Bezpieczeństwo korzystania z zewnętrznych bibliotek i komponentów – jak cienki jest lód, po którym stąpamy?
To wydarzenie zostało zakończone. Zobacz relację ze spotkania.
Wstęp
Podczas listopadowego spotkania CSO Council porozmawiamy o tym, jakie zakresy ryzyk i niepewności przynosi organizacji wprowadzenie oprogramowania i rozwiązań IT wykorzystujących zewnętrzne biblioteki i źródła kodu. To zagadnienie stanowiące element zarządzania ryzykiem dostawców ICT bywa często bagatelizowane i jej wciąż za mało rozpoznane. Korzystam z zewnętrznych źródeł, bo jest to uznaną praktyką rynkową, bo ‘wszyscy tak robią’, bo ufamy określonym repozytoriom kodu. Wreszcie także dlatego, że w praktyce trudno obejść się bez tych komponentów – stanowią one integralny element większości systemów.
Dodatkowo, gry w grę wchodzi (często) Open Source, a wówczas odpowiedzialność za bezpieczeństwo takich rozwiązań staje się zbiorowe i przez to całkiem rozmyte. W jaki sposób firmy mogą mitygować ryzyko korzystania z takich kompontentów – jak poruszać się w świecie, w którym mamy do czynienia z trudną do zliczenia liczbą źródeł zewnętrznych – kodu i zewnętrznych bibliotek? Co w tej sprawie zalecają najlepsi, jak sytuacja może ewoluować w perspektywie najbliższych lat – w szczególności w kontekście nowych regulacji rynkowych dotyczących cyberodporności organizacji (DORA, NIS2, CER i in.).
Dodatkowo gościem specjalnym spotkania będzie Mark Snel, CISO w firmie Signify (jeden z największych koncernów na świecie, d. Philips), który przedstawi swój punkt widzenia i własne doświadczenie w kontekście wypalenia zawodowego wśród bezpieczników – jak przeciwdziałać temu zjawisku, jak diagnozować je na odpowiednio wczesnym etapie – i jak budować trwały life-work balance w świecie menedżerów cyberbezpieczeństwa. Mark b. liczy na dyskusję z uczestnikami spotkania!
Porozmawiajmy o tych wyzwaniach i tym, jak można się z nimi mierzyć! Jak zawsze podczas listopadowego spotkania na uczestników czeka także najbardziej aktualny cyberekspress w wykonaniu, który przedstawi swoje subiektywne spojrzenie na najważniejsze wydarzenia w branży i incydenty cybersecurity od czasu ostatniego, majowego spotkania społeczności!
👨👧👧 Jak zawsze zapewnimy ciekawe dyskusje i rozmowy – spotkania CSO Council to nieodmiennie okazja do wymiany doświadczeń i networkingu, także w czasach spotkań online!
🕒 Spotkania CSO Council to gwarancja bardzo efektywnego spędzenia skondensowanego czasu w elitarnym gronie menedżerów zajmujących się bezpieczeństwem informacji
🎯 Treściwą i aktualną merytorykę zapewniają najlepsi eksperci, zaś możliwość wymiany opinii oraz dyskusji z uczestnikami spotkania to niepowtarzalna okazja do pogłębienia wiedzy jak i doświadczeń.
Agenda
Subiektywny, autorski przegląd najważniejszych zjawisk i wydarzeń w branży cybersecurity z ostatniego miesiąca przedstawi Marcin Święty!
Premiera raportu "W oczekiwaniu na NIS2: stan przygotowań" przygotowanego na podstawie wyników badania przeprowadzogo w październiku 2023 przez Trend Micro, EY i CSO Council.
Omówienie najważniejszych wniosków.
Współczesny proces rozwoju oprogramowania średnio minimum w 80% bazuje na komponentach opensourcowych. Korzystanie z tego typu komponentów jest dużym ułatwieniem dla zespołów wytwórczych, niemniej wiąże się także z istotnymi ryzykami, które nie zawsze są właściwie identyfikowane i monitorowane w cyklu życia oprogramowania. Zazwyczaj zespół skupia się na wykreowaniu zamówionych funkcji i mechanizmów, ograniczając się do weryfikacji kodu źródłowego z wykorzystaniem darmowych narzędzi. Ważny element, jakim jest bezpieczeństwo komponentów opensourcowych, często jest marginalizowany, bądź całkowicie pomijany.
Czemu wśród osób zajmujących się cyberbezpieczeństwem jest tak wiele ofiar wypalenia zawodowego i nadmiernego stresu. Jak przeciwdziałać temu zjawisku, jak je diagnozować na odpowiednio wczesnym etapie. A co najważniejsze - jak budować trwały life-work balance w świecie menedżerów cyberbezpieczeństwa.
Relacja
W dzisiejszym dynamicznym świecie technologii każdy system i prawie każda aplikacja wykorzystuje komponenty oprogramowania open source software (OSS). Oprogramowanie o otwartym kodzie źródłowym nie tylko daje ogromne możliwości, swobodę modyfikacji, rozwoju i oferuje szybszy dostęp do innowacji, ale generuje także nowe pytania i wyzwania związane z bezpieczeństwem i zgodnością z przepisami oraz wymogami organizacji.
Korzystanie z zewnętrznych źródeł to powszechne zjawisko, bo ‘wszyscy tak robią’, bo ufamy określonym repozytoriom kodu. W praktyce też trudno się obejść bez tych komponentów – stanowią one integralny element większości systemów. Gdy w grę wchodzi wykorzystanie Open Source odpowiedzialność za ich bezpieczeństwo takich rozwiązań staje się zbiorowe i przez to całkiem rozmyte.
Jak poruszać się w świecie, w którym mamy do czynienia z trudną do zliczenia liczbą źródeł zewnętrznych – kodu i zewnętrznych bibliotek – tłumaczył Filip Brandt z BNP Paribas.
- Podobno aż w 90 % statystycznie całości kodu składającego się na aplikację pochodzi z zewnętrznych żródeł.
- Kluczowe ryzyka wykorzystania Open Source to:
- Podatności
- Nieznajomość licencji
- Złośliwy kod
- W jaki sposób firmy mogą mitygować ryzyko korzystania z takich komponentów? Poprzez wykorzystanie:
- repozytorium proxy
- firewalling
- narzędzia SCA
- analizę przed releasem
Eksperci z BNP Paribas Filip Brandt oraz Zenon Biedrzyckim zwrócili też uwagę na SBOM - (koncept wymyślony przez Amerykanów) - to dokładne rozliczenie kodu, informacja o tym z czego składa się dana aplikacja. Wyjaśnili, dlaczego jego bezpieczeństwo jest również tak ważne.
Na koniec wystąpienia eksperci z BNP Paribas podzielili się z uczestnikami spotkania najlepszymi praktykami w postępowaniu z ryzykami ze swojej organizacji oraz statystykami w ich mitygowaniu.
Temat SBOMa nie jest obcy w Europie i znajduje swoje ważne miejsce w dokumencie Cyber Resilience Act
Cyberekspress czyli swoją perspektywę najciekawszych wydarzeń cyber z mijającego miesiąca przedstawił @Marcin Święty, który debiutował w naszej społeczności w roli prelegenta. Co zwróciło jego uwagę? M.in. Rapid and Mass exploitation of vulnerabilities. Zauważył też, że ze ze wzrostem adopcji MFA, pojawił się wzrost i zapotrzebowanie na metody obejścia MFA.
W CSO Council trzymamy rękę na pulsie. Dlatego Andrzej Sienkiewicz z Radware opowiedział o nowych trendach ataków DDoS w perspektywie toczącej się w Izraelu wojny.
A ponieważ zbliża się czas prezentów wraz z Trend Micro i EY tworzymy dla Was raport o gotowości organizacji na NIS2. Postanowiliśmy sprawdzić, jak CSO przygotowują swoje organizacje do wdrożenia tej dyrektywy. Zapytaliśmy członków społeczności CSO Council, ale także szefów infosec z innych organizacji o stan zaawansowania ich przygotowań.
Premiera raportu "W oczekiwaniu na NIS2: stan przygotowań": 6 grudnia 2023 - na Mikołajki 😊
Pierwszymi wnioskami z badania podzielili się Joanna Dąbrowska, Patryk Gęborys i Krzysztof Piątek.
Zwieńczeniem spotkania było wystąpienie Marka Snel, CISO w firmie Signify (dawny Philips Lighting - firma zatrudniająca ponad 30 000 pracowników) , który przedstawił swój punkt widzenia i własne doświadczenie w kontekście wypalenia zawodowego wśród bezpieczników. Dowiedzieliśmy się, jak przeciwdziałać temu zjawisku, jak diagnozować je na odpowiednio wczesnym etapie – i jak budować trwały life-work balance w świecie menedżerów cyberbezpieczeństwa. Temat na czasie, więc nic dziwnego, że wystąpienia Marka wzbudziło kontrowersja i skłoniło do zadawania pytań.
Spotkanie było rekordowe - nie tylko pod względem liczby poruszanych tematów, ale i przybyłych uczestników. Serdecznie dziękujemy za Waszą obecność, poświęcony czas i aktywność. Do zobaczeniu na Spotkaniu Świątecznym już 12 grudnia!