Dünya çapındaki olay müdahale ekipleri en son gelişmelerle mücadele ederken Apache Log4j güvenlik açığıSayısız ürünü etkileyen, kuruluşların bu felaket ufkunu aşarak sürdürülebilir bir güvenlik müdahalesine bakmaları gerekiyor. kullanan yanıtlayıcılar hakkında çok şey söylenmiştir. yazılım malzeme listeleri (SBOM’lar) bazı durumlarda daha kısa sürede faydalı olabilecek diğer pratik rehberliği gölgede bırakarak iyileştirme önceliklendirmesine yardımcı olmak. için birçok çaba toplu adım adım yanıt sihirli sözler geliştiriliyor, ancak bu sütun, İnternet’in bir sonraki alevlenmesinde kaçınılmaz olan iyileştirmeler yapmak için süreç boşluklarınızın gerçek zamanlı olarak nerede olduğunu öğrenmekle ilgilidir.
Bir SBOM, belirli bir programdaki bileşenlerin içerik listesidir. Sömürülebilirlik bilgileri ve doğru varlık envanteriniz, SBOM’ların hızlı güvenlik açığı ve olay müdahalesi bağlamında yararlı olması için ön koşullardır.
Bu tür olaylara yanıt olarak eksiksiz bir kurumsal SBOM eşlemesi kullanmaya yönelik hiçbir çalışma yoktur. Kuruluşlar olay yanıtlarını iyileştirirken, SBOM gibi yeni projeler, varlık yönetimi gibi hızlı önceliklendirmeye olanak tanıyan araçlardan oluşan bir cephaneliğe hoş geldiniz. Teoride, SBOM’lar acil durum güvenlik müdahalesini daha hızlı ve daha ölçeklenebilir hale getirecektir. Olaylara hızlı müdahaleye yönelik tüm bu yaklaşımların sınırlamaları vardır ve tümü güncel olmayan bilgilere karşı savunmasızdır. Örneğin, Log4j’nin kendisini düzeltmeye yönelik ilk kılavuz, ilk düzeltmenin bir baypası keşfedildiğinde gerçek zamanlı olarak revize edildi. Dikkatin dağılmasına neden olmadan yardımcı olan her araç, olay müdahalesinde kullanmak için iyi bir araçtır.
Tüm bunları göz önünde bulundurarak, SBOM’lar nesnel olarak harika bir fikirdir. Yazılım yapıyorsanız, SBOM’ları geliştirme ve sürüm uygulamalarınıza bir an önce entegre etmelisiniz. Güvenlik durum tespiti yapmak için zamanınız olduğunda ilgili saldırı yüzeylerini karşılaştırmak için yararlı bir araç olduğundan, kuruluşlar satın alma kararları için yazılımları karşılaştırırken SBOM’ları da kullanabilir. Bununla birlikte, olay müdahalesi için, SBOM’ler, satıcılar sürekli olarak bunları oluşturmaya başlayana kadar kuruluş genelinde çok yardımcı olacak kadar kapsamlı olmayabilir.
Kuruluşunuz Log4j yanıtını önceliklendirmeye yardımcı olmak için şu anda SBOM’ları kullanıyorsa, aşağıdaki zamana duyarlı soruları göz önünde bulundurun:
- SBOM’ların satıcılara yetişmesinin biraz zaman alacağını bildiğimize göre, sınırlı personeli yönlendirirken kilit hassas varlıkları erkenden kaçırma risklerini nasıl dengeliyorsunuz?
- SBOM’ları olmayan veya yanlış SBOM’ları olan savunmasız uygulamaları bulmak için planınız nedir?
- Tüm SBOM’lar mükemmel olsaydı, bu Log4j yanıtından sonra kontrolünüz altındaki süreciniz hakkında başka neleri geliştirirdiniz?
- Etkinlik sonrası derslerle öğrenilen bilgilendirmeleriniz için, SBOM’si olmayan ve Log4j durumlarını size proaktif olarak iletmeyen ancak testlerde savunmasız bulunan satıcılarınıza nasıl hitap edeceksiniz?
- Ortamınızda SBOM’u olmayan her ürünü işaretlemenin bir yolu var mı? Bunun gibi gelecekteki olaylarda paralel test sağlamak için hangi mekanizmaya sahipsiniz?
Yanıt yeteneklerinizi kıyaslıyor musunuz? Ölçülecek bazı unsurlar şunları içerir:
- Hız: Kuruluşunuzun tüm varlıkları kontrol edilip düzeltildi mi, yoksa etkilenmediği doğrulandı mı?
- Verimlilik: İlk önce en yüksek kurumsal değere sahip savunmasız varlıklar ele alındı mı?
- Bilgi kaynakları: Diğer güncel bilgi kaynaklarına kıyasla iyileştirme çabalarınıza öncelik vermek için SBOM’ları kullanma oranınız nedir – örneğin, İnternet veya satıcılarınız size söylüyor veya kendi testiniz?
Çoğu kuruluşun, bunu yapacak personele ve becerilere sahip olsaydı, ideal olarak, geleneksel varlık envanteri, SBOM’lar, İnternet kaynakları, etkilenen satıcılar, güvenlik sağlayıcıları ve testler tarafından bilgilendirilen birkaç paralel iş akışı yürüteceğini düşünürdüm.
SBOM’un hepimizin sahip olduğu yüksek umutlara dönüşmesi için, takım ve otomasyon mükemmel SBOM’ların bile varlıklarını bilmeyen bir organizasyonu kurtaramayacağı ayıltıcı gerçekliğe eşlik etmek zorunda kalacak. Yeni yaklaşımlar ortaya çıktığında, zor zamanlarda basit çözümler arayan insanların bir sonraki güvenlik olayında gerçek, en iyi umutları olan gerekli ön çalışmaları gerçekleştiremeyeceklerinden endişeleniyorum.
Yenilik yapmadığımızda başarısız oluyoruz, ancak umutlarımızı, bizi bir sonraki yakın İnternet krizine taşımaya yetecek kadar geniş çapta benimsenmeyen yeni ortaya çıkan yeniliklere bağlamanın döngüsel yapısını da gördük. Bir sonraki Log4j geldiğinde, umarım yeni yenilikleri ve SBOM gibi araçları deneyim ve özenle birleştirerek güvenliğin temelleri üzerine inşa ederek ilerleme kaydetmiş olacağız.