論文の概要: Software supply chain: review of attacks, risk assessment strategies and
security controls
- arxiv url: http://arxiv.org/abs/2305.14157v1
- Date: Tue, 23 May 2023 15:25:39 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-24 07:41:42.396374
- Title: Software supply chain: review of attacks, risk assessment strategies and
security controls
- Title(参考訳): ソフトウェアサプライチェーン:攻撃,リスク評価戦略,セキュリティコントロールのレビュー
- Authors: Betul Gokkaya, Leonardo Aniello, Basel Halak
- Abstract要約: ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。
我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。
本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
- 参考スコア(独自算出の注目度): 0.13812010983144798
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: The software product is a source of cyber-attacks that target organizations
by using their software supply chain as a distribution vector. As the reliance
of software projects on open-source or proprietary modules is increasing
drastically, SSC is becoming more and more critical and, therefore, has
attracted the interest of cyber attackers. While existing studies primarily
focus on software supply chain attacks' prevention and detection methods, there
is a need for a broad overview of attacks and comprehensive risk assessment for
software supply chain security. This study conducts a systematic literature
review to fill this gap. We analyze the most common software supply chain
attacks by providing the latest trend of analyzed attacks, and we identify the
security risks for open-source and third-party software supply chains.
Furthermore, this study introduces unique security controls to mitigate
analyzed cyber-attacks and risks by linking them with real-life security
incidence and attacks.
- Abstract(参考訳): ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。
オープンソースやプロプライエタリなモジュールへのソフトウェアプロジェクトの依存が激化するにつれ、sscはますます重要になってきており、サイバー攻撃者の関心を惹きつけている。
既存の研究は主にソフトウェアサプライチェーン攻撃の予防と検出方法に焦点を当てているが、ソフトウェアサプライチェーンのセキュリティに対する攻撃の概要と包括的リスク評価が必要である。
本研究は,このギャップを埋めるために系統的な文献レビューを行う。
我々は、分析攻撃の最新傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析し、オープンソースおよびサードパーティソフトウェアサプライチェーンのセキュリティリスクを特定します。
さらに、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントや攻撃と結びつけて軽減するユニークなセキュリティ制御を導入する。
関連論文リスト
- Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - Proactive Software Supply Chain Risk Management Framework (P-SSCRM) Version 1 [0.7999703756441756]
プロアクティブなソフトウェアサプライチェーンリスク管理フレームワークは、セキュアなソフトウェアサプライチェーンリスク管理イニシアチブを理解し計画するのに役立つように設計されています。
これは、ソフトウェアサプライチェーンのリスク管理イニシアチブをリードする9つの業界から、現実世界のデータを理解し分析するプロセスによって作成された。
セキュアなソフトウェアサプライチェーンリスク管理プログラムを理解し、定量化し、開発するためのモデルを提示します。
論文 参考訳(メタデータ) (2024-04-18T16:24:26Z) - DevPhish: Exploring Social Engineering in Software Supply Chain Attacks
on Developers [0.25729063928675466]
敵はソフトウェア開発者に特化した社会工学(SocE)技術を利用する。
本稿では、ソフトウェア技術者(SWE)を騙して悪意あるソフトウェアを届けるために、敵が採用している既存のSocE戦術を包括的に探求することを目的とする。
論文 参考訳(メタデータ) (2024-02-28T15:24:43Z) - A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM) [3.1190983209295076]
Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。
最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。
本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
論文 参考訳(メタデータ) (2024-02-17T00:36:20Z) - Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。
本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
論文 参考訳(メタデータ) (2023-11-20T12:44:37Z) - Software Repositories and Machine Learning Research in Cyber Security [0.0]
堅牢なサイバーセキュリティ防衛の統合は、ソフトウェア開発のあらゆる段階において不可欠になっている。
ソフトウェア要件プロセスにおけるこれらの初期段階の脆弱性の検出にトピックモデリングと機械学習を活用する試みが実施されている。
論文 参考訳(メタデータ) (2023-11-01T17:46:07Z) - Graph Mining for Cybersecurity: A Survey [61.505995908021525]
マルウェア、スパム、侵入などのサイバー攻撃の爆発的な増加は、社会に深刻な影響をもたらした。
従来の機械学習(ML)ベースの手法は、サイバー脅威の検出に広く用いられているが、現実のサイバーエンティティ間の相関をモデル化することはほとんどない。
グラフマイニング技術の普及に伴い、サイバーエンティティ間の相関を捉え、高いパフォーマンスを達成するために、多くの研究者がこれらの手法を調査した。
論文 参考訳(メタデータ) (2023-04-02T08:43:03Z) - Towards Automated Classification of Attackers' TTPs by combining NLP
with ML Techniques [77.34726150561087]
我々は,NLP(Natural Language Processing)と,研究におけるセキュリティ情報抽出に使用される機械学習技術の評価と比較を行った。
本研究では,攻撃者の戦術や手法に従って非構造化テキストを自動的に分類するデータ処理パイプラインを提案する。
論文 参考訳(メタデータ) (2022-07-18T09:59:21Z) - A System for Automated Open-Source Threat Intelligence Gathering and
Management [53.65687495231605]
SecurityKGはOSCTIの収集と管理を自動化するシステムである。
AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
論文 参考訳(メタデータ) (2021-01-19T18:31:35Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - Adversarial Machine Learning Attacks and Defense Methods in the Cyber
Security Domain [58.30296637276011]
本稿では,機械学習技術に基づくセキュリティソリューションに対する敵攻撃に関する最新の研究を要約する。
サイバーセキュリティドメインでエンドツーエンドの敵攻撃を実装するという、ユニークな課題を議論するのは、これが初めてである。
論文 参考訳(メタデータ) (2020-07-05T18:22:40Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。