Tras el reciente ciberataque a SolarWinds, muchas empresas están investigando si alguno de sus proveedores (nosotros incluidos) está afectado por este incidente.
Los productos SolarWinds Orion (las versiones afectadas son de la 2019.4 a la 2020.2.1 HF1) están siendo actualmente explotados por actores maliciosos. Esta táctica permite a un atacante obtener acceso a los sistemas de gestión de tráfico de red. - https://cyber.dhs.gov/ed/21-01/
Q. ¿Utiliza Secure Code Warrior® el software SolarWinds Orion?
R. No
P. ¿Ha implementado Secure Code Warrior® las contramedidas recomendadas en respuesta a la infracción de la herramienta FireEye Red Team?
R. No. Tenga en cuenta que la herramienta ayuda principalmente con los objetivos de Windows/Microsoft, y no ejecutamos ninguna en nuestras redes.
Q. ¿Cuál es el enfoque de Secure Code Warrior con respecto a la revisión continua del código para garantizar, en la mayor medida posible, que no se incluya código malicioso en la base de código de la empresa?
R. Empleamos una serie de prácticas recomendadas, entre las que se incluyen:
- Formación en seguridad del código de todo el personal que lo corta
- Revisión obligatoria del código fuente
- Registro de confirmaciones y cambios a través del control de código fuente
- Pruebas estáticas de seguridad de aplicaciones (SAST) automatizadas
- Pruebas de penetración periódicas
- Análisis de vulnerabilidad de todas las bibliotecas de terceros
- Análisis de vulnerabilidad de todos los contenedores de producción
- Todas las implantaciones pasan por un proceso de automatización que garantiza la seguridad y la calidad.
Q. ¿Cuál es la política de Secure Code Warrior con respecto a la identificación y mitigación de las vulnerabilidades de seguridad del producto y de la red?
R. Además de seguir las prácticas antes mencionadas, todos los resultados (por ejemplo, hallazgos) de las actividades de pruebas de seguridad son evaluados y priorizados por un equipo de seguridad dedicado que luego plantea y realiza un seguimiento de las asignaciones de trabajo (con SLA adjuntos) con los equipos de producto e ingeniería.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.