ketat sangat penting bagi produsen dan mitra rantai pasokan mereka. Ketika produsen tidak memastikan praktik SSDLC di antara mitranya, mereka berisiko mengalami downtime operasional, kerugian finansial, pelanggaran kepatuhan, dan kerusakan reputasi.
SSDLC: Lebih dari sekadar kotak centang kepatuhan
Apa yang membuat SSDLC begitu penting dan efektif? Sebagai permulaan, hal ini diamanatkan berdasarkan arahan EU NIS 2, yang memerlukan proses SSDLC yang formal dan terdokumentasi.
Hal ini juga mewakili perubahan mendasar dari memperlakukan keamanan sebagai tambahan pasca-pengembangan menjadi menanamkannya di seluruh proses pembuatan perangkat lunak.
Kerentanan yang tertangkap selama analisis persyaratan mungkin memerlukan waktu berjam-jam untuk diperbaiki. Cacat yang sama yang ditemukan pasca-pelepasliaran mungkin memerlukan tanggap darurat selama berminggu-minggu.
Dalam praktiknya, implementasi SSDLC yang matang meliputi:
- Keamanan berdasarkan desain: Persyaratan keamanan ditentukan dan ancaman dimodelkan sebelum kode apa pun ditulis.
- Praktik pengkodean yang aman: Pengembang terlatih dalam bidang keamanan, dengan peninjauan kode wajib dan pengujian keamanan otomatis.
- Manajemen ketergantungan: Komponen pihak ketiga diperiksa, dilacak, dan dipelihara melalui praktik perangkat lunak bill of material (SBOM).
- Jalur pipa rilis aman: Pembaruan ditandatangani, integritas diperiksa dan disampaikan melalui saluran yang diperkuat.
- Manajemen kerentanan: Proses pengungkapan yang terkoordinasi dan jadwal respons yang ditentukan untuk masalah keamanan.
Bagi produsen, hal ini berarti perangkat lunak yang mengendalikan lini produksi, mengelola sistem penting, dan menghubungkan operasi industri memiliki keamanan yang tertanam mulai dari baris kode pertama hingga penerapan akhir.
Bukti terpercaya atas pengembangan yang aman: sertifikasi IEC 62443-4-1
Sertifikasi industri adalah ukuran yang dapat diandalkan dalam penggunaan SSDLC dalam proses pengembangan. Meskipun terdapat berbagai sertifikasi keamanan, IEC 62443-4-1 memiliki arti penting khusus untuk rantai pasokan manufaktur.
rangkaian standar IEC 62443 secara khusus membahas otomasi industri dan keamanan sistem kontrol, lingkungan yang tepat di mana produsen beroperasi.
Dalam kerangka kerja ini, IEC 62443-4-1 berfokus secara eksklusif pada persyaratan siklus hidup pengembangan produk yang aman dan memberikan salah satu standar paling ketat dan relevan untuk mengevaluasi pemasok perangkat lunak OT.
Tidak seperti kerangka keamanan informasi umum, sertifikasi IEC 62443-4-1 menunjukkan bahwa pemasok telah menerapkan praktik yang dirancang khusus untuk lingkungan industri di mana waktu aktif sangat penting, waktu patching mungkin terbatas, dan konsekuensi dunia fisik dapat diakibatkan oleh kegagalan perangkat lunak.
Sertifikasi IEC 62443-4-1 memberikan bukti nyata dan terverifikasi secara independen bahwa pemasok perangkat lunak secara sistematis merekayasa keamanan pada setiap produk, bukan sekadar menjanjikannya. Bagi produsen peralatan asli (OEM), integrator sistem, dan pelanggan akhir di bidang manufaktur dan infrastruktur penting, hal ini memberikan landasan kepercayaan yang penting.
Memikirkan kembali evaluasi
Saat mengevaluasi mitra dengan mempertimbangkan SSDLC, produsen harus:
- Memasukkan kriteria SSDLC ke dalam proses pengadaan: Sertakan persyaratan pengembangan yang aman dalam RFP dan kontrak sehingga pemasok memahami ekspektasi sejak awal.
- Minta bukti terstruktur: Meminta cakupan sertifikasi, laporan auditor, catatan SBOM, dan hasil pengujian sebagai bagian dari uji tuntas.
- Prioritaskan sertifikasi yang relevan: Carilah IEC 62443-4-1 secara khusus untuk vendor produk yang beroperasi di lingkungan industri, yang didukung oleh ISO/IEC 27001 untuk tata kelola keamanan organisasi dan sertifikasi khusus cloud jika berlaku.
- Evaluasi kedewasaan secara terus menerus: Melampaui kuesioner biner dan menilai pemasok sepanjang kontinum kedewasaan, dengan pemantauan berkelanjutan yang dibangun dalam manajemen vendor.
Produsen tidak lagi mampu memperlakukan evaluasi keamanan pemasok sebagai suatu kegiatan yang hanya berfokus pada infrastruktur dan operasi. Siklus pengembangan adalah tempat asal mula kerentanan – dan produsen harus memastikan bahwa kerentanan tersebut dapat dicegah.
Tentang Acronis TRU
Itu Unit Penelitian Ancaman Acronis (TRU) adalah tim pakar keamanan siber yang berspesialisasi dalam intelijen ancaman, AI, dan manajemen risiko. Tim TRU meneliti ancaman yang muncul, memberikan wawasan keamanan, dan mendukung tim TI dengan pedoman, respons insiden, dan lokakarya pendidikan.
Disponsori dan ditulis oleh Akronis.
